Sicherheitsrisikobewertungen für Azure mit Microsoft Defender Vulnerability Management
Die Sicherheitsrisikobewertung für Azure von Microsoft Defender Vulnerability Management ist eine sofort einsatzbereite Lösung, die es Sicherheitsteams ermöglicht, Sicherheitsrisiken in Linux-Containerimages ohne Konfiguration für das Onboarding und ohne Bereitstellung von Agents einfach zu erkennen und zu beheben.
Hinweis
Dieses Feature unterstützt nur das Scannen von Images in Azure Container Registry (ACR). Images, die in anderen Containerregistrierungen gespeichert sind, sollten zur Abdeckung in ACR importiert werden. Weitere Informationen zur Vorgehensweise finden Sie unter Importieren von Containerimages in eine Containerregistrierung.
In jedem Abonnement, in dem diese Funktion aktiviert ist, werden alle in ACR gespeicherten Images, die die Kriterien für Scan-Auslöser erfüllen, ohne zusätzliche Konfiguration von Benutzern oder Registern auf Sicherheitslücken gescannt. Empfehlungen mit Sicherheitsrisikoberichten werden für alle Images in ACR sowie für Images bereitgestellt, die derzeit in AKS ausgeführt werden und aus einer ACR-Registrierung abgerufen wurden oder einer anderen von Defender for Cloud unterstützten Registrierung (ECR, GCR oder GAR). Images werden kurz nach dem Hinzufügen zu einer Registrierung überprüft und alle 24 Stunden erneut auf neue Sicherheitsrisiken überprüft.
Die Containersicherheitsbewertung, unterstützt von Microsoft Defender Vulnerability Management, bietet die folgenden Funktionen:
- Überprüfen von Betriebssystempaketen: Mit der Containersicherheitsbewertung können vom Betriebssystempaket-Manager unter Linux und Windows-Betriebssystemen installierte Pakete auf Sicherheitsrisiken überprüft werden. Sehen Sie sich die vollständige Liste der unterstützten Betriebssysteme und Versionen an.
- Sprachspezifische Pakete: nur Linux – Unterstützung für ohne den Betriebssystempaket-Manager installierte oder kopierte sprachspezifische Pakete und Dateien sowie deren Abhängigkeiten. Sehen Sie sich die vollständige Liste der unterstützten Sprachen an.
- Imageüberprüfung in Azure Private Link: Die Sicherheitsrisikobewertung für Azure-Container ermöglicht das Überprüfen von Images in Containerregistrierungen, auf die über Azure Private Links zugegriffen werden kann. Diese Funktion erfordert Zugriff auf vertrauenswürdige Dienste und die Authentifizierung bei der Registrierung. Erfahren Sie, wie Sie den Zugriff über vertrauenswürdige Dienste zulassen.
- Informationen zur Ausnutzbarkeit: Jeder Sicherheitsrisikobericht wird durch Datenbanken zur Ausnutzbarkeit durchsucht, um unsere Kunden bei der Ermittlung des tatsächlichen Risikos zu unterstützen, das mit den einzelnen gemeldeten Sicherheitsrisiken verbunden ist.
- Berichterstellung: Die Sicherheitsrisikobewertung von Containern für Azure von Microsoft Defender Vulnerability Management stellt Sicherheitsrisikoberichte mit den folgenden Empfehlungen bereit:
Dies sind die neuen Empfehlungen, die Schwachstellen in Runtimecontainern und Registrierungsimages melden. Sie befinden sich derzeit in der Vorschau, sollen aber die alten Empfehlungen ersetzen. Diese neuen Empfehlungen zählen nicht zur Sicherheitsbewertung während der Vorschau. Das Scanmodul für beide Empfehlungen ist identisch.
