IT-Architekt im GesundheitswesenIch arbeite in einer Organisation, die einen Großteil ihrer Dienste und Ressourcen in der Cloud hat.Wir verwenden Code, um unsere Cloud-Infrastruktur mit Azure DevOps zu verwalten.In diesem Artikel wird erläutert, wie Sie mithilfe von Azure DevOps-Pipelines und der Prisma-Cloud eine statische Codeanalyse für Infrastruktur als Code einrichten.Statische (nicht ausgeführte) Codeanalyse wird als Teil des Sicherheitsentwicklungslebenszyklus durchgeführt, wo Tools verwendet werden, um Schwachstellen wie Pufferüberlauf, SQL-Injektion innerhalb des Anwendungscodes zu finden.Es ist der Prozess der Verwaltung von Infrastrukturressourcen mithilfe von Code.Die wichtigsten Tools in diesem Bereich sind Terraform, Azure Resource Manager-Vorlagen, Cloud-Formation-Vorlagen und Azure BICEP, die zum Bereitstellen von Ressourcen verwendet werden.Darüber hinaus werden Tools wie Ansible, Chef und Puppet zur Konfiguration verwendet.Diese Tools sorgen effektiv für Konsistenz über mehrere Bereitstellungen hinweg und dienen als Dokumentation bestehender Umgebungen.Dieser Prozess könnte jedoch Schwachstellen in die Infrastrukturumgebung einführen, z. B. öffentlich zugängliche virtuelle Maschinen oder Speichercontainer.Jeder PR mit Terraform-Code muss den Validierungsprozess in diesem Ablauf bestehen, indem er erfolgreich einen Terraform-Plan mit beabsichtigten Änderungen generiert.Anschließend speisen wir diese Planausgabe in die Prisma-IAC-Aufgabe ein, um sie auf Schwachstellen zu scannen.Stellen Sie fest, dass der PR von Experten begutachtet und für die Zusammenführung mit dem Deployment-Zweig genehmigt wurde.Wenn der Job fehlschlägt, wird der PR für die Zusammenführung blockiert, es sei denn, offene Probleme werden behoben.Dienstverbindung in Azure DevOps einrichten:Es gibt zwei Ansätze, die wir verfolgen können, um die Prisma Cloud-Erweiterung für Azure DevOps zu verwenden.Unabhängig vom Ansatz sind die angewendeten Kontrollen und Richtlinien jedoch dieselben.Hier ist die Pipeline-Definition basierend auf dem 2. Ansatz:Nachdem wir nun eine Pipeline-Definition eingerichtet haben, können Sie diese Aufgaben nun in Ihre vorhandenen Terraform-Validierungs- und Bereitstellungs-Pipelines integrieren.Unten sehen Sie ein Beispiel für die Pipelineausführung mit Prisma-Warnung, dass wir ein mittleres Problem haben.Prisma Cloud IAC Scan unterstützt nur Terraform.Wenn Sie jedoch plattformnative Tools wie ARM-Vorlagen oder Azure BICEP verwenden, können Sie Dienste wie Azure Policy verwenden, um Ihre Bereitstellung zu validieren.Azure Policy ist ein leistungsstarker Dienst, der dabei helfen kann, Sicherheitsprobleme zu erkennen und sicherzustellen, dass die Infrastrukturdefinition die richtige Größe hat und der gewünschten Konfiguration entspricht.Wenn Azure Resource Manager-Vorlagen oder Azure BICEP-Code gegen eine definierte Richtlinie verstoßen, schlägt die Bereitstellung im Überprüfungszustand fehl.Da wir die Validierung als Gating-Prozess für alle Pull-Requests mit Infrastrukturcode verwenden, blockiert dieser Verstoß das Zusammenführen von „fehlerhaftem Code“ in unseren Deployment-Branch.Kodieren, streamen und verwalten Sie Videos mit einer einfachen PlattformQuality Weekly liest über Technologie, die alles infiltriert