Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wenn Defender for Cloud eine Sicherheitsanfälligkeit in einem Containerimage findet, kann es schwierig sein, dieses Image wieder auf die ursprüngliche CI/CD-Pipelineausführung zurückzuverfolgen. Diese Herausforderung ist üblich, ob sich das Image in einer Containerregistrierung befindet oder in einem Kubernetes-Cluster ausgeführt wird. Ohne Pipelinekontext ist es schwieriger, den richtigen Entwickler zu finden und schnell mit der Behebung zu beginnen. Defender Cloud Security Posture Management (CSPM) umfasst DevOps-Sicherheitsfunktionen, die Containerworkloads von Code zu Cloud zuordnen, damit Teams schneller mit der Behebung beginnen können.
Code zur Laufzeit – technische Voraussetzungen
Die folgenden Voraussetzungen sind erforderlich, um Code für Laufzeitbeziehungen einzurichten.
Allgemeine Voraussetzungen (alle Methoden)
Die folgenden Voraussetzungen gelten unabhängig von der verwendeten Zuordnungsmethode:
-
Defender CSPM (Cloud Security Posture Management) oder Defender für Container müssen in Ihrer Cloudumgebung aktiviert sein.
- Eine begrenzte Gruppe von Zuordnungsfunktionen ist in Defender für Container enthalten.
- Container-Images müssen über eine CI/CD-Pipeline erstellt werden.
- Bilder, die manuell erstellt und übertragen werden, werden nicht unterstützt, obwohl einige manuell erstellte Bilder möglicherweise weiterhin in Zuordnungsergebnissen angezeigt werden.
- Containerimages müssen von Defender für Cloud auffindbar sein, entweder durch:
- Wird in einer unterstützten Containerregistrierung gespeichert oder
- Ausführen in einer unterstützten Kubernetes-Umgebung
Option 1: Verbinden Ihrer Codeumgebung mit Defender for Cloud
Wenn Sie Ihre Codeumgebung mit Defender for Cloud verbinden, wird automatisch eine Reihe automatisierter Tools ausgelöst. Diese Tools wirken sich nicht auf Ihre vorhandenen DevOps-Workflows aus und aktivieren die Code-zu-Laufzeit-Zuordnung.
Note
- Derzeit unterstützt für Azure DevOps und GitHub
- Container-Images, die vor der Verbindung erstellt und bereitgestellt wurden, haben möglicherweise eingeschränkte Unterstützung
Schritte zum Einrichten finden Sie unter:
Option 2: Docker-bezeichnungsbasierte Zuordnung
Die labelbasierte Zuordnung von Docker basiert auf Metadaten, die während des Builds direkt in das Container-Image eingebettet werden. Defender für Cloud extrahiert diese Metadaten aus dem OCI/Docker-Imagemanifest und verwendet es, um das Image mit seinem Quellrepository zu korrelieren.
Weitere Informationen findest du unter:
- Spezifikation für OCI Docker-Imageanmerkungen
- Hinzufügen von OCI/Docker-Bezeichnungen in Azure DevOps
- Hinzufügen von Bezeichnungen in GitHub
-
Manuelles Bereitstellen von Bezeichnungen mithilfe der Dockerfile-Anweisung
LABEL
Note
- Für diese Methode ist kein DevOps-Connector erforderlich.
- Die Zuordnung wird für Kubernetes-Umgebungen ausgeführt, die von Defender CSPM oder Defender für Container abgedeckt werden.
Option 3: GitHub-nachweisbasierte Zuordnung
Die nachweisbasierte Zuordnung verwendet kryptografisch überprüfte Provenienzmetadaten , die während GitHub-Aktionen-Workflows generiert wurden. Diese Nachweise verknüpfen Container-Images mit ihrem genauen Quell-Repository, ihrem genauen Commit und ihrer genauen Build-Identität.
Weitere Informationen findest du unter:
Überprüfen Sie die Zuordnung Ihres Codes zur Laufzeit (Azure Portal)
Nachdem Sie ein Containerimage in einer Azure DevOps CI/CD-Pipeline erstellt und an eine Registrierung übertragen haben, verwenden Sie Cloud Security Explorer, um die Zuordnung anzuzeigen:
Melden Sie sich im Azure-Portal unter portal.azure.com an.
Wechseln Sie zu Microsoft Defender for Cloud>Cloud Security Explorer. Die Zuordnung des Container-Images kann bis zu vier Stunden dauern, bis sie sichtbar wird.
Um die grundlegende Zuordnung anzuzeigen, wählen Sie Container-Images>+>von Code-Repositories bereitgestellt aus.
(Optional) Wählen Sie + neben Container-Images aus, um Ihrer Abfrage Filter hinzuzufügen, z. B. Hat Schwachstellen, damit nur Container-Images mit bekannten Schwachstellen und Gefährdungen (CVEs) angezeigt werden.
Nachdem Sie die Abfrage ausgeführt haben, wird die Zuordnung zwischen der Containerregistrierung und der Pipeline angezeigt. Wählen Sie ... neben der Verbindungslinie (Rand) aus, um weitere Details anzuzeigen.
Nächste Schritte
- Weitere Informationen finden Sie unter DevOps-Sicherheit in Defender for Cloud.
- Weitere Informationen finden Sie unter Code zur Laufzeit für Empfehlungen.