| Empfehlung | BESCHREIBUNG | Bewertungsschlüssel |
|---|---|---|
| [Vorschau] Bei Containerimages in der Azure-Registrierung sollten ermittelte Sicherheitsrisiken behoben sein. | Defender for Cloud überprüft Ihre Registrierungsimages auf bekannte Sicherheitsrisiken (CVEs) und stellt detaillierte Ergebnisse für jedes gescannte Image bereit. Das Scannen und Beheben von Sicherheitsrisiken für Containerimages in der Registrierung trägt dazu bei, eine sichere und zuverlässige Softwarelieferkette aufrechtzuerhalten, das Risiko von Sicherheitsvorfällen zu verringern und die Einhaltung von Branchenstandards sicherzustellen. | 33422d8f-ab1e-42be-bc9a-38685bb567b9 |
| [Vorschau] Bei in Azure ausgeführten Containern sollten ermittelte Sicherheitsrisiken behoben sein. | Defender for Cloud erstellt eine Bestandsaufnahme aller Containerworkloads, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden, und stellt Sicherheitsrisikoberichte für diese Workloads bereit, indem die verwendeten Images mit den für die Registrierungsimages erstellten Sicherheitsrisikoberichten abgeglichen werden. Das Scannen und Beheben von Sicherheitsrisiken in Containerworkloads ist von entscheidender Bedeutung, um eine stabile und sichere Softwarelieferkette zu gewährleisten, das Risiko von Sicherheitsvorfällen zu verringern und die Einhaltung von Branchenstandards sicherzustellen. | e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 |
Dies sind die älteren Empfehlungen, die sich derzeit in einem Pfad befinden, der demnächst eingestellt wird:
| Empfehlung | BESCHREIBUNG | Bewertungsschlüssel |
|---|---|---|
| Containerimages der Azure-Registrierung sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management) | Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Das Beheben von Sicherheitsrisiken kann Ihren Sicherheitsstatus erheblich verbessern und sicherstellen, dass Images vor der Bereitstellung gefahrlos verwendet werden können. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Ausgeführte Azure-Containerimages sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management) | Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Diese Empfehlung bietet Sichtbarkeit für anfällige Images, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden. Das Beheben von Sicherheitsrisiken in Containerimages, die derzeit ausgeführt werden, ist der Schlüssel zur Verbesserung Ihres Sicherheitsstatus, wodurch die Angriffsoberfläche für Ihre Containerworkloads erheblich reduziert wird. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
- Abfragen von Informationen zu Sicherheitsrisiken über Azure-Resource Graph: Möglichkeit, Informationen zu Sicherheitsrisiken über Azure-Resource Graph abzufragen. Erfahren Sie, wie Sie Empfehlungen über ARG abfragen.
- Abfragen von Scanergebnissen über die REST-API – Erfahren Sie, wie Sie Scanergebnisse über die REST-API abfragen.
- Unterstützung für Ausnahmen : Hier erfahren Sie, wie Sie Ausnahmeregeln für eine Verwaltungsgruppe, Ressourcengruppe oder ein Abonnement erstellen.
- Unterstützung zur Deaktivierung von Sicherheitsrisiken – Erfahren Sie, wie Sie Sicherheitsrisiken für Bilder deaktivieren.
Auslöser überprüfen
Die Trigger für eine Imageüberprüfung sind:
Einmaliges Auslösen:
- Jedes Image, das an eine Containerregistrierung übertragen oder in eine Containerregistrierung importiert wird, wird ausgelöst, um gescannt zu werden. In den meisten Fällen ist die Überprüfung innerhalb weniger Minuten abgeschlossen, in seltenen Fällen kann es jedoch bis zu einer Stunde dauern.
- Jedes Bild, das aus einer Registrierung abgerufen wird, wird innerhalb von 24 Stundenzum Scannen ausgelöst.
Auslösung fortlaufender erneuter Überprüfungen – Fortlaufende erneute Überprüfungen sind erforderlich, um sicherzustellen, dass Images, die zuvor auf Sicherheitsrisiken überprüft wurden, bei Veröffentlichung eines neuen Sicherheitsrisikos erneut überprüft werden, um die Sicherheitsrisikoberichte zu aktualisieren.
- Die erneute Überprüfungen erfolgen für folgende Elemente einmal täglich:
- Images, die in den letzten 90 Tagen per Push übertragen wurden.
