مقدمة إلى Microsoft Defender لسجلات الحاويات (مهملة)
هام
لقد بدأنا معاينة عامة لتقييم الثغرات الأمنية في Azure مدعوم من MDVM. لمزيد من المعلومات، راجع تقييمات الثغرات الأمنية ل Azure مع إدارة الثغرات الأمنية في Microsoft Defender.
Azure Container Registry هي خدمة تسجيل Docker الخاصة المدارة التي تخزن وتدير صور الحاويات الخاصة بك لإجراء عمليات نشر Azure في سجل مركزي. إنها تعتمد على Docker Registry 2.0 مفتوح المصدر.
لحماية السجلات القائمة على Azure Resource Manager في الاشتراك الخاص بك، قم بتمكينAzure Defender لسجلات الحاويات على مستوى الاشتراك. سيقوم Defender for Cloud بعد ذلك بمسح جميع الصور عندما يتم دفعها إلى التسجيل أو استيرادها إلى السجل أو سحبها خلال الأيام الثلاثين الماضية. يتم حسابك على تكاليف كل صورة يتم مسحها ضوئياً-مرة لكل صورة.
التوافر
هام
تم استبدال Microsoft Defender لسجلات الحاويات ب Microsoft Defender for Containers. إذا قمت بالفعل بتمكين Defender لسجلات الحاويات على اشتراك، يمكنك الاستمرار في استخدامه. ومع ذلك، لن تحصل على تحسينات Defender للحاويات والميزات الجديدة.
لم تعد هذه الخطة متاحة للاشتراكات التي لم يتم تمكينها فيها بالفعل.
للترقية إلى Microsoft Defender للحاويات، افتح صفحة خطط Defender في المدخل وقم بتمكين الخطة الجديدة:
تعرف على المزيد حول هذا التغيير في ملاحظات الإصدار.
| الجانب | التفاصيل |
|---|---|
| حالة الإصدار: | مهمل (استخدام Microsoft Defender للحاويات) |
| السجلات والصور المدعومة: | يمكن الوصول لصور Linux في سجلات ACR إليها من الإنترنت العام مع وصول الواجهة سجلات ACR المحمية مع الرابط الخاص لـ Azure |
| السجلات والصور غير المعتمدة: | صور ويندوز السجلات 'الخاصة' (ما لم يتم منح الوصول إلى الخدمات الموثوق بها) صور صغيرة للغاية مثل صورDocker scratch، أو الصور "غير المفككة" التي تحتوي فقط على تطبيق وتبعيات وقت التشغيل من دون مدير حزمة أو واجهة أو نظام تشغيل الصور مع مواصفات تنسيق الصورة لمبادرة فتح حاويات (OCI) |
| الأدوار والأذونات المطلوبة: | قارئ الأمانوأدوار تسجيل حاوية Azure والأذونات |
| سحابات: |  السحابات التجارية National (Azure Government، Microsoft Azure المشغل بواسطة 21Vianet) |
ما هي فوائد Microsoft Defender لسجلات الحاويات؟
Defender for Cloud يحدد Azure Resource Manager المستندة إلى سجلات ACR في اشتراكك ويوفر تقييم نقاط الضعف الأصلية Azure وإدارتها لصور التسجيل.
يتضمن Microsoft Defender لسجلات الحاويات جهاز ماسح ضوئي للثغرات الأمنية لمسح الصور ضوئياً في سجلات سجل حاويات Azure القائم على Azure Resource Manager الخاص بك ويوفر رؤية أفضل للصور الخاصة بالثغرات الأمنية.
عند العثور على مشكلات، سيتم إعلامك في لوحة معلومات حماية حمل العمل. لكل ثغرة أمنية، يوفر Defender for Cloud توصيات قابلة للتنفيذ، بالإضافة إلى تصنيف الخطورة، وتوجيهات حول كيفية معالجة المشكلة. للحصول على معلومات حول توصيات Defender for Cloud للحاويات، راجع قائمة التوصيات المرجعية.
يقوم Defender for Cloud بالتصفية وتصنيف النتائج من الماسح الضوئي. عندما تكون الصورة سليمة، يقوم Defender for Cloud بتمييزها على هذا النحو. يقوم Defender for Cloud بإنشاء توصيات أمان فقط للصور التي تحتوي على مشكلات يجب حلها. يوفر Defender for Cloud تفاصيل عن كل ثغرة أمنية تم الإبلاغ عنها وتصنيف شدتها. إضافة إلى ذلك، يقدم إرشادات حول كيفية علاج الثغرات الأمنية المحددة التي وجدت في كل صورة.
من خلال الإخطار فقط عندما تكون هناك مشاكل، يقلل Defender for Cloud من احتمال وجود تنبيهات إعلامية غير مرغوب فيها.
