Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Defender für Container führt eine agentlose Sicherheitsrisikobewertung für Containerimages in unterstützten Laufzeitumgebungen und unterstützten Containerregistrierungen durch. Relevante Empfehlungen werden für Sicherheitsrisiken generiert, die in einem Containerregistrierungsimage oder in einem ausgeführten Container erkannt wurden.
Die Sicherheitsrisikobewertung von Images in unterstützten Containerregistrierungen wird ausgeführt, wenn der Registrierungszugriff für die Pläne Defender für Cloud Security Posture Management oder Defender für Container aktiviert ist.
Die Bewertung von Sicherheitslücken in ausgeführten Containerimages wird unabhängig von der ursprünglichen Container-Registrierung durchgeführt, wenn die Erweiterung zum agentenlosen Scannen nach Computern zusammen mit der K8S-API-Zugriffserweiterung oder der Defender-Sensor-Erweiterung in den Plänen „Defender for Cloud Security Posture Management“ oder „Defender for Containers“ aktiviert ist. Ergebnisse der Sicherheitsrisikobewertung werden auch für Containerimages erstellt, die aus unterstützten Registrierungen abgerufen werden.
Hinweis
Überprüfen Sie die Defender for Containers-Unterstützungsmatrix für unterstützte Umgebungen.
Die Sicherheitsrisikobewertung von Containerimages, die von Microsoft Defender Vulnerability Management unterstützt wird, verfügt über die folgenden Funktionen:
Überprüfen von Betriebssystempaketen: Mit der Containersicherheitsbewertung können vom Betriebssystempaket-Manager unter Linux und Windows-Betriebssystemen installierte Pakete auf Sicherheitsrisiken überprüft werden. Sehen Sie sich die vollständige Liste der unterstützten Betriebssysteme und Versionen an.
Sprachspezifische Pakete: nur Linux – Unterstützung für ohne den Betriebssystempaket-Manager installierte oder kopierte sprachspezifische Pakete und Dateien sowie deren Abhängigkeiten. Sehen Sie sich die vollständige Liste der unterstützten Sprachen an.
Image-Überprüfung in Azure Private Link – Azure-Container-Sicherheitsrisikobewertung kann Bilder in Containerregistrierungen scannen, auf die über private Azure-Links zugegriffen werden kann. Diese Funktion erfordert Zugriff auf vertrauenswürdige Dienste und die Authentifizierung bei der Registrierung. Erfahren Sie, wie Sie den Zugriff über vertrauenswürdige Dienste zulassen.
Informationen zur Ausnutzbarkeit: Jeder Sicherheitsrisikobericht wird durch Datenbanken zur Ausnutzbarkeit durchsucht, um unsere Kunden bei der Ermittlung des tatsächlichen Risikos zu unterstützen, das mit den einzelnen gemeldeten Sicherheitsrisiken verbunden ist.
Berichterstellung: Die Sicherheitsrisikobewertung von Containern für Azure von Microsoft Defender Vulnerability Management stellt Sicherheitsrisikoberichte mit den folgenden Empfehlungen bereit:
Informationen zur Ausnutzbarkeit: Jeder Sicherheitsrisikobericht wird durch Datenbanken zur Ausnutzbarkeit durchsucht, um unsere Kunden bei der Ermittlung des tatsächlichen Risikos zu unterstützen, das mit den einzelnen gemeldeten Sicherheitsrisiken verbunden ist.
Berichterstellung – Container-Sicherheitsrisikobewertung, die von Microsoft Defender Vulnerability Management unterstützt wird, bietet Sicherheitsrisikenberichte mithilfe der folgenden Empfehlungen:
Abfragen von Informationen zu Sicherheitsrisiken über Azure-Resource Graph: Möglichkeit, Informationen zu Sicherheitsrisiken über Azure-Resource Graph abzufragen. Erfahren Sie, wie Sie Empfehlungen über ARG abfragen.
Abfragen von Scanergebnissen über DIE REST-API – Erfahren Sie, wie Sie Scanergebnisse über die REST-API abfragen.
Unterstützung für Ausnahmen : Hier erfahren Sie, wie Sie Ausnahmeregeln für eine Verwaltungsgruppe, Ressourcengruppe oder ein Abonnement erstellen.
