DevOps セキュリティのサポートと前提条件
クラウドとリージョンのサポート
DevOps のセキュリティは、次のリージョンの Azure 商用クラウドで利用できます:
- アジア (東アジア)
- オーストラリア (オーストラリア東部)
- カナダ (カナダ中部)
- ヨーロッパ (西ヨーロッパ、北ヨーロッパ、スウェーデン中部)
- 英国 (英国南部)
- 米国 (米国東部、米国中部)
DevOps プラットフォームのサポート
DevOps セキュリティでは現在、次の DevOps プラットフォームがサポートされています:
必要なアクセス許可
DevOps セキュリティには、次のアクセス許可が必要です:
| 機能 | アクセス許可 |
|---|---|
| DevOps 環境を Defender for Cloud に接続する | Azure: サブスクリプション共同作成者またはセキュリティ管理者 Azure DevOps:ターゲット組織のプロジェクト コレクション管理者 GitHub:組織所有者 GitLab:ターゲット グループのグループ所有者 |
| セキュリティの分析情報と結果を確認する | Security Reader |
| pull request 注釈を構成する | サブスクリプション共同作成者または所有者 |
| Azure DevOps に Microsoft Security DevOps 拡張機能をインストールする | Azure DevOps プロジェクト コレクション管理者 |
| GitHub に Microsoft Security DevOps アクションをインストールする | GitHub 書き込み |
セキュリティ閲覧者 ロールをリソース グループまたはコネクタ スコープに適用して、DevOps のセキュリティ分析情報と結果の読み取りアクセスに対してサブスクリプション レベルに高い特権のアクセス許可を設定しないようにすることができます。
利用可能な機能
次の表は、サポートされている DevOps プラットフォーム内の各機能の可用性と前提条件をまとめたものです:
2024 年 3 月 7 日以降、セキュリティ エクスプローラーと攻撃パスを強化するコードからクラウドへのコンテキスト化や、コードとしてのインフラストラクチャのセキュリティ結果のプル要求注釈を含む、Premium DevOps セキュリティ機能を利用するには、テナント内の少なくとも 1 つのサブスクリプションまたはマルチクラウド コネクタで Defender CSPM を有効にする必要があります。 詳細については、以下を参照してください。
Azure DevOps
| 機能 | 基本的な CSPM | Defender CSPM | 前提条件 |
|---|---|---|---|
| Azure DevOps リポジトリを接続する | ![[はい] のアイコン。](../../wwl-azure/microsoft-defender-cloud-threat-protection/media/yes-icon-783bde2a.png){kind=icon}
|
|
詳細については、 こちら |
| コードの脆弱性を修正するためのセキュリティに関するレコメンデーション |
|
|
CodeQL の発見事項に関する Azure DevOps 用 GitHub Advanced Security、Microsoft Security DevOps 拡張機能 |
| 公開されているシークレットを検出するためのセキュリティに関するレコメンデーション |
|
|
Azure DevOps 用の GitHub Advanced Security |
| オープン ソースの脆弱性を修正するためのセキュリティに関するレコメンデーション |
|
|
Azure DevOps 用の GitHub Advanced Security |
| コード構成の誤りとしてインフラストラクチャを修正するためのセキュリティに関するレコメンデーション |
|
|
Microsoft Security DevOps 拡張機能 |
| DevOps 環境の構成ミスを修正するためのセキュリティに関するレコメンデーション |
|
|
該当なし |
| pull request の注釈 |
|
詳細については、 こちら | |
| コンテナーのコードからクラウドへのマッピング |
|
Microsoft Security DevOps 拡張機能 | |
| コード テンプレートとしてのインフラストラクチャのコードからクラウドへのマッピング |
|
Microsoft Security DevOps 拡張機能 | |
| 攻撃パス分析 |
|
DevOps コネクタと同じテナント内で、Azure サブスクリプション、AWS コネクタ、または GCP コネクタ上の Defender CSPM を有効にする | |
| クラウド セキュリティ エクスプローラー |
|
DevOps コネクタと同じテナント内で、Azure サブスクリプション、AWS コネクタ、または GCP コネクタ上の Defender CSPM を有効にする |
GitHub
| 機能 | 基本的な CSPM | Defender CSPM | 前提条件 |
|---|---|---|---|
| GitHub リポジトリの接続 |
|
|
詳細については、 こちら |
| コードの脆弱性を修正するためのセキュリティに関するレコメンデーション |
|
|
GitHub Advanced Security、Microsoft Security DevOps アクション |
| 公開されているシークレットを検出するためのセキュリティに関するレコメンデーション |
|
|
GitHub Advanced Security |
| オープン ソースの脆弱性を修正するためのセキュリティに関するレコメンデーション |
|
|
GitHub Advanced Security |
| コード構成の誤りとしてインフラストラクチャを修正するためのセキュリティに関するレコメンデーション |
|
|
GitHub Advanced Security、Microsoft Security DevOps アクション |
| DevOps 環境の構成ミスを修正するためのセキュリティに関するレコメンデーション |
|
|
該当なし |
| コンテナーのコードからクラウドへのマッピング |
|
[Microsoft Security DevOps] オプション | |
| コード テンプレートとしてのインフラストラクチャのコードからクラウドへのマッピング |
|
[Microsoft Security DevOps] オプション | |
| 攻撃パス分析 |
|
DevOps コネクタと同じテナント内で、Azure サブスクリプション、AWS コネクタ、または GCP コネクタ上の Defender CSPM を有効にする | |
| クラウド セキュリティ エクスプローラー |
|
DevOps コネクタと同じテナント内で、Azure サブスクリプション、AWS コネクタ、または GCP コネクタ上の Defender CSPM を有効にする |
GitLab
| 機能 | 基本的な CSPM | Defender CSPM | 前提条件 |
|---|---|---|---|
| GitLab プロジェクトの接続 |
|
|
詳細については、 こちら |
| コードの脆弱性を修正するためのセキュリティに関するレコメンデーション |
|
|
GitLab Ultimate |
| 公開されているシークレットを検出するためのセキュリティに関するレコメンデーション |
|
|
GitLab Ultimate |
| オープン ソースの脆弱性を修正するためのセキュリティに関するレコメンデーション |
|
|
GitLab Ultimate |
| コード構成の誤りとしてインフラストラクチャを修正するためのセキュリティに関するレコメンデーション |
|
|
GitLab Ultimate |
| クラウド セキュリティ エクスプローラー |
|
DevOps コネクタと同じテナント内で、Azure サブスクリプション、AWS コネクタ、または GCP コネクタ上の Defender CSPM を有効にする |