Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Quando o Defender para a Cloud encontra uma vulnerabilidade numa imagem de contentor, pode ser difícil rastrear essa imagem até à execução original do pipeline CI/CD. Este desafio é comum quer a imagem esteja num registo de contentores quer esteja em execução num cluster do Kubernetes. Sem contexto do pipeline, é mais difícil encontrar o programador certo e começar a remediação rapidamente. A Defender Cloud Security Posture Management (CSPM) inclui capacidades de segurança DevOps que mapeiam cargas de trabalho dos contentores do código para a cloud, para que as equipas possam iniciar a remediação mais rapidamente.
Código para tempo de execução – pré-requisitos técnicos
São necessários os seguintes pré-requisitos para estabelecer relações entre código e tempo de execução.
Pré-requisitos gerais (todos os métodos)
Os seguintes pré-requisitos aplicam-se independentemente do método de mapeamento utilizado:
-
GPSC do Defender (Cloud Security Posture Management) ou Defender para Containers deve estar ativado no seu ambiente cloud.
- Um conjunto limitado de capacidades de mapeamento está incluído com o Defender for Containers.
- As imagens do contentor devem ser construídas através de um pipeline CI/CD.
- Imagens que são construídas e enviadas manualmente não são suportadas, embora algumas imagens construídas manualmente ainda possam aparecer nos resultados do mapeamento.
- As imagens dos contentores devem ser descobertas pelo Defender para a Cloud, seja por:
- Estar armazenado num registo de contentores suportado, ou
- Executar num ambiente Kubernetes suportado
Opção 1: Ligue o seu ambiente de código ao Defender para a Cloud
Quando liga o seu ambiente de código ao Defender para a Cloud, um conjunto de ferramentas automáticas é ativado automaticamente. Estas ferramentas não afetam os seus fluxos de trabalho DevOps existentes e permitem o mapeamento code-to-runtime.
Nota
- Atualmente suportado para Azure DevOps e GitHub
- Imagens de contentores construídas e implementadas antes da ligação podem ter suporte limitado
Para os passos de configuração, veja:
Opção 2: Mapeamento baseado em rótulos Docker
O mapeamento baseado em etiquetas Docker baseia-se em metadados que estão incorporados diretamente na imagem do contentor em tempo de compilação. O Defender para a Cloud extrai estes metadados do manifesto da imagem OCI/Docker e usa-os para correlacionar a imagem com o seu repositório de origem.
Para obter mais informações, consulte:
- Especificação de anotações de imagens Docker OCI
- Adicionar etiquetas OCI/Docker no Azure DevOps
- Adicionar rótulos no GitHub
-
Forneça manualmente as etiquetas usando a instrução Dockerfile
LABEL
Nota
- Este método não requer um conector DevOps.
- O mapeamento é realizado para ambientes Kubernetes cobertos por GPSC do Defender ou Defender for Containers.
Opção 3: Mapeamento baseado em atestados no GitHub
O mapeamento baseado em atestação utiliza metadados de proveniência criptograficamente verificáveis gerados durante os fluxos de trabalho GitHub Actions. Estas certificações ligam as imagens de contentores ao seu repositório de origem exato, commit e identidade de build.
Para obter mais informações, consulte:
Verifique a correspondência entre o seu código e o tempo de execução (Portal Azure)
Depois de construir uma imagem de contentor num pipeline Azure DevOps CI/CD e enviá-la para um registo, use Cloud Security Explorer para visualizar o mapeamento:
Entre no portal do Azure em portal.azure.com.
Vá para Microsoft Defender para a Cloud>Cloud Security Explorer. O mapeamento de imagens do contentor pode demorar até quatro horas a aparecer.
Para ver o mapeamento básico, selecione Imagens de Contêiner>+>Enviado por repositórios de código.
(Opcional) Selecione + por Imagens do Contentor para adicionar filtros à sua consulta, como Tem vulnerabilidades, para mostrar apenas imagens de contentores com vulnerabilidades e exposições comuns (CVEs).
Depois de executares a consulta, vês a correspondência entre o registo de contentores e o pipeline. Selecione ... ao lado da linha de ligação (borda) para ver mais detalhes.
Próximos passos
- Para mais informações, consulte segurança de DevOps no Defender para a Cloud.
- Para mais informações, consulte Code to runtime para recomendações.