Container-Images von Code zur Laufzeit zuordnen

Wenn Defender for Cloud eine Sicherheitsanfälligkeit in einem Containerimage findet, kann es schwierig sein, dieses Image wieder auf die ursprüngliche CI/CD-Pipelineausführung zurückzuverfolgen. Diese Herausforderung ist üblich, ob sich das Image in einer Containerregistrierung befindet oder in einem Kubernetes-Cluster ausgeführt wird. Ohne Pipelinekontext ist es schwieriger, den richtigen Entwickler zu finden und schnell mit der Behebung zu beginnen. Defender Cloud Security Posture Management (CSPM) umfasst DevOps-Sicherheitsfunktionen, die Containerworkloads von Code zu Cloud zuordnen, damit Teams schneller mit der Behebung beginnen können.

Code zur Laufzeit – technische Voraussetzungen

Die folgenden Voraussetzungen sind erforderlich, um Code für Laufzeitbeziehungen einzurichten.

Allgemeine Voraussetzungen (alle Methoden)

Die folgenden Voraussetzungen gelten unabhängig von der verwendeten Zuordnungsmethode:

  • Defender CSPM (Cloud Security Posture Management) oder Defender für Container müssen in Ihrer Cloudumgebung aktiviert sein.
    • Eine begrenzte Gruppe von Zuordnungsfunktionen ist in Defender für Container enthalten.
  • Container-Images müssen über eine CI/CD-Pipeline erstellt werden.
    • Bilder, die manuell erstellt und übertragen werden, werden nicht unterstützt, obwohl einige manuell erstellte Bilder möglicherweise weiterhin in Zuordnungsergebnissen angezeigt werden.
  • Containerimages müssen von Defender für Cloud auffindbar sein, entweder durch:
    • Wird in einer unterstützten Containerregistrierung gespeichert oder
    • Ausführen in einer unterstützten Kubernetes-Umgebung

Option 1: Verbinden Ihrer Codeumgebung mit Defender for Cloud

Wenn Sie Ihre Codeumgebung mit Defender for Cloud verbinden, wird automatisch eine Reihe automatisierter Tools ausgelöst. Diese Tools wirken sich nicht auf Ihre vorhandenen DevOps-Workflows aus und aktivieren die Code-zu-Laufzeit-Zuordnung.

Note

  • Derzeit unterstützt für Azure DevOps und GitHub
  • Container-Images, die vor der Verbindung erstellt und bereitgestellt wurden, haben möglicherweise eingeschränkte Unterstützung

Schritte zum Einrichten finden Sie unter:

Option 2: Docker-bezeichnungsbasierte Zuordnung

Die labelbasierte Zuordnung von Docker basiert auf Metadaten, die während des Builds direkt in das Container-Image eingebettet werden. Defender für Cloud extrahiert diese Metadaten aus dem OCI/Docker-Imagemanifest und verwendet es, um das Image mit seinem Quellrepository zu korrelieren.

Weitere Informationen findest du unter:

Note

  • Für diese Methode ist kein DevOps-Connector erforderlich.
  • Die Zuordnung wird für Kubernetes-Umgebungen ausgeführt, die von Defender CSPM oder Defender für Container abgedeckt werden.

Option 3: GitHub-nachweisbasierte Zuordnung

Die nachweisbasierte Zuordnung verwendet kryptografisch überprüfte Provenienzmetadaten , die während GitHub-Aktionen-Workflows generiert wurden. Diese Nachweise verknüpfen Container-Images mit ihrem genauen Quell-Repository, ihrem genauen Commit und ihrer genauen Build-Identität.

Weitere Informationen findest du unter:

Überprüfen Sie die Zuordnung Ihres Codes zur Laufzeit (Azure Portal)

Nachdem Sie ein Containerimage in einer Azure DevOps CI/CD-Pipeline erstellt und an eine Registrierung übertragen haben, verwenden Sie Cloud Security Explorer, um die Zuordnung anzuzeigen:

  1. Melden Sie sich im Azure-Portal unter portal.azure.com an.

  2. Wechseln Sie zu Microsoft Defender for Cloud>Cloud Security Explorer. Die Zuordnung des Container-Images kann bis zu vier Stunden dauern, bis sie sichtbar wird.

  3. Um die grundlegende Zuordnung anzuzeigen, wählen Sie Container-Images>+>von Code-Repositories bereitgestellt aus.

    Screenshot, der zeigt, wie Sie die grundlegende Zuordnung von Containern finden.

  4. (Optional) Wählen Sie + neben Container-Images aus, um Ihrer Abfrage Filter hinzuzufügen, z. B. Hat Schwachstellen, damit nur Container-Images mit bekannten Schwachstellen und Gefährdungen (CVEs) angezeigt werden.

  5. Nachdem Sie die Abfrage ausgeführt haben, wird die Zuordnung zwischen der Containerregistrierung und der Pipeline angezeigt. Wählen Sie ... neben der Verbindungslinie (Rand) aus, um weitere Details anzuzeigen.

    Screenshot einer erweiterten Abfrage für Containerzuordnungsergebnisse.

Nächste Schritte