Sdílet prostřednictvím


Vytváření výjimek a zakázání zjištění posouzení ohrožení zabezpečení u imagí registru kontejnerů a spouštění imagí

Poznámka:

Prostředí posouzení ohrožení zabezpečení můžete přizpůsobit vyloučením skupin pro správu, předplatných nebo konkrétních prostředků z vašeho skóre zabezpečení. Zjistěte, jak vytvořit výjimku pro prostředek nebo předplatné.

Pokud potřebujete, aby organizace hledání ignorovala a nemusela ji opravovat, můžete ji volitelně zakázat. Zakázaná zjištění nemají vliv na vaše skóre zabezpečení ani negenerují nežádoucí šum.

Když hledání odpovídá kritériím definovaným v pravidlech zákazu, nezobrazí se v seznamu zjištění. Mezi typické příklady scénářů patří:

  • Zakázání zjištění se závažností nižší než střední
  • Zakázání zjištění obrázků, které dodavatel neopraví

Důležité

K vytvoření pravidla potřebujete oprávnění k úpravě zásad ve službě Azure Policy. Další informace najdete v oprávněních Azure RBAC ve službě Azure Policy.

Můžete použít kombinaci některého z následujících kritérií:

  • CVE – Zadejte cves zjištění, která chcete vyloučit. Ujistěte se, že jsou cves platné. Oddělte více cves středníkem. Například CVE-2020-1347; CVE-2020-1346.
  • Hodnota hash obrázku – Určete obrázky, pro které mají být vyloučena ohrožení zabezpečení na základě digestu obrázku. Oddělte více digestů středníkem, například: sha256:9b920e938111710c2768b31699aac9d1ae80ab6284454e8a9ff42e887fa1db31;sha256:ab0ab32f75988da9b146de7a3589c47e919393ae51bbf2d8a0d55dd92542451c
  • Verze operačního systému – Zadejte image, pro které by měla být vyloučena ohrožení zabezpečení na základě operačního systému image. Oddělte více verzí středníkem, například: ubuntu_linux_20.04; alpine_3.17
  • Minimální závažnost – Vyberte nízkou, střední, vysokou nebo kritickou, pokud chcete vyloučit ohrožení zabezpečení nižší než zadaná úroveň závažnosti.
  • Stav opravy – Vyberte možnost vyloučit ohrožení zabezpečení na základě jejich stavu opravy.

Pravidla zákazu platí pro jednotlivá doporučení, například pro zákaz CVE-2017-17512 v imagích registru i v imagích modulu runtime, pravidlo zákazu musí být nakonfigurováno na obou místech.

Poznámka:

Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Vytvoření pravidla

  1. Na stránce s podrobnostmi doporučení pro image registru kontejnerů by měla být zjištěná ohrožení zabezpečení vyřešená s využitím Microsoft Defender Správa zranitelností nebo kontejnerů spuštěných v Azure by měla být zjištěna ohrožení zabezpečení, vyberte Zakázat pravidlo.

  2. Vyberte příslušný obor.

  3. Definujte kritéria. Můžete použít některou z následujících kritérií:

    • CVE – Zadejte cves zjištění, která chcete vyloučit. Ujistěte se, že jsou cves platné. Oddělte více cves středníkem. Například CVE-2020-1347; CVE-2020-1346.
    • Hodnota hash obrázku – Určete obrázky, pro které mají být vyloučena ohrožení zabezpečení na základě digestu obrázku. Oddělte více digestů středníkem, například: sha256:9b920e938111710c2768b31699aac9d1ae80ab6284454e8a9ff42e887fa1db31;sha256:ab0ab32f75988da9b146de7a3589c47e919393ae51bbf2d8a0d55dd92542451c
    • Verze operačního systému – Zadejte image, pro které by měla být vyloučena ohrožení zabezpečení na základě operačního systému image. Oddělte více verzí středníkem, například: ubuntu_linux_20.04; alpine_3.17
    • Minimální závažnost – Vyberte nízkou, střední, vysokou nebo kritickou, pokud chcete vyloučit ohrožení zabezpečení menší než a rovna zadané úrovni závažnosti.
    • Stav opravy – Vyberte možnost vyloučit ohrožení zabezpečení na základě jejich stavu opravy.
  4. Do textového pole pro odůvodnění přidejte odůvodnění, proč byla konkrétní chyba zabezpečení zakázaná. To poskytuje přehlednost a porozumění všem, kdo si pravidlo prohlédnou.

  5. Vyberte Použít pravidlo.

    Snímek obrazovky znázorňující, kde vytvořit pravidlo zákazu pro zjištění ohrožení zabezpečení u imagí registru

    Důležité

    Může trvat až 24 hodin, než se změny projeví.

Zobrazení, přepsání nebo odstranění pravidla

  1. Na stránce s podrobnostmi doporučení vyberte Zakázat pravidlo.

  2. V seznamu oborů se předplatná s aktivními pravidly zobrazují jako použité pravidlo.

  3. Pokud chcete pravidlo zobrazit nebo odstranit, vyberte nabídku se třemi tečky (...).

  4. Proveďte některou z následujících akcí:

    • Chcete-li zobrazit nebo přepsat pravidlo zákazu – vyberte Zobrazit pravidlo, proveďte požadované změny a vyberte Přepsat pravidlo.
    • Pokud chcete odstranit pravidlo zákazu, vyberte Odstranit pravidlo.

    Snímek obrazovky znázorňující, kde zobrazit, odstranit nebo přepsat pravidlo pro zjištění ohrožení zabezpečení u imagí registru

Další kroky