Microsoft Defender for Cloud DevOps Security

  • 3 分

Microsoft Defender for Cloud を使用すると、Azure、AWS、GCP、オンプレミスのリソースなど、マルチクラウド環境全体で包括的な可視性、ポスチャ管理、脅威保護を実現できます。

Defender for Cloud 内の DevOps セキュリティでは、中央コンソールを使用して、Azure DevOps、GitHub や GitLab などのマルチパイプライン環境全体で、コードからクラウドまでのアプリケーションとリソースを保護する機能をセキュリティ チームに提供します。 その後、DevOps セキュリティに関する推奨事項を他のコンテキスト クラウド セキュリティ分析情報と関連付けて、コード内の修復に優先順位を付けることができます。 主な DevOps セキュリティ機能には次のものがあります。

  • DevOps のセキュリティ態勢に対する統一された可視性:セキュリティ管理者は、マルチパイプラインおよびマルチクラウド環境全体の DevOps インベントリと、運用前アプリケーション コードのセキュリティ態勢を完全に可視化できるようになりました。これにはコード、シークレット、オープンソースの依存関係の脆弱性スキャンからの結果が含まれます。 また、DevOps 環境のセキュリティ構成を評価することもできます。
  • 開発ライフサイクル全体でクラウド リソース構成を強化する: コードとしてのインフラストラクチャ (IaC) テンプレートとコンテナー イメージのセキュリティを有効にして、クラウドの構成ミスが運用環境に到達するのを最小限に抑え、セキュリティ管理者がクリティカルな進化する脅威に集中できるようにします。
  • コード内の重要な問題の修復に優先順位を付ける: Defender for Cloud 内でコードからクラウドへの包括的なコンテキスト分析情報を適用します。 セキュリティ管理者は、開発者が pull request 注釈を使って重要なコード修正に優先順位を付けるように支援したり、開発者が愛用するツールに直接フィードするカスタム ワークフローをトリガーして開発者の所有権を割り当てたりできます。

これらの機能は、マルチパイプライン DevOps リソースの統合、強化、管理に役立ちます。

Defender for Cloud で DevOps 環境を管理する

Defender for Cloud の DevOps セキュリティを使用すると、接続された環境を管理し、DevOps セキュリティ コンソールを使用して、それらの環境で検出された問題の大まかな概要をセキュリティ チームに提供できます。

Defender for Cloud で DevOps 環境を管理する方法を示すスクリーンショット。

ここでは、Azure DevOps、GitHub、GitLab 環境を追加し、DevOps ブックをカスタマイズして希望するメトリックを表示し、pull request 注釈を構成できます。

セキュリティの概要ページでの態勢管理の推奨事項を示すスクリーンショット。

DevOps のセキュリティについて

開発操作のセキュリティの結果を確認する方法を示すスクリーンショット。

結果を確認する

DevOps インベントリ テーブルでは、オンボードされた DevOps リソースとそれらに関連するセキュリティ情報を確認できます。

オンボードされた DevOps リソースと関連するセキュリティ情報を確認する方法を示すスクリーンショット。 画面のこの部分には、次の情報が表示されます。

  • 名前 - Azure DevOps、GitHub、GitLab からオンボードされた DevOps リソースを一覧表示します。 リソース正常性ページを選択して表示します。

  • DevOps 環境 - リソースの DevOps 環境 (つまり、Azure DevOps、GitHub、GitLab) について説明します。 複数の環境がオンボードされている場合は、この列を使用して環境別に並べ替えます。

  • 高度なセキュリティ状態 - DevOps リソースに対して高度なセキュリティ機能が有効かどうかを示します。

    • On - 高度なセキュリティが有効になっています。
    • Off - 高度なセキュリティが有効になっていません。
    • Partially enabled - 特定の高度なセキュリティ機能が有効になっていません (たとえば、コード スキャンがオフになっています)。
    • N/A - Defender for Cloud には有効化に関する情報がありません。

Note

現時点では、この情報は Azure DevOps と GitHub のリポジトリでのみ使用できます。

  • pull request の注釈の状態 - リポジトリに対して PR 注釈が有効になっているかどうかを示します。

    • On - PR 注釈が有効になっています。
    • Off - PR 注釈が有効になっていません。
    • N/A - Defender for Cloud には有効化に関する情報がありません。

Note

現時点では、この情報は Azure DevOps リポジトリでのみ使用できます。

  • 結果 - DevOps リソースで識別されたコード、シークレット、依存関係、およびコードとしてのインフラストラクチャの結果の合計数が表示されます。

このテーブルは、DevOps リソース レベル (Azure DevOps と GitHub のリポジトリ、GitLab のプロジェクト) のフラット ビューとして、または組織/プロジェクト/グループの階層を示すグループ化ビューで表示することができます。 また、テーブルは、サブスクリプション、リソースの種類、検出の種類、または重大度でフィルター処理できます。