12
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

Microsoft Security Advent Calendar 2022Advent Calendar 2022

Day 19

Microsoft Defender for DevOps の始め方 - for GitHub -

Last updated at Posted at 2022-12-18

2023年10月時点で、Microsoft Defender for DevOps は Microsoft Defender CSPM の一部として、DevOps セキュリティを担う形に製品体系が変更されています。詳細については、公式ドキュメントをご参照ください。

Microsoft Defender for DevOps とは

Microsoft Defender for DevOps は Azure のマルチクラウドセキュリティ管理サービスである Microsoft Defender for Cloud に 2022年10月に登場した新サービスです。Defender for DevOps を利用すると、GitHub や Azure DevOps にホストされたアプリケーションソースコードや Azure などのクラウドの IaC コードのセキュリティ課題を検知することができます。また、その情報が Azure Portal 上の Defender for Cloud の画面に統合されており、アプリケーションからインフラまで、ひとつのダッシュボードでクラウド上のシステムのセキュリティ課題をとらえることができます。

Defender for DevOps と GitHub Advanced Security の関係性について

GitHub では、Advanced Security というコードの脆弱性スキャンやシークレットスキャン、依存関係の確認などを行う機能が提供されています。Defender for Cloud は、この Advanced Security で分析されたデータを Azure 側に pull してダッシュボード化します。

ただし、それだけではなく、Defender for DevOps では、Microsoft Security DevOps という、オープンソースの静的解析ツールのセットを GitHub に展開し、そのツールを使ってアプリケーションやIaC のソースコードを分析できます。

image.png

両者の関係を簡単に図式化すると以下のようになります。

image.png

本記事について

本記事では、特に GitHub のレポジトリを Defender for DevOps と接続し、レポジトリにホストされたコードに対してセキュリティスキャンをかけ、Defender for Cloud で表示する過程を見ていきます。

前提条件

この記事では、

  • Defender for Cloud が有効化された Azure サブスクリプション
  • GitHub Advanced Security が有効化された GitHub レポジトリ

を使っていきます。

Defender for DevOps と GitHub レポジトリの接続

Defender for Cloud の環境設定の画面から接続していきます。「+環境を追加」から GitHub (プレビュー) を選択します。

image.png

コネクタの詳細では、名前やリソースグループを入力します。

image.png

プランでは、Defender for DevOps を利用するため、オンにします。

image.png

Defender for DevOps を承認するは、承認をクリックし画面の指示に従います。Defender for DevOps アプリをインストールするについては、対象となるアカウント・組織を選択し、必要に応じてレポジトリを All か Only Select かを選んでインストールします。

image.png

image.png

そして、確認と作成画面で作成をクリックします。

image.png

これで GitHub と Defender for DevOps の接続は完了です。なお、最初のデータ同期には数時間かかることがあります。

GitHub 側のセキュリティスキャンの設定 (Advanced Security)

Advanced Security の機能が利用なレポジトリは、Public なレポジトリ、または GitHub Enterprise Cloud で Advanced Security が有効化されたレポジトリになります。それらのレポジトリでセキュリティスキャンを設定していきます。

GitHub のレポジトリの Security タブをクリックします。

image.png

依存関係の確認については、Dependatbot の設定を有効化します。Dependabot alerts の Enable Dependabot alerts をクリックし、以下のようにアラートやセキュリティアップデートの有効化、バージョンアップデートの設定を行います。

image.png

コードの脆弱性については、Code Scaning alerts の Set up code scanning をクリックします。

image.png

そして Configure scanning tool へと進みます。

image.png

ツールが様々ありますが、ここでは CodeQL Analytics を選びます。

image.png

GitHub Actions で CodeQL による分析を実行するYAMLファイルが生成されます。これを Start Commit でコミットします。(必要に応じてこのYAMLファイルを変更します。)

image.png

このワークフローが実行されることで、CodeQL Analytics の分析結果が、Security タブに表示されるようになります。

Microsoft Security DevOps の有効化

CodeQL Analytics に加え、Microsoft Security DevOps のワークフローを使うことで、IaC (ARM, Bicep, Terraform) やコンテナーイメージ、PythonやJavaScript などの脆弱性の検知を行うことができます。こちらは、公式ドキュメントでも手順が詳細に紹介されています。

こちらもCodeQL Analytics と同じく、GitHub Actions のワークフローとして作成します。公式ドキュメントにもある下記のサンプルのYAMLファイルを、.github/workflows に作成します。

name: MSDO windows-latest
on:
  push:
    branches: [ main ]
  pull_request:
    branches: [ main ]
  workflow_dispatch:

jobs:
  sample:

