ملاحظة
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يقوم Defender for Containers بتقييم الثغرات الأمنية بدون عامل على صور الحاوية في بيئات وقت التشغيل المدعومة وسجلات الحاويات المدعومة. يتم إنشاء توصيات ذات صلة للثغرات الأمنية المكتشفة في صورة سجل حاوية أو حاوية قيد التشغيل.
يتم إجراء تقييم الثغرات الأمنية للصور في سجلات الحاويات المدعومة عند تمكين الوصول إلى السجل لخطط Defender for Cloud Security Posture Management أو Defender for Containers.
يتم إجراء تقييم الثغرات الأمنية لتشغيل صور الحاوية بشكل غير محدد لسجل الحاوية الأصلي، عندما يتم تمكين فحص Agentless للأجهزة الملحق جنبا إلى جنب مع الوصول إلى واجهة برمجة تطبيقات K8S أو تمكين ملحقات مستشعر Defender في Defender for Cloud Security Posture Management أو خطط Defender for Containers. يتم أيضا إنشاء نتائج تقييم الثغرات الأمنية لصور الحاوية التي تم سحبها من السجلات المدعومة.
إشعار
راجع مصفوفة دعم Defender for Containers للبيئات المدعومة.
يتمتع تقييم الثغرات الأمنية لصور الحاويات، التي يتم تشغيلها بواسطة إدارة الثغرات الأمنية ل Microsoft Defender، بالقدرات التالية:
مسح حزم نظام التشغيل - تقييم الثغرات الأمنية للحاوية لديه القدرة على مسح الثغرات الأمنية في الحزم المثبتة من قبل مدير حزمة نظام التشغيل في Linux ونظام التشغيل Windows. راجع القائمة الكاملة لنظام التشغيل المدعوم وإصداراته.
حزم اللغة المحددة - Linux فقط - دعم الحزم والملفات الخاصة باللغة، وتبعياتها المثبتة أو المنسخة دون مدير حزمة نظام التشغيل. راجع القائمة الكاملة باللغات المدعومة.
مسح الصور في Azure Private Link - يمكن لتقييم الثغرات الأمنية في حاوية Azure مسح الصور ضوئيا في سجلات الحاويات التي يمكن الوصول إليها عبر Azure Private Links. تتطلب هذه الإمكانية الوصول إلى الخدمات الموثوق بها والمصادقة مع السجل. تعرف على كيفية السماح بالوصول بواسطة الخدمات الموثوق بها.
معلومات قابلية الاستغلال - يتم البحث في كل تقرير عن الثغرات الأمنية من خلال قواعد بيانات قابلية الاستغلال لمساعدة عملائنا في تحديد المخاطر الفعلية المرتبطة بكل ثغرة أمنية تم الإبلاغ عنها.
التقارير - يوفر تقييم ثغرات الحاوية ل Azure المشغل بواسطة إدارة الثغرات الأمنية في Microsoft Defender تقارير الثغرات الأمنية باستخدام التوصيات التالية:
معلومات قابلية الاستغلال - يتم البحث في كل تقرير عن الثغرات الأمنية من خلال قواعد بيانات قابلية الاستغلال لمساعدة عملائنا في تحديد المخاطر الفعلية المرتبطة بكل ثغرة أمنية تم الإبلاغ عنها.
تقارير - يوفر تقييم ثغرات الحاوية المدعوم من إدارة الثغرات الأمنية ل Microsoft Defender تقارير الثغرات الأمنية باستخدام التوصيات التالية:
الاستعلام عن معلومات الثغرات الأمنية عبر Azure Resource Graph - القدرة على الاستعلام عن معلومات الثغرات الأمنية عبر Azure Resource Graph. تعرف على كيفية الاستعلام عن التوصيات عبر ARG.
نتائج فحص الاستعلام عبر REST API - تعرف على كيفية الاستعلام عن نتائج الفحص عبر واجهة برمجة تطبيقات REST.
دعم الإعفاءات - تعرف على كيفية إنشاء قواعد استثناء لمجموعة إدارة أو مجموعة موارد أو اشتراك.
دعم تعطيل الثغرات الأمنية - تعرف على كيفية تعطيل الثغرات الأمنية على الصور.
