有没有好的方法可以防止防御者在进行更改之前收到云建议/警告?
Defender for DevOps 通常处理存储库上的 SAST 扫描,但我感兴趣阻止的警告是 terraform 更改,这些更改会修改/创建 Azure 中的资源,进而导致 Defender 发出云警告。
例如
背景/背景: 我们使用在 git 中签入的 Terraform 代码来配置和部署数百个 SQL 实例、应用程序服务器、docker 容器中的内部应用程序以及 Azure 中的其他应用程序。这个想法是将安全措施向左转移,让特遣队建立管道失败,而不是在防守者发现后追赶球队。
最好的选择是防止使用不安全的配置来部署资源。您可以使用 Azure Policies 来实现此目的。有很多内置的 Azure 策略,例如:
如果没有内置策略,您可以创建您自己的自定义策略。
使用 Azure 策略后,您无法使用任何自动化或使用 Azure 门户创建或修改违反策略的资源。