Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die AKS-Daten-API bietet Ihnen programmgesteuerten, schreibgeschützten Zugriff auf allgemeine Sicherheitsrisiken und Expositionen (CVEs), die in AKS-verwalteten Plattformkomponenten erkannt wurden. Es ist für Sicherheitsteams, Complianceteams und Plattformbesitzer vorgesehen, die autoritative Informationen zu Sicherheitsrisiken in von AKS verwalteten Komponenten benötigen, einschließlich der AKS-Version, die den Patch für jede CVE enthält. Eine konzeptionelle Übersicht darüber, wie diese Komponenten strukturiert und aktualisiert werden, finden Sie unter AKS-Komponentenversionsverwaltung.
Dieser Übersichtsartikel erläutert den Zweck der AKS Vulnerability Data API, die Arten von CVE-Daten, die sie bereitstellt, und wie Sie damit den Sicherheitsstatus von AKS-verwalteten Komponenten im Laufe der Zeit nachvollziehen können.
Note
Diese API stellt keine clusterspezifische Ansicht von Sicherheitsrisiken bereit. Es verfolgt CVEs in Bezug auf AKS-Releases, Kubernetes-Versionen und Node-Images und identifiziert das AKS-Release, das den Patch für jede CVE enthält. Aufgrund geplanter Wartungsfenster und des phasenweisen Rollouts von AKS-Versionen können verschiedene Cluster jederzeit auf verschiedenen AKS-Versionen verwendet werden.
AKS-Daten-API-Struktur für Sicherheitsrisiken
Die API zeigt Sicherheitsrisikodaten an, die nach drei AKS-Komponentenkategorien organisiert sind:
- AKS-Plattformversionen: CVEs, die sich auf eine bestimmte AKS-Version und die AKS-Version auswirken, die den Patch für jedes CVE enthält. Dies umfasst die Kubernetes-Steuerungsebenenkomponenten und die Containerimages für von AKS verwaltete Features, Add-Ons und Erweiterungen, die an diese Version gebunden sind.
- Kubernetes-Versionen: CVEs, die Kubernetes-Komponentenimages und die Containerimages für AKS-verwaltete Features, Add-Ons und Erweiterungen betreffen, die einer bestimmten Kubernetes-Version zugeordnet sind.
- Node-Images (Virtuelle Festplatten oder VHDs): CVEs, die Sich auf Betriebssystempakete und zwischengespeicherte Containerimages auswirken, die in einem bestimmten AKS-Knotenimage enthalten sind.
Die Daten werden aus vorab gescannten, überprüften Berichten generiert und spiegeln den Sicherheitsstatus von AKS-verwalteten Komponenten zu bestimmten Veröffentlichungspunkten wider.
Important
Die AKS-Sicherheitsrisikodaten-API ist nur informationsgeschützt und meldet Sicherheitsrisiken, die in AKS-verwalteten Artefakten identifiziert wurden, und keine Sicherheitsrisiken, die in vom Kunden verwalteten Workloads vorhanden sind.
Die API funktioniert nicht:
- Scannen von Kundenclustern
- Analysieren der Laufzeitexposition
- Ermitteln Sie, ob ein CVE in Ihrer Umgebung ausnutzbar ist. Die Ausnutzung hängt von Arbeitsauslastungsverhalten, Netzwerkexposition und Zugriffssteuerungen ab, in die die API keinen Einblick hat.
- Gibt an, ob eine gepatchte AKS-Version für einen bestimmten Cluster eingeführt wurde. Die Patchverfügbarkeit für einen bestimmten Cluster hängt von der aktuellen AKS-Version des Clusters, der Regionsrolloutphase und geplanten Wartungsfenstern ab.
Zur Bewertung von Schwachstellen in Clustern im Betrieb und Kundenworkloads verwenden Sie Tools wie Microsoft Defender für Container oder Containersicherheitsscanner von Drittanbietern.
Sie können die Sicherheitsrisikodaten verwenden, um zu ermitteln, welche AKS-Versionen Patches für bestimmte CVEs enthalten, und überprüfen Sie dann, ob diese Versionen aufgrund geplanter Wartungsfenster auf Ihren Clustern ausstehen.
Zugreifen auf die API
Sie können auf die AKS-Daten-API für Sicherheitsrisiken zugreifen, indem Sie eine der folgenden Methoden verwenden:
- REST-API-Basis-URL: https://cve-api.prod-aks.azure.com
- Interaktiver Viewer: https://cve-api.prod-aks.azure.com/viewer/index.html
Alle Endpunkte sind öffentlich zugänglich und schreibgeschützt. Sie stellen keine kundenspezifischen Informationen zur Verfügung. Verwenden Sie den interaktiven Viewer für ad-hoc-Erkundung und manuelle Überprüfung. Verwenden Sie die REST-API für Automatisierungs-, Berichterstellungs- und umfangreiche Analysen.
So interpretieren Sie CVE-Daten
Die AKS-API für Sicherheitslückendaten meldet CVEs, die in von AKS verwalteten Artefakten zu bestimmten Zeitpunkten erkannt wurden. Jeder CVE in einem Bericht wird entweder als aktiv oder entschärft klassifiziert:
- Aktive CVEs deuten auf Sicherheitsrisiken hin, die bei der Erstellung des Berichts in der referenzierten AKS-Artefaktversion erkannt wurden.