اكتشافات الثغرات الأمنية توقيع البيانات الاصطناعية والتحقق منها - يتم توقيع البيانات الاصطناعية لنتائج الثغرات الأمنية لكل صورة باستخدام شهادة Microsoft للتكامل والمصادقة وترتبط بصورة الحاوية في السجل لتلبية احتياجات التحقق من الصحة.
توصيات تقييم الثغرات الأمنية
تقرير توصيات المعاينة الجديدة التالية حول الثغرات الأمنية في حاوية وقت التشغيل ونقاط الضعف في صورة السجل، ولا تحسب نحو درجة آمنة أثناء المعاينة. محرك الفحص للتوصيات الجديدة هو نفس توصيات GA الحالية، ويوفر نفس النتائج. التوصيات الجديدة هي الأنسب للعملاء الذين يستخدمون طريقة العرض الجديدة المستندة إلى المخاطر للتوصيات ولديهم خطة Defender CSPM ممكنة.
| التوصية | الوصف | مفتاح التقييم |
|---|---|---|
| [معاينة] يجب أن تحتوي صور الحاوية في سجل Azure على نتائج الثغرات الأمنية التي تم حلها | يقوم Defender for Cloud بفحص صور السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر نتائج مفصلة لكل صورة ممسوحة ضوئيا. يساعد فحص ومعالجة الثغرات الأمنية لصور الحاويات في السجل في الحفاظ على سلسلة توريد برامج آمنة وموثوق بها، ويقلل من مخاطر الحوادث الأمنية، ويضمن الامتثال لمعايير الصناعة. | 33422d8f-ab1e-42be-bc9a-38685bb567b9 |
| [معاينة] يجب أن تحتوي الحاويات التي تعمل في Azure على نتائج الثغرات الأمنية التي تم حلها | ينشئ Defender for Cloud مخزونا لجميع أحمال عمل الحاوية التي تعمل حاليا في مجموعات Kubernetes الخاصة بك ويوفر تقارير الثغرات الأمنية لأحمال العمل هذه من خلال مطابقة الصور المستخدمة وتقارير الثغرات الأمنية التي تم إنشاؤها لصور التسجيل. يعد فحص ومعالجة الثغرات الأمنية لأحمال عمل الحاويات أمرا بالغ الأهمية لضمان وجود سلسلة توريد قوية وآمنة للبرامج، والحد من مخاطر الحوادث الأمنية، وضمان الامتثال لمعايير الصناعة. | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
تقدم توصيات GA الحالية التالية تقريرا عن الثغرات الأمنية في الحاويات داخل مجموعة Kubernetes، وعلى صور الحاوية داخل سجل الحاوية. هذه التوصيات هي الأنسب للعملاء الذين يستخدمون طريقة العرض الكلاسيكية للتوصيات وليس لديهم خطة Defender CSPM ممكنة.
| التوصية | الوصف | مفتاح التقييم |
|---|---|---|
| يجب أن تحتوي صور حاوية سجل Azure على ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender) | يفحص تقييم الثغرات الأمنية لصورة الحاوية السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر تقريرا مفصلا عن الثغرات الأمنية لكل صورة. يمكن أن يؤدي حل الثغرات الأمنية إلى تحسين وضع الأمان بشكل كبير، مما يضمن أن الصور آمنة للاستخدام قبل النشر. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| يجب أن تحتوي صور الحاوية قيد التشغيل في Azure على ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender) | يفحص تقييم الثغرات الأمنية لصورة الحاوية السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر تقريرا مفصلا عن الثغرات الأمنية لكل صورة. توفر هذه التوصية رؤية للصور الضعيفة التي تعمل حاليا في مجموعات Kubernetes الخاصة بك. معالجة الثغرات الأمنية في صور الحاوية التي يتم تشغيلها حاليا هو المفتاح لتحسين وضع الأمان الخاص بك، ما يقلل بشكل كبير من سطح الهجوم لأحمال العمل المعبأة في حاويات. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
كيفية عمل تقييم الثغرات الأمنية للصور والحاويات
فحص الصور في سجلات Defender for Containers المدعومة
إشعار
يجب تمكين ملحق الوصول Registry لتقييم الثغرات الأمنية للصور في سجلات الحاويات.
