Evaluaciones de vulnerabilidades para Azure con Administración de vulnerabilidades de Microsoft Defender
La valoración de vulnerabilidades para Azure, con tecnología de Administración de vulnerabilidades de Microsoft Defender, es una solución integrada que permite a los equipos de seguridad detectar y corregir fácilmente vulnerabilidades en