- Entschärfte CVEs deuten auf Sicherheitsrisiken hin, die in einer früheren Version des referenzierten AKS-Artefakts erkannt wurden, aber nicht mehr in der aktuellen Version vorhanden sind, in der Regel weil die betroffene Komponente oder das Betriebssystempaket aktualisiert wurde.
Die richtige Erfahrung wählen
AKS-Sicherheitsrisikoinformationen stehen je nach Umfang der Aufgabe über mehrere Erfahrungen zur Verfügung:
| Geltungsbereich | Empfohlene Erfahrung |
|---|---|
| Einmalige CVE-Suche oder Ad-hoc-Untersuchung | Verwenden Sie den AKS-CVE-Status und die Sicherheitsbulletins oder die interaktive Ansicht. |
| Clusterspezifische CVE-Analyse ohne Sicherheitsrisikoscanner | Korrelieren Sie die Daten aus dieser API mit den auf Ihrem Cluster ausgeführten AKS-verwalteten Komponentenversionen. Sie können die in Ihrem Cluster bereitgestellten Komponentenversionen mithilfe von AKS Component Insights ermitteln. |
| Umfangreiche CVE-Analyse oder Automatisierung | Verwenden Sie für Szenarien, in denen Sie Hunderte oder Tausende von CVEs verarbeiten müssen, die von einem Sicherheitsscanner gemeldet wurden, die AKS-Daten-API für Sicherheitsrisiken direkt. Auf diese Weise können Sie Sicherheitslückenberichte zu den AKS-Artefakten, die Sie ausführen, programmgesteuert abrufen, von Scannern gemeldete CVEs mit den CVEs vergleichen, die in diesen Artefaktberichten aufgeführt sind, und ermitteln, welche CVEs in neueren AKS-Versionen, Kubernetes-Versionen oder Node-Images behoben sind. |
Anleitungen zur Verwendung der API für Massenanalyse, Korrelationsworkflows und Automatisierungsszenarien finden Sie unter Use the Azure Kubernetes Service (AKS) Vulnerability Data API.
Häufige Anwendungsfälle
In den folgenden Abschnitten werden gängige Szenarien beschrieben, in denen die AKS Vulnerability Data API zur Unterstützung von Sicherheits- und Complianceaktivitäten verwendet werden kann, einschließlich der Prüfung von CVEs für AKS-Releases, der Identifizierung abgemilderter CVEs zwischen Releases, der Überprüfung von CVEs für Kubernetes-Versionen und der Bewertung von Schwachstellen in Knotenimages.
CVEs für ein AKS-Release überprüfen
Rufen Sie Sicherheitsrisikodaten für eine bestimmte AKS-Plattformversion ab, um CVEs zu überprüfen, die in AKS-verwalteten Systemkomponenten behoben wurden.
Identifizieren von CVEs, die zwischen AKS-Versionen abgemildert wurden
AKS-Releaseberichte enthalten Delta-Informationen, die angeben, welche CVEs im Vergleich zur vorherigen Version abgemildert wurden. Überprüfen Sie die AKS Release Tracker , um festzustellen, wann eine laufende Version Ihre Region erreicht, und bestätigen Sie, dass Ihr Wartungsfenster das Upgrade zulässt.
Überprüfen von CVEs für eine Kubernetes-Version
Abrufen von Informationen zu Sicherheitslücken für eine bestimmte Kubernetes-Version, einschließlich CVEs, die folgende Version betreffen:
- Images für Kubernetes-Komponenten
- AKS-verwaltete Features, Add-Ons und Erweiterungen, die dieser Version zugeordnet sind.
Dies ist hilfreich beim Auswerten von Kubernetes-Upgrades oder beim Vergleichen des Sicherheitsrisikostatus in unterstützten Versionen. Überprüfen Sie den AKS Release Tracker , um festzustellen, wann eine Kubernetes-Version Ihre Region erreicht, und bestätigen Sie, dass Ihr Wartungsfenster das Upgrade zulässt.
Überprüfen von VHD-Sicherheitsrisiken (Node Image)
Knotenbildberichte bieten Einblicke in Sicherheitsrisiken, die sich auf Folgendes auswirken:
- Betriebssystempakete, die im Knotenimage enthalten sind.
- Container-Images, die im Node-Image zwischengespeichert sind.
Diese Informationen sind hilfreich beim Planen von Knotenimageupgrades. Überprüfen Sie die AKS Release Tracker , um festzustellen, wann eine VHD-Version Ihre Region erreicht, und bestätigen Sie, dass Ihr Wartungsfenster das Upgrade zulässt.
Verwandte Inhalte
- Ausführliche Dokumentation zu Endpunkten, Anforderungsformaten, Antwortschemas und Beispielen finden Sie unter Use the Azure Kubernetes Service (AKS) Vulnerability Data API.
- Verwenden Sie Microsoft Defender für Container oder Scanner von Drittanbietern weiterhin, um die Workload- und Laufzeit-Sicherheitsrisiken zu bewerten.