تقييمات الثغرات الأمنية ل Azure باستخدام إدارة الثغرات الأمنية في Microsoft Defender

  • مقالة

يعد تقييم الثغرات الأمنية ل Azure، الذي يتم تشغيله بواسطة إدارة الثغرات الأمنية في Microsoft Defender، حلا قديما يمكن فرق الأمان من اكتشاف الثغرات الأمنية ومعالجتها بسهولة في صور الحاوية، مع عدم وجود تكوين للإلحاق، ودون نشر أي عوامل.

إشعار

تدعم هذه الميزة فحص الصور في Azure Container Registry (ACR) فقط. يجب استيراد الصور المخزنة في سجلات الحاويات الأخرى إلى ACR للتغطية. تعرف على كيفية استيراد صور الحاوية إلى سجل حاوية.

في كل اشتراك يتم فيه تمكين هذه الإمكانية، يتم فحص جميع الصور المخزنة في ACR التي تفي بمعايير مشغلات الفحص بحثا عن الثغرات الأمنية دون أي تكوين إضافي للمستخدمين أو السجلات. يتم توفير التوصيات مع تقارير الثغرات الأمنية لجميع الصور في ACR بالإضافة إلى الصور التي تعمل حاليا في AKS التي تم سحبها من سجل ACR أو أي سجل آخر مدعوم من Defender for Cloud (ECR أو GCR أو GAR). يتم مسح الصور ضوئيا بعد وقت قصير من إضافتها إلى السجل، وإعادة فحصها بحثا عن نقاط ضعف جديدة مرة واحدة كل 24 ساعة.

يتمتع تقييم الثغرات الأمنية للحاوية المدعوم من إدارة الثغرات الأمنية في Microsoft Defender بالقدرات التالية:

  • مسح حزم نظام التشغيل - تقييم الثغرات الأمنية للحاوية لديه القدرة على مسح الثغرات الأمنية في الحزم المثبتة من قبل مدير حزمة نظام التشغيل في Linux ونظام التشغيل Windows. راجع القائمة الكاملة لنظام التشغيل المدعوم وإصداراته.
  • حزم اللغة المحددة - Linux فقط - دعم الحزم والملفات الخاصة باللغة، وتبعياتها المثبتة أو المنسخة دون مدير حزمة نظام التشغيل. راجع القائمة الكاملة باللغات المدعومة.
  • فحص الصور في Azure Private Link - يوفر تقييم الثغرات الأمنية في حاوية Azure القدرة على مسح الصور ضوئيا في سجلات الحاويات التي يمكن الوصول إليها عبر Azure Private Links. تتطلب هذه الإمكانية الوصول إلى الخدمات الموثوق بها والمصادقة مع السجل. تعرف على كيفية السماح بالوصول بواسطة الخدمات الموثوق بها.
  • معلومات قابلية الاستغلال - يتم البحث في كل تقرير عن الثغرات الأمنية من خلال قواعد بيانات قابلية الاستغلال لمساعدة عملائنا في تحديد المخاطر الفعلية المرتبطة بكل ثغرة أمنية تم الإبلاغ عنها.
  • التقارير - يوفر تقييم ثغرات الحاوية ل Azure المشغل بواسطة إدارة الثغرات الأمنية في Microsoft Defender تقارير الثغرات الأمنية باستخدام التوصيات التالية:

هذه هي التوصيات الجديدة التي تبلغ عن الثغرات الأمنية في حاوية وقت التشغيل ونقاط الضعف في صورة السجل. وهي قيد المعاينة حاليا، ولكنها تهدف إلى استبدال التوصيات القديمة. لا تحسب هذه التوصيات الجديدة نحو درجة آمنة أثناء المعاينة. محرك الفحص لكلتا مجموعتي التوصيات هو نفسه.