متى يتم مسح الصور ضوئيًا؟
هناك ثلاثة مشغلات لمسح الصور:
الدفع - كلما يتم دفع صورة إلى السجل الخاص بك، يقوم Defender لسجلات الحاويات تلقائياً بمسح تلك الصورة. لتشغيل مسح صورة، ادفعها إلى المستودع.
سُحبت مؤخراً - منذ اكتشاف الثغرات الأمنية الجديدة يومياً، يقوم Microsoft Defender لسجلات الحاويات بعمليات مسح ضوئي أيضاً، على أساس أسبوعي، لأي صورة يتم سحبها في غضون الـ 30 يوماً الماضية. لا توجد مصروفات إضافية على إعادة عمليات المسح الضوئي، كما ذكر أعلاه، حيث يتم حسابك لمرو واحدة على كل صورة.
عند الاستيراد - لدى Azure Container Registry أدوات استيراد لجلب الصور إلى سجلك من Docker Hub أو Microsoft Container Registry أو سجل آخر من سجلات حاوية Azure. يمسح Microsoft Defender لسجلات الحاويات أي صور مدعومة تقوم بإدخالها. تعرف على المزيد في إدخال صور الحاوية إلى سجل حاويات.
يكتمل المسح الضوئي عادة في غضون دقيقتين، ولكنه قد يصل إلى 40 دقيقة. يتم توفير النتائج كتوصيات أمنية مثل هذه:
كيف يعمل Defender for Cloud مع سجل حاويات Azure
وفيما يلي رسم تخطيطي رفيع المستوى لمكونات وفوائد حماية السجلات الخاصة بك باستخدام Defender for Cloud.
الأسئلة المتداولة - المسح الضوئي لسجل حاويات Azure
كيف يقوم Defender for Cloud بمسح صورة ضوئياً؟
يسحب Defender for Cloud الصورة من السجل ويشغلها في بيئة اختبار معزولة باستخدام الماسح الضوئي. يستخرج الماسح الضوئي قائمة بالثغرات الأمنية المعروفة.
يقوم Defender for Cloud بالتصفية وتصنيف النتائج من الماسح الضوئي. عندما تكون الصورة سليمة، يقوم Defender for Cloud بتمييزها على هذا النحو. يقوم Defender for Cloud بإنشاء توصيات أمان فقط للصور التي تحتوي على مشكلات يجب حلها. من خلال إعلامك فقط عند وجود مشاكل، يقلل Defender for Cloud من احتمال وجود تنبيهات إعلامية غير مرغوب فيها.
هل يمكنني الحصول على نتائج الفحص عبر واجهة برمجة تطبيقات REST؟
نعم. النتائج تحت التقييمات الفرعية REST API. يمكنك أيضاً استخدام Azure Resource Graph (ARG)، واجهة برمجة تطبيقات شبيهة بواجهة برمجة التطبيقات (KUSTO) لجميع الموارد: يمكن أن يؤدي الاستعلام إلى إجراء فحص محدد.
ما هي أنواع التسجيل التي يتم مسحها ضوئياً؟ ما هي الأنواع التي يتم إعداد فواتير لها؟
للحصول على قائمة بأنواع سجلات الحاويات المعتمدة من قبل Microsoft Defender لسجلات الحاويات، راجع التوفر.
إذا قمت بتوصيل السجلات غير المدعومة باشتراك Azure، فلن يقوم Defender for Cloud بمسحها ضوئياً ولن يقوم بمحاسبتك عليها.
هل يمكنني تخصيص النتائج من الماسح الضوئي للثغرات الأمنية؟
نعم. إذا كان لديك حاجة تنظيمية لتجاهل نتيجة، بدلاً من معالجتها، يمكنك تعطيلها اختيارياً. لا تؤثر النتائج المُعطلة على نقاطك الآمنة ولا تولد ضوضاء غير مرغوب فيها.
تعرف على كيفية إعداد قواعد لتعطيل النتائج من أداة تقييم الثغرات الأمنية المتكاملة.
لماذا ينبهني Defender for Cloud إلى نقاط الضعف الخاصة بصورة غير موجودة في السجل الخاص بي؟
يوفر Defender for Cloud تقييمات نقاط الضعف لكل صورة يتم دفعها أو سحبها في السجل. قد تعيد بعض الصور استخدام العلامات من صورة تم مسحها ضوئيا بالفعل. على سبيل المثال، يمكنك إعادة تعيين العلامة "الأحدث" في كل مرة تضيف فيها صورة إلى ملخص. في مثل هذه الحالات، لا تزال الصورة "القديمة" موجودة في السجل وقد لا يزال يتم سحبها بواسطة ملخصها. إذا كانت الصورة تحتوي على نتائج أمان وتم سحبها، فسوف تعرض الثغرات الأمنية.