يؤدي فحص صورة في سجل حاوية إلى إنشاء مخزون للصورة وتوصيات الثغرات الأمنية الخاصة بها. سجلات صور الحاوية المدعومة هي: Azure Container Registry (ACR) وAmazon AWS Elastic Container Registry (ECR) وGoogle Artifact Registry (GAR) وGoogle Container Registry (GCR) والسجلات الخارجية المكونة . يتم مسح الصورة ضوئيا عندما:
- يتم دفع صورة جديدة أو استيرادها إلى سجل الحاوية. يتم مسح الصورة ضوئيا في غضون ساعات قليلة.
-
تشغيل إعادة الفحص المستمر - يلزم إعادة فحص مستمر لضمان إعادة فحص الصور التي تم فحصها مسبقا بحثا عن الثغرات الأمنية لتحديث تقارير الثغرات الأمنية الخاصة بهم في حالة نشر ثغرة أمنية جديدة.
يتم إجراء إعادة الفحص مرة واحدة في اليوم من أجل:
- الصور التي تم دفعها في آخر 90 يوما.*
- صور سحبت في آخر 30 يوما.
- الصور التي تعمل حاليا على مجموعات Kubernetes التي يراقبها Defender for Cloud (إما عن طريق اكتشاف بدون عامل ل Kubernetes أو مستشعر Defender).
*يتم إنشاء توصية المعاينة الجديدة للصور التي تم دفعها في آخر 30 يوما.
إشعار
بالنسبة لسجلات Defender for Container (مهملة) ، يتم مسح الصور ضوئيا مرة واحدة عند الدفع، عند السحب، وإعادة فحصها مرة واحدة فقط في الأسبوع.
فحص الحاويات قيد التشغيل في حمل عمل نظام المجموعة
يتم مسح صور الحاوية في حمل عمل نظام المجموعة ضوئيا كما يلي:
- يتم تحديد الصور الضعيفة التي تم مسحها ضوئيا في السجلات المدعومة على أنها تعمل على نظام المجموعة من خلال عملية الاكتشاف. يتم مسح صور الحاوية قيد التشغيل ضوئيا كل 24 ساعة. يجب تمكين الوصول إلى السجل الوصول إلى واجهة برمجة تطبيقات Kubernetes أو مستشعر Defender.
- يتم جمع صور الحاوية من بيئة وقت التشغيل ومسحها ضوئيا بحثا عن الثغرات الأمنية، وغير محددة إلى السجل الأصلي. يتضمن الفحص حاويات مملوكة للعميل، ووظائف Kubernetes الإضافية، وأدوات الجهات الخارجية التي تعمل على نظام المجموعة. يتم جمع صور بيئة وقت التشغيل كل 24 ساعة. يجب تمكين الفحص بدون عامل للأجهزة إما الوصول إلى واجهة برمجة تطبيقات Kubernetes أو مستشعر Defender.
إشعار
- لا يمكن فحص طبقة وقت تشغيل الحاوية بحثا عن الثغرات الأمنية.
- لا يمكن فحص صور الحاوية من العقد باستخدام أقراص نظام التشغيل المؤقت AKS أو عقد Windows بحثا عن الثغرات الأمنية.
- قد توفر مجموعات AKS المكونة للتحجيم التلقائي نتائج جزئية أو لا تقدم أي نتائج إذا كانت أي أو جميع عقد نظام المجموعة معطلة في وقت الفحص.
إذا قمت بإزالة صورة من السجل الخاص بي، فكم من الوقت قبل إزالة تقارير الثغرات الأمنية عن تلك الصورة؟
تقوم سجلات حاويات Azure بإعلام Defender for Cloud عند حذف الصور، وإزالة تقييم الثغرات الأمنية للصور المحذوفة في غضون ساعة واحدة. في بعض الحالات النادرة، قد لا يتم إعلام Defender for Cloud عند الحذف، وقد يستغرق حذف الثغرات الأمنية المرتبطة في مثل هذه الحالات ما يصل إلى ثلاثة أيام.
الخطوات التالية
- تعرف على المزيد حول خطط Defender for Cloud Defender.
- اطلع على الأسئلة الشائعة حول Defender for Containers.