    # MSDO runs on windows-latest and ubuntu-latest.
    # macos-latest supporting coming soon
    runs-on: windows-latest

    steps:
    - uses: actions/checkout@v2

    - uses: actions/setup-dotnet@v1
      with:
        dotnet-version: |
          5.0.x
          6.0.x

    # Run analyzers
    - name: Run Microsoft Security DevOps Analysis
      uses: microsoft/security-devops-action@preview
      id: msdo

    # Upload alerts to the Security tab
    - name: Upload alerts to Security tab
      uses: github/codeql-action/upload-sarif@v1
      with:
        sarif_file: ${{ steps.msdo.outputs.sarifFile }}

image.png

下記のように GitHub Actions が構成され、ワークフローが実行されます。

image.png

このワークフローの詳細情報については、公式の GitHub レポジトリをご参照ください。特に Analyzer 実行時のオプションについては、action.yml に記載されています。microsoft/security-devops-action@preview のジョブで、with: 欄で categories や languages を特定の対象に絞ることができます。

また、各ツールの詳細な構成方法については、Wiki にて詳述されています。

ダッシュボードと分析例

Defender for DevOps と GitHub のレポジトリを接続し、かつセキュリティスキャンの設定を完了すると、GitHub の Security Tab と Defender for Cloud のダッシュボードで、それぞれセキュリティ情報を見ることができます。

GitHub 側のダッシュボード

GitHub 側では、下記のように情報を参照できます。

CodeQL Analytics の例:

CodeQL Analytics では、C#, Java, JavaScriptなどのソースコードの脆弱性を発見し、通知してくれます。GitHub 側では以下のように表示されます。

image.png

Microsoft Security DevOps の例:

ソースコード

Python 用の Bandit や JavaScript 用のESlint による検知を動かすことで、アプリケーションソースコードの脆弱性を検知します。たとえば、下記は ESlint による検知結果になります。

image.png

IaC

Azure の ARM テンプレートで仮想ネットワークをデプロイするときの例です。たとえば NSG が設定されていないサブネットがあると下記のように表示されます。こちらは Terrascan を用いた結果です。

image.png

また、セキュリティベストプラクティスベースのAzure IaC (ARM/Bicep) の評価を行ってくれるTemplate Analyzer を使った検知も行われています。たとえば下記のように App Service の構成のベストプラクティスからのずれをチェックしてくれます。

image.png

そのほかに、PSRule for Azure との統合をベースにした検知も行われています。

Defender for DevOps 側のダッシュボード

Defender for DevOps に情報を集約することで、アプリケーションコードからクラウドまで、統合的なセキュリティダッシュボードを構築できます。

Defender for DevOps / Defender for Cloud の全体ダッシュボード

Defender for DevOps のダッシュボードでは、接続されたすべての GitHub レポジトリと Azure DevOps レポジトリをまとめて参照し、セキュリティ課題の有無を特定できます。

image.png

また、インベントリを利用することで、レポジトリ名や推奨事項ベースでフィルターをかけ、容易にリソースの探索ができます。

image.png

これらのデータは、Azure の全リソースの検索を容易に行えるグラフ型データベースである、Azure Resource Graph (ARG) に統合されており、Workbooks でオリジナルのダッシュボードを作ったり、ARG の Rest API を介して外部と情報連携することができます。

image.png

各レポジトリの情報

セキュリティ設定の有無の確認

コードスキャンや Depandabot の設定が有効化されていない GitHub レポジトリの確認をすることができます。レポジトリ単位で情報を確認したり、セキュリティ推奨事項単位で設定漏れがあるレポジトリをリストアップすることができます。

image.png

image.png

Security Tab のスキャン結果

先の GitHub の Security Tab で確認した情報も Defender for DevOps から参照できます。

たとえば、Microsoft Security DevOps の Terrascan ベースの IaC のセキュリティ課題情報は下記のように統合されています。

image.png

CodeQL Analytics ベースのスキャン結果も見ることができます。

image.png

最後に

本記事では、2022年10月の Ignite にて発表された Microsoft Defender for DevOps の始め方や実際の画面の見え方をご紹介してきました。GitHub Advanced Security や Microsoft Defender を使い始め、より簡単にセキュリティ課題を特定いただく一助となれば幸いです。

*本稿は、個人の見解に基づいた内容であり、所属する会社の公式見解ではありません。また、いかなる保証を与えるものでもありません。正式な情報は、各製品の販売元にご確認ください。

12
3
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
12
3

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?