你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将基础结构即代码模板映射到云资源
将基础结构即代码 (IaC) 模板映射到云资源可帮助确保一致、安全且可审核的基础结构预配。 它支持快速响应安全威胁和安全的设计方法。 可以使用映射发现运行时资源中的错误配置。 然后,在模板级别进行修正,以帮助确保不会偏移并通过 CI/CD 方法促进部署。
先决条件
若要将 Microsoft Defender for Cloud 设置为将 IaC 模板映射到云资源,你需要:
- 已配置 Defender for Cloud 的 Azure 帐户。 如果还没有 Azure 帐户,请免费创建一个帐户。
- 在 Defender for Cloud 中设置了 Azure DevOps 环境。
- 已启用 Defender 云安全态势管理 (CSPM)。
- Azure Pipelines 设置为运行 Microsoft Security DevOps Azure DevOps 扩展。
- 使用标记支持设置了 IaC 模板和云资源。 可以使用开源工具(如 Yor_trace)自动标记 IaC 模板。
- 支持的云平台:Microsoft Azure、Amazon Web Services、Google Cloud Platform
- 支持的源代码管理系统:Azure DevOps
- 支持的模板语言:Azure 资源管理器、Bicep、CloudFormation、Terraform
注意
Microsoft Defender for Cloud 仅使用以下 IaC 模板中的标记进行映射:
yor_tracemapping_tag
查看 IaC 模板与云资源之间的映射
在云安全资源管理器中查看你的 IaC 模板与云资源之间的映射:
登录 Azure 门户。
导航到“Microsoft Defender for Cloud>”“云安全资源管理器”。
在下拉菜单中搜索并选择你的所有云资源。
若要向查询添加更多筛选器,请选择 +。
在“标识和访问”类别中,添加“预配者”子筛选器。
在 DevOps 类别中,选择“代码存储库”。
生成查询后,选择“搜索”以运行查询。
或者,选择内置模板“由 IaC 模板预配的具有高严重性错误配置的云资源”。
注意
你的 IaC 模板与云资源之间的映射可能需要最多 12 小时才能显示在云安全资源管理器中。
(可选)创建示例 IaC 映射标记
若要在代码存储库中创建示例 IaC 映射标记,请执行以下操作:
在存储库中,添加包含标记的 IaC 模板。
可以从示例模板开始。
若要直接提交到主分支,或者为此提交创建新分支,请选择“保存”。
确认你已将 Microsoft Security DevOps 任务包含在 Azure 管道中。
验证管道日志是否显示“在此资源上发现 IaC 标记”发现。 这一发现表明 Defender for Cloud 已成功发现标记。