التوصية ‏‏الوصف مفتاح التقييم
[معاينة] يجب أن تحتوي صور الحاوية في سجل Azure على نتائج الثغرات الأمنية التي تم حلها يقوم Defender for Cloud بفحص صور السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر نتائج مفصلة لكل صورة ممسوحة ضوئيا. يساعد فحص ومعالجة الثغرات الأمنية لصور الحاويات في السجل في الحفاظ على سلسلة توريد برامج آمنة وموثوق بها، ويقلل من مخاطر الحوادث الأمنية، ويضمن الامتثال لمعايير الصناعة. 33422d8f-ab1e-42be-bc9a-38685bb567b9
[معاينة] يجب أن تحتوي الحاويات التي تعمل في Azure على نتائج الثغرات الأمنية التي تم حلها   ينشئ Defender for Cloud مخزونا لجميع أحمال عمل الحاوية التي تعمل حاليا في مجموعات Kubernetes الخاصة بك ويوفر تقارير الثغرات الأمنية لأحمال العمل هذه من خلال مطابقة الصور المستخدمة وتقارير الثغرات الأمنية التي تم إنشاؤها لصور التسجيل. يعد فحص ومعالجة الثغرات الأمنية لأحمال عمل الحاويات أمرا بالغ الأهمية لضمان وجود سلسلة توريد قوية وآمنة للبرامج، والحد من مخاطر الحوادث الأمنية، وضمان الامتثال لمعايير الصناعة. e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0

هذه هي التوصيات القديمة الموجودة حاليا على مسار التقاعد:

التوصية ‏‏الوصف مفتاح التقييم
يجب أن تحتوي صور حاوية سجل Azure على ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender) يفحص تقييم الثغرات الأمنية لصورة الحاوية السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر تقريرا مفصلا عن الثغرات الأمنية لكل صورة. يمكن أن يؤدي حل الثغرات الأمنية إلى تحسين وضع الأمان بشكل كبير، مما يضمن أن الصور آمنة للاستخدام قبل النشر. c0b7cfc6-3172-465a-b378-53c7ff2cc0d5
يجب أن تحتوي صور الحاوية قيد التشغيل في Azure على ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender)   يفحص تقييم الثغرات الأمنية لصورة الحاوية السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر تقريرا مفصلا عن الثغرات الأمنية لكل صورة. توفر هذه التوصية رؤية للصور الضعيفة التي تعمل حاليا في مجموعات Kubernetes الخاصة بك. معالجة الثغرات الأمنية في صور الحاوية التي يتم تشغيلها حاليا هو المفتاح لتحسين وضع الأمان الخاص بك، ما يقلل بشكل كبير من سطح الهجوم لأحمال العمل المعبأة في حاويات. c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

مشغلات الفحص

المشغلات لفحص الصور هي:

  • التشغيل لمرة واحدة:

    • يتم تشغيل كل صورة يتم دفعها أو استيرادها إلى سجل حاوية ليتم مسحها ضوئيا. في معظم الحالات، يتم إكمال الفحص في غضون بضع دقائق، ولكن في حالات نادرة قد يستغرق الأمر ما يصل إلى ساعة.
    • يتم تشغيل كل صورة تم سحبها من السجل ليتم مسحها ضوئيا في غضون 24 ساعة.

  • التشغيل المستمر لإعادة الفحص - مطلوب إعادة فحص مستمر لضمان إعادة فحص الصور التي تم فحصها مسبقا بحثا عن الثغرات الأمنية لتحديث تقارير الثغرات الأمنية الخاصة بها في حالة نشر ثغرة أمنية جديدة.

    • يتم إجراء إعادة الفحص مرة واحدة في اليوم من أجل:
      • الصور التي تم دفعها في آخر 90 يوما.
      • صور سحبت في آخر 30 يوما.
      • الصور التي تعمل حاليا على مجموعات Kubernetes التي يراقبها Defender for Cloud (إما عن طريق اكتشاف بدون عامل ل Kubernetes أو مستشعر Defender).