- Bilder , die in den letzten 30 Tagenabgerufen wurden.
- Images, die derzeit auf den von Defender for Cloud überwachten Kubernetes-Clustern ausgeführt werden (entweder über Ermittlung ohne Agent für Kubernetes oder den Defender-Sensor).
- Die erneute Überprüfungen erfolgen für folgende Elemente einmal täglich:
Wie funktioniert die Imageüberprüfung?
Eine detaillierte Beschreibung des Scan-Vorgangs wird folgendermaßen beschrieben:
Wenn Sie die Bewertung der Sicherheitsanfälligkeit in Containern für Azure von Microsoft Defender Vulnerability Management aktivieren, autorisieren Sie Defender for Cloud, Containerimages in Ihren Azure Container-Registrierungen zu überprüfen.
Defender for Cloud ermittelt automatisch alle Containerregistrierungen, Repositorys und Images (die vor oder nach der Aktivierung dieser Fähigkeit erstellt wurden).
Defender für Cloud empfängt Benachrichtigungen, wenn ein neues Image per Push an eine Azure Container Registry übertragen wird. Das neue Image wird dann sofort dem Katalog des von Defender für Cloud verwalteten Images hinzugefügt, und es wird eine Aktion in die Warteschlange gestellt, um das Bild sofort zu überprüfen.
Einmal täglich und für neue Images, die an eine Registrierung übertragen wurden:
- Alle neu entdeckten Images werden abgerufen, und für jedes Image wird ein Inventar erstellt. Der Imagebestand wird beibehalten, um weitere Imageabrufe zu vermeiden, sofern die neue Scannerfunktionen dies nicht erforderlich macht.
- Anhand des Bestands werden Sicherheitsrisikoberichte für neue Images generiert und für bereits gescannte Images aktualisiert, die entweder in den letzten 90 Tagen in eine Registrierung übertragen wurden oder derzeit ausgeführt werden. Um festzustellen, ob ein Image derzeit ausgeführt wird, verwendet Defender for Cloud sowohl die Agentlose Ermittlung für Kubernetes als auch Inventar, das über den Defender-Sensor gesammelt wird, der auf AKS-Knoten ausgeführt wird.
- Sicherheitsrisikoberichte für Registrierungscontainerimages werden als Empfehlung bereitgestellt.
Für Kunden, die entweder Agentless Discovery für Kubernetes oder über den Defender-Sensor gesammelten Bestand auf AKS-Knoten verwenden, erstellt Defender for Cloud auch eine Empfehlung zur Behebung von Sicherheitsrisiken für anfällige Images, die auf einem AKS-Cluster ausgeführt werden. Für Kunden, die nur Agentless Discovery für Kubernetes verwenden, beträgt die Aktualisierungszeit für den Bestand in dieser Empfehlung einmal alle 7 Stunden. Cluster, die auch den Defender-Sensor ausführen, profitieren von einer zweistündigen Bestandsaktualisierungsrate. Die Ergebnisse der Bildscans werden basierend auf der Registrierungsüberprüfung in beiden Fällen aktualisiert und daher nur alle 24 Stunden aktualisiert.
Hinweis
Für Defender für Containerregistrierungen (veraltet) werden Images einmal per Push und per Pull gescannt und nur einmal pro Woche erneut gescannt.
Wenn ich ein Image aus meiner Registrierung entferne, wie lange dauert es dann, bis die Berichte über Sicherheitsrisiken für dieses Image entfernt sind?
Azure Container Registries benachrichtigt Defender für Cloud, wenn Images gelöscht werden, und entfernt die Sicherheitsrisikobewertung für gelöschte Images innerhalb einer Stunde. In einigen seltenen Fällen wird Defender for Cloud möglicherweise nicht über den Löschvorgang benachrichtigt, und das Löschen von zugehörigen Sicherheitsrisiken in solchen Fällen kann bis zu drei Tage dauern.
Nächste Schritte
- Weitere Informationen zu den Defender-Plänen für Microsoft Defender for Cloud.
- Sehen Sie sich häufige Fragen zu Defender for Containers an.