Unterstützung zur Deaktivierung von Sicherheitsrisiken – Erfahren Sie, wie Sie Sicherheitsrisiken für Bilder deaktivieren.
Signierung und Überprüfung von Schwachstellenbefunden – Jedes Vulnerability Finding-Artefakt eines Images wird zur Gewährleistung der Integrität und Authentizität mit einem Microsoft-Zertifikat signiert und dem Container-Image im Register für Validierungszwecke zugeordnet.
Empfehlungen zur Sicherheitsrisikobewertung
Die folgenden neuen Vorschauempfehlungen berichten über Sicherheitslücken bei Laufzeitcontainern und Sicherheitslücken bei Registrierungsimages und werden in der Vorschau nicht für die Sicherheitsbewertung berücksichtigt. Das Scanmodul für die neuen Empfehlungen entspricht den aktuellen GA-Empfehlungen und liefert dieselben Ergebnisse. Die neuen Empfehlungen eignen sich am besten für Kunden, die die neue risikobasierte Ansicht für Empfehlungen verwenden und den Defender CSPM-Plan aktiviert haben.
| Empfehlung | BESCHREIBUNG | Bewertungsschlüssel |
|---|---|---|
| [Vorschau] Bei Containerimages in der Azure-Registrierung sollten ermittelte Sicherheitsrisiken behoben sein. | Defender for Cloud überprüft Ihre Registrierungsimages auf bekannte Sicherheitsrisiken (CVEs) und stellt detaillierte Ergebnisse für jedes gescannte Image bereit. Das Scannen und Beheben von Sicherheitsrisiken für Containerimages in der Registrierung trägt dazu bei, eine sichere und zuverlässige Softwarelieferkette aufrechtzuerhalten, das Risiko von Sicherheitsvorfällen zu verringern und die Einhaltung von Branchenstandards sicherzustellen. | 33422d8f-ab1e-42be-bc9a-38685bb567b9 |
| [Vorschau] Bei in Azure ausgeführten Containern sollten ermittelte Sicherheitsrisiken behoben sein. | Defender for Cloud erstellt eine Bestandsaufnahme aller Containerworkloads, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden, und stellt Sicherheitsrisikoberichte für diese Workloads bereit, indem die verwendeten Images mit den für die Registrierungsimages erstellten Sicherheitsrisikoberichten abgeglichen werden. Das Scannen und Beheben von Sicherheitsrisiken in Containerworkloads ist von entscheidender Bedeutung, um eine stabile und sichere Softwarelieferkette zu gewährleisten, das Risiko von Sicherheitsvorfällen zu verringern und die Einhaltung von Branchenstandards sicherzustellen. | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
Die folgenden aktuellen GA-Empfehlungen berichten über Sicherheitsrisiken in Containern innerhalb eines Kubernetes-Clusters und über Container-Images in einer Containerregistrierung. Diese Empfehlungen eignen sich am besten für Kunden, die die klassische Ansicht für Empfehlungen verwenden und keinen Defender CSPM-Plan aktiviert haben.
| Empfehlung | BESCHREIBUNG | Bewertungsschlüssel |
|---|---|---|
| Sicherheitsrisiken in Containerimages der Azure-Registrierung sollten behoben sein (unterstützt von Microsoft Defender Vulnerability Management) | Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Das Beheben von Sicherheitsrisiken kann Ihren Sicherheitsstatus erheblich verbessern und sicherstellen, dass Images vor der Bereitstellung gefahrlos verwendet werden können. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Sicherheitsrisiken in den in Azure ausgeführten Containerimages sollten behoben sein (unterstützt von Microsoft Defender Vulnerability Management) | Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Diese Empfehlung bietet Sichtbarkeit für anfällige Images, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden. Das Beheben von Schwachstellen in Container-Images, die derzeit ausgeführt werden, ist der Schlüssel zur Verbesserung Ihrer Sicherheitslage, wodurch die Angriffsoberfläche für Ihre Container-Workloads erheblich reduziert wird. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Funktionsweise der Sicherheitsrisikobewertung für Images und Container
Scannen von Images in von Defender für Container unterstützten Registries
Hinweis
Die Registrierungszugriffserweiterung muss für die Sicherheitsrisikobewertung von Images in Containerregistrierungen aktiviert sein.
