2023年10月時点で、Microsoft Defender for DevOps は Microsoft Defender CSPM の一部として、DevOps セキュリティを担う形に製品体系が変更されています。詳細については、公式ドキュメントをご参照ください。
Microsoft Defender for DevOps とは
Microsoft Defender for DevOps は Azure のマルチクラウドセキュリティ管理サービスである Microsoft Defender for Cloud に 2022年10月に登場した新サービスです。Defender for DevOps を利用すると、GitHub や Azure DevOps にホストされたアプリケーションソースコードや Azure などのクラウドの IaC コードのセキュリティ課題を検知することができます。また、その情報が Azure Portal 上の Defender for Cloud の画面に統合されており、アプリケーションからインフラまで、ひとつのダッシュボードでクラウド上のシステムのセキュリティ課題をとらえることができます。
Defender for DevOps と GitHub Advanced Security の関係性について
GitHub では、Advanced Security というコードの脆弱性スキャンやシークレットスキャン、依存関係の確認などを行う機能が提供されています。Defender for Cloud は、この Advanced Security で分析されたデータを Azure 側に pull してダッシュボード化します。
ただし、それだけではなく、Defender for DevOps では、Microsoft Security DevOps という、オープンソースの静的解析ツールのセットを GitHub に展開し、そのツールを使ってアプリケーションやIaC のソースコードを分析できます。
両者の関係を簡単に図式化すると以下のようになります。
本記事について
本記事では、特に GitHub のレポジトリを Defender for DevOps と接続し、レポジトリにホストされたコードに対してセキュリティスキャンをかけ、Defender for Cloud で表示する過程を見ていきます。
前提条件
この記事では、
- Defender for Cloud が有効化された Azure サブスクリプション
- GitHub Advanced Security が有効化された GitHub レポジトリ
を使っていきます。
Defender for DevOps と GitHub レポジトリの接続
Defender for Cloud の環境設定の画面から接続していきます。「+環境を追加」から GitHub (プレビュー) を選択します。
コネクタの詳細では、名前やリソースグループを入力します。
プランでは、Defender for DevOps を利用するため、オンにします。
Defender for DevOps を承認するは、承認をクリックし画面の指示に従います。Defender for DevOps アプリをインストールするについては、対象となるアカウント・組織を選択し、必要に応じてレポジトリを All か Only Select かを選んでインストールします。
そして、確認と作成画面で作成をクリックします。
これで GitHub と Defender for DevOps の接続は完了です。なお、最初のデータ同期には数時間かかることがあります。
GitHub 側のセキュリティスキャンの設定 (Advanced Security)
Advanced Security の機能が利用なレポジトリは、Public なレポジトリ、または GitHub Enterprise Cloud で Advanced Security が有効化されたレポジトリになります。それらのレポジトリでセキュリティスキャンを設定していきます。
GitHub のレポジトリの Security タブをクリックします。
依存関係の確認については、Dependatbot の設定を有効化します。Dependabot alerts の Enable Dependabot alerts をクリックし、以下のようにアラートやセキュリティアップデートの有効化、バージョンアップデートの設定を行います。
コードの脆弱性については、Code Scaning alerts の Set up code scanning をクリックします。
そして Configure scanning tool へと進みます。
ツールが様々ありますが、ここでは CodeQL Analytics を選びます。
GitHub Actions で CodeQL による分析を実行するYAMLファイルが生成されます。これを Start Commit でコミットします。(必要に応じてこのYAMLファイルを変更します。)
このワークフローが実行されることで、CodeQL Analytics の分析結果が、Security タブに表示されるようになります。
Microsoft Security DevOps の有効化
CodeQL Analytics に加え、Microsoft Security DevOps のワークフローを使うことで、IaC (ARM, Bicep, Terraform) やコンテナーイメージ、PythonやJavaScript などの脆弱性の検知を行うことができます。こちらは、公式ドキュメントでも手順が詳細に紹介されています。
こちらもCodeQL Analytics と同じく、GitHub Actions のワークフローとして作成します。公式ドキュメントにもある下記のサンプルのYAMLファイルを、.github/workflows に作成します。
name: MSDO windows-latest
on:
push:
branches: [ main ]
pull_request:
branches: [ main ]
workflow_dispatch:
jobs:
sample:
# MSDO runs on windows-latest and ubuntu-latest.
# macos-latest supporting coming soon
runs-on: windows-latest
steps:
- uses: actions/checkout@v2
- uses: actions/setup-dotnet@v1
with:
dotnet-version: |
5.0.x
6.0.x
# Run analyzers
- name: Run Microsoft Security DevOps Analysis
uses: microsoft/security-devops-action@preview
id: msdo
# Upload alerts to the Security tab
- name: Upload alerts to Security tab
uses: github/codeql-action/upload-sarif@v1
with:
sarif_file: ${{ steps.msdo.outputs.sarifFile }}
下記のように GitHub Actions が構成され、ワークフローが実行されます。
このワークフローの詳細情報については、公式の GitHub レポジトリをご参照ください。特に Analyzer 実行時のオプションについては、action.yml に記載されています。microsoft/security-devops-action@preview のジョブで、with: 欄で categories や languages を特定の対象に絞ることができます。
また、各ツールの詳細な構成方法については、Wiki にて詳述されています。
ダッシュボードと分析例
Defender for DevOps と GitHub のレポジトリを接続し、かつセキュリティスキャンの設定を完了すると、GitHub の Security Tab と Defender for Cloud のダッシュボードで、それぞれセキュリティ情報を見ることができます。
GitHub 側のダッシュボード
GitHub 側では、下記のように情報を参照できます。
CodeQL Analytics の例:
CodeQL Analytics では、C#, Java, JavaScriptなどのソースコードの脆弱性を発見し、通知してくれます。GitHub 側では以下のように表示されます。
Microsoft Security DevOps の例:
ソースコード
Python 用の Bandit や JavaScript 用のESlint による検知を動かすことで、アプリケーションソースコードの脆弱性を検知します。たとえば、下記は ESlint による検知結果になります。
IaC
Azure の ARM テンプレートで仮想ネットワークをデプロイするときの例です。たとえば NSG が設定されていないサブネットがあると下記のように表示されます。こちらは Terrascan を用いた結果です。
また、セキュリティベストプラクティスベースのAzure IaC (ARM/Bicep) の評価を行ってくれるTemplate Analyzer を使った検知も行われています。たとえば下記のように App Service の構成のベストプラクティスからのずれをチェックしてくれます。
そのほかに、PSRule for Azure との統合をベースにした検知も行われています。
Defender for DevOps 側のダッシュボード
Defender for DevOps に情報を集約することで、アプリケーションコードからクラウドまで、統合的なセキュリティダッシュボードを構築できます。
Defender for DevOps / Defender for Cloud の全体ダッシュボード
Defender for DevOps のダッシュボードでは、接続されたすべての GitHub レポジトリと Azure DevOps レポジトリをまとめて参照し、セキュリティ課題の有無を特定できます。
また、インベントリを利用することで、レポジトリ名や推奨事項ベースでフィルターをかけ、容易にリソースの探索ができます。
これらのデータは、Azure の全リソースの検索を容易に行えるグラフ型データベースである、Azure Resource Graph (ARG) に統合されており、Workbooks でオリジナルのダッシュボードを作ったり、ARG の Rest API を介して外部と情報連携することができます。
各レポジトリの情報
セキュリティ設定の有無の確認
コードスキャンや Depandabot の設定が有効化されていない GitHub レポジトリの確認をすることができます。レポジトリ単位で情報を確認したり、セキュリティ推奨事項単位で設定漏れがあるレポジトリをリストアップすることができます。
Security Tab のスキャン結果
先の GitHub の Security Tab で確認した情報も Defender for DevOps から参照できます。
たとえば、Microsoft Security DevOps の Terrascan ベースの IaC のセキュリティ課題情報は下記のように統合されています。
CodeQL Analytics ベースのスキャン結果も見ることができます。
最後に
本記事では、2022年10月の Ignite にて発表された Microsoft Defender for DevOps の始め方や実際の画面の見え方をご紹介してきました。GitHub Advanced Security や Microsoft Defender を使い始め、より簡単にセキュリティ課題を特定いただく一助となれば幸いです。
*本稿は、個人の見解に基づいた内容であり、所属する会社の公式見解ではありません。また、いかなる保証を与えるものでもありません。正式な情報は、各製品の販売元にご確認ください。