Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wenn eine Sicherheitsanfälligkeit in einem Containerimage identifiziert wird, unabhängig davon, ob es in einer Containerregistrierung gespeichert oder in einem Kubernetes-Cluster ausgeführt wird, könnten Sicherheitsexperten Schwierigkeiten haben, sie auf die CI/CD-Pipeline zurückzuverfolgen, die sie ursprünglich erstellt hat. Ohne diesen Kontext ist es schwierig, den Entwickler zu identifizieren, der für die Behebung des Problems verantwortlich ist. Microsoft Defender Cloud Security Posture Management (CSPM) umfasst DevOps-Sicherheitsfunktionen, mit denen Sie Ihre cloudeigenen Anwendungen von Code zu Cloud zuordnen können. Daher können Sie workflows für Entwicklerkorrekturen ganz einfach starten und die Zeit verringern, die zum Beheben von Sicherheitsrisiken in Ihren Containerimages benötigt wird.
Code zur Laufzeit – technische Voraussetzungen
Die folgenden Voraussetzungen sind erforderlich, um Code für Laufzeitbeziehungen einzurichten.
Allgemeine Voraussetzungen (alle Methoden)
Die folgenden Voraussetzungen gelten unabhängig von der verwendeten Zuordnungsmethode:
-
Defender CSPM (Cloud Security Posture Management) oder Defender für Container muss in Ihrer Cloudumgebung aktiviert sein.
- Eine begrenzte Gruppe von Zuordnungsfunktionen ist in Defender für Container enthalten.
- Container-Images müssen über eine CI/CD-Pipeline erstellt werden
- Bilder, die manuell erstellt und hochgeladen werden, werden nicht unterstützt (in einigen Fällen können manuell erstellte/hochgeladene Bilder dennoch eine Zuordnung haben).
- Containerimages müssen von Defender für Cloud auffindbar sein, entweder durch:
- Wird in einer unterstützten Containerregistrierung gespeichert oder
- Ausführen in einer unterstützten Kubernetes-Umgebung
Option 1: Verbinden Ihrer Codeumgebung mit Defender for Cloud
Wenn Sie Ihre Codeumgebung mit Defender for Cloud verbinden, wird automatisch eine Reihe automatisierter Tools ausgelöst. Diese Tools wirken sich nicht auf Ihre vorhandenen DevOps-Workflows aus und aktivieren die Code-zu-Laufzeit-Zuordnung.
Hinweis
- Derzeit unterstützt für Azure DevOps und GitHub
- Container-Images, die vor der Verbindung erstellt und bereitgestellt wurden, haben möglicherweise eingeschränkte Unterstützung
Weitere Informationen:
Option 2: Docker-bezeichnungsbasierte Zuordnung
Die Docker-Labels-basierte Zuordnung basiert auf Metadaten, die direkt in das Containerimage eingebettet sind, während der Erstellung. Defender für Cloud extrahiert diese Metadaten aus dem OCI/Docker-Imagemanifest und verwendet es, um das Image mit seinem Quellrepository zu korrelieren.
Weitere Informationen:
- Spezifikation für OCI Docker-Imageanmerkungen
- Hinzufügen von OCI/Docker-Bezeichnungen in Azure DevOps
- Hinzufügen von Bezeichnungen in GitHub
-
Manuelles Bereitstellen von Bezeichnungen mithilfe der Dockerfile-Anweisung
LABEL
Hinweis
- Für diese Methode ist kein DevOps-Connector erforderlich.
- Die Zuordnung wird in Defender CSPM- oder Defender für Container-geschützten Kubernetes-Umgebungen ausgeführt.
Option 3: GitHub-nachweisbasierte Zuordnung
Die nachweisbasierte Zuordnung verwendet kryptografisch überprüfte Provenienzmetadaten , die während GitHub-Aktionen-Workflows generiert wurden. Diese Nachweise verknüpfen Container-Images mit ihrem genauen Quell-Repository, ihrem genauen Commit und ihrer genauen Build-Identität.
Weitere Informationen:
Überprüfen Sie die Zuordnung Ihres Codes zur Laufzeit (Azure Portal)
Nachdem Sie ein Containerimage in einer Azure DevOps CI/CD-Pipeline erstellt und in eine Registrierung übertragen haben, sehen Sie sich die Zuordnung mit dem Cloud Security Explorer an:
Melden Sie sich beim Azure-Portal an.
Gehen Sie zu Microsoft Defender for Cloud>Cloudsicherheits-Explorer. Es kann maximal 4 Stunden dauern, bis die Containerimagezuordnung im Cloud Security Explorer angezeigt wird.
Um die grundlegende Zuordnung anzuzeigen, wählen Sie Container-Images>+>von Code-Repositories bereitgestellt aus.
(Optional) Wählen Sie + bei Container-Images aus, um Ihrer Abfrage weitere Filter hinzuzufügen, z. B. Enthält Anfälligkeiten, um nur CVE-belastete Container-Images zu filtern.
Nach dem Ausführen der Abfrage wird die Zuordnung zwischen der Containerregistrierung und der Pipeline angezeigt. Wählen Sie ... neben dem Rand aus, um weitere Details anzuzeigen.
Nächste Schritte
- Erfahren Sie mehr über DevOps-Sicherheit in Defender for Cloud.
- Weitere Informationen zu Code zur Laufzeit für Empfehlungen