Die Überprüfung eines Images in einer Containerregistrierung erstellt eine Bestandsaufnahme des Images und der zugehörigen Empfehlungen für Sicherheitsrisiken. Die unterstützten Containerimageregistrierungen sind: Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR), Google Container Registry (GCR) und konfigurierte externe Registrierungen. Ein Bild wird gescannt, wenn:
- Ein neues Image wird in die Container-Registrierung verschoben oder importiert. Das Bild wird innerhalb weniger Stunden gescannt.
- Fortlaufendes Erneutes Scannen – ein kontinuierlicher Erneutscan ist erforderlich, um sicherzustellen, dass Bilder, die zuvor auf Sicherheitsrisiken gescannt wurden, erneut überprüft werden, um ihre Sicherheitsrisikoberichte zu aktualisieren, falls eine neue Sicherheitsanfälligkeit veröffentlicht wird.
Die erneute Überprüfungen erfolgen für folgende Elemente einmal täglich:
- Images, die in den letzten 90 Tagen per Push übertragen wurden.*
- Bilder, die in den letzten 30 Tagen abgerufen wurden.
- Images, die derzeit auf den von Defender for Cloud überwachten Kubernetes-Clustern ausgeführt werden (entweder über Ermittlung ohne Agent für Kubernetes oder den Defender-Sensor).
* Die neue Vorschauempfehlung wird für Bilder generiert, die in den letzten 30 Tagen per Push übertragen wurden.
Hinweis
Für Defender for Containers-Registrierungen (veraltet) werden Images einmal per Push und per Pull gescannt und nur einmal pro Woche erneut gescannt.
Scannen von Containern in der Arbeitslast des Clusters
Die Containerimages in der Cluster-Workload werden wie folgt gescannt:
- Anfällige Images, die in unterstützten Registrierungen gescannt werden, werden durch den Ermittlungsprozess als auf dem Cluster ausgeführt erkannt. Ausgeführte Containerimages werden alle 24 Stunden gescannt. Registrierungszugriff und kubernetes-API-Zugriff oder Defender-Sensor müssen aktiviert sein.
- Containerimages werden aus der Laufzeitumgebung erfasst und auf Sicherheitsrisiken überprüft, unabhängig von der ursprünglichen Registrierung. Die Überprüfung umfasst Container im Besitz von Kunden, Kubernetes-Add-Ons und Tools von Drittanbietern, die auf dem Cluster ausgeführt werden. Laufzeitumgebungsimages werden alle 24 Stunden gesammelt. Agentenloses Scannen von Maschinen erfordert entweder Kubernetes-API-Zugriff oder dass der Defender-Sensor aktiviert ist.
Hinweis
- Die Containerlaufzeitebene kann nicht auf Sicherheitsrisiken überprüft werden.
- Containerimages von Knoten, die AKS-Ephemeral-OS-Datenträger oder Windows-Knoten verwenden, können nicht auf Sicherheitslücken überprüft werden.
- Autoskaliert konfigurierte AKS-Cluster können teilweise oder keine Ergebnisse liefern, wenn einige oder alle Clusterknoten zum Zeitpunkt des Scans ausgefallen sind.
Wenn ich ein Image aus meiner Registrierung entferne, wie lange dauert es dann, bis die Berichte über Sicherheitsrisiken für dieses Image entfernt sind?
Azure Container Registries benachrichtigt Defender für Cloud, wenn Images gelöscht werden, und entfernt die Sicherheitsrisikobewertung für gelöschte Images innerhalb einer Stunde. In einigen seltenen Fällen wird Defender for Cloud möglicherweise nicht über den Löschvorgang benachrichtigt, und das Löschen von zugehörigen Sicherheitsrisiken in solchen Fällen kann bis zu drei Tage dauern.
Nächste Schritte
- Weitere Informationen zu den Defender-Plänen für Microsoft Defender for Cloud.
- Sehen Sie sich häufige Fragen zu Defender for Containers an.