كيف يعمل مسح الصور؟

يوصف وصف مفصل لعملية الفحص على النحو التالي:

  • عند تمكين تقييم الثغرات الأمنية للحاوية ل Azure المشغل بواسطة إدارة الثغرات الأمنية في Microsoft Defender، فإنك تخول Defender for Cloud لمسح صور الحاوية ضوئيا في سجلات Azure Container.

  • يكتشف Defender for Cloud تلقائيا جميع سجلات الحاويات والمستودعات والصور (التي تم إنشاؤها قبل أو بعد تمكين هذه الإمكانية).

  • يتلقى Defender for Cloud إعلامات كلما تم دفع صورة جديدة إلى Azure Container Registry. ثم تتم إضافة الصورة الجديدة على الفور إلى كتالوج الصور التي يحتفظ بها Defender for Cloud، ويصف إجراء لمسح الصورة ضوئيا على الفور.

  • مرة واحدة في اليوم، وبالنسبة للصور الجديدة التي يتم دفعها إلى سجل:

    • يتم سحب جميع الصور المكتشفة حديثا، ويتم إنشاء مخزون لكل صورة. يتم الاحتفاظ بمخزون الصور لتجنب المزيد من عمليات سحب الصور، ما لم تتطلبها قدرات الماسح الضوئي الجديدة.
    • باستخدام المخزون، يتم إنشاء تقارير الثغرات الأمنية للصور الجديدة، وتحديثها للصور التي تم مسحها ضوئيا مسبقا والتي تم دفعها في آخر 90 يوما إلى سجل، أو قيد التشغيل حاليا. لتحديد ما إذا كانت الصورة قيد التشغيل حاليا، يستخدم Defender for Cloud كلا من الاكتشاف بدون عامل ل Kubernetes والمخزون الذي تم جمعه عبر أداة استشعار Defender التي تعمل على عقد AKS
    • يتم توفير تقارير الثغرات الأمنية لصور حاوية السجل كتوصية.

  • بالنسبة للعملاء الذين يستخدمون إما اكتشاف بدون عامل ل Kubernetes أو المخزون الذي تم جمعه عبر أداة استشعار Defender التي تعمل على عقد AKS، ينشئ Defender for Cloud أيضا توصية لمعالجة الثغرات الأمنية للصور الضعيفة التي تعمل على مجموعة AKS. بالنسبة للعملاء الذين يستخدمون الاكتشاف بدون عامل فقط ل Kubernetes، يكون وقت التحديث للمخزون في هذه التوصية مرة واحدة كل سبع ساعات. تستفيد المجموعات التي تقوم أيضا بتشغيل أداة استشعار Defender من معدل تحديث المخزون لمدة ساعتين. يتم تحديث نتائج فحص الصور استنادا إلى فحص السجل في كلتا الحالتين، وبالتالي يتم تحديثها كل 24 ساعة فقط.

إشعار

بالنسبة لسجلات Defender for Container (مهملة) ، يتم مسح الصور ضوئيا مرة واحدة عند الدفع، عند السحب، وإعادة فحصها مرة واحدة فقط في الأسبوع.

إذا قمت بإزالة صورة من السجل الخاص بي، فكم من الوقت قبل إزالة تقارير الثغرات الأمنية عن تلك الصورة؟

تقوم سجلات حاويات Azure بإعلام Defender for Cloud عند حذف الصور، وإزالة تقييم الثغرات الأمنية للصور المحذوفة في غضون ساعة واحدة. في بعض الحالات النادرة، قد لا يتم إعلام Defender for Cloud عند الحذف، وقد يستغرق حذف الثغرات الأمنية المرتبطة في مثل هذه الحالات ما يصل إلى ثلاثة أيام.

الخطوات التالية

  • تعرف على المزيد حول خطط Defender for Cloud Defender.
  • اطلع على الأسئلة الشائعة حول Defender for Containers.