Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
När Defender för molnet hittar en säkerhetsrisk i en containeravbildning kan det vara svårt att spåra avbildningen tillbaka till den ursprungliga CI/CD-pipelinekörningen. Den här utmaningen är vanlig oavsett om avbildningen finns i ett containerregister eller körs i ett Kubernetes-kluster. Utan pipelinekontext är det svårare att hitta rätt utvecklare och snabbt påbörja reparationen. Defender CSPM (Cloud Security Posture Management) innehåller DevOps-säkerhetsfunktioner som mappar containerarbetsbelastningar från kod till molnet, så att teamen kan börja åtgärda snabbare.
Kod till runtime-miljö – tekniska förutsättningar
Följande krav är nödvändiga för att etablera relationer mellan kod och körning.
Allmänna förutsättningar (alla metoder)
Följande krav gäller oavsett vilken mappningsmetod som används:
-
Defender CSPM (Hantering av molnsäkerhetsstatus) eller Defender för containrar måste vara aktiverat i molnmiljön.
- En begränsad uppsättning mappningsfunktioner ingår i Defender för containrar.
- Containeravbildningar måste skapas via en CI/CD-pipeline.
- Bilder som skapas och pushas manuellt stöds inte, även om vissa manuellt byggda avbildningar fortfarande kan visas i mappningsresultat.
- Containeravbildningar måste kunna upptäckas av Defender för molnet, antingen genom att:
- Lagras i ett containerregister som stöds, eller
- Körs i en Kubernetes-miljö som stöds
Alternativ 1: Ansluta din kodmiljö till Defender för molnet
När du ansluter kodmiljön till Defender för molnet utlöses en uppsättning automatiserade verktyg automatiskt. De här verktygen påverkar inte dina befintliga DevOps-arbetsflöden och aktiverar kod-till-körning-mappning.
Kommentar
- Stöds för närvarande för Azure DevOps och GitHub
- Containeravbildningar som skapats och distribuerats före anslutningen kan ha begränsat stöd
Installationsanvisningar finns i:
Alternativ 2: Docker-etiketter – baserad mappning
Docker-etiketterbaserad mappning förlitar sig på metadata som bäddas in direkt i containeravbildningen vid byggtillfället. Defender för molnet extraherar dessa metadata från OCI/Docker-avbildningsmanifestet och använder dem för att korrelera avbildningen till källlagringsplatsen.
Mer information finns i:
- OCI-specifikation för Docker-bildanteckningar
- Lägga till OCI/Docker-etiketter i Azure DevOps
- Lägga till etiketter i GitHub
-
Ange etiketter manuellt med dockerfile-instruktionen
LABEL
Kommentar
- Den här metoden kräver ingen DevOps-anslutning.
- Mappning utförs för Kubernetes-miljöer som omfattas av Defender CSPM eller Defender för containrar.
Alternativ 3: GitHub-attesteringsbaserad mappning
Attesteringsbaserad mappning använder kryptografiskt verifierbara härkomstmetadata som genereras under GitHub Actions-arbetsflöden. Dessa attesteringar länkar containerbilder till deras exakta källkodsförråd, commit och byggidentitet.
Mer information finns i:
Verifiera koden för körningsmappning (Azure-portalen)
När du har skapat en containeravbildning i en Azure DevOps CI/CD-pipeline och push-överfört den till ett register använder du Cloud Security Explorer för att visa mappningen:
Logga in på Azure-portalen på portal.azure. com.
Gå till Microsoft Defender för molnet> Cloud Security Explorer. Det kan ta upp till fyra timmar innan mappningen av containeravbildningar visas.
Om du vill se grundläggande mappning väljer du Containerbilder>+>Sända av kodlager.
(Valfritt) Välj + efter ContainerAvbildningar för att lägga till filter i din fråga, till exempel Har sårbarheter, för att endast visa containeravbildningar med vanliga säkerhetsrisker och exponeringar (CVE).
När du har kört frågan ser du mappningen mellan containerregistret och pipelinen. Välj ... bredvid anslutningslinjen (gränsen) för att se mer information.
Nästa steg
- Mer information finns i DevOps-säkerhet i Defender för molnet.
- Mer information finns i Kod för körning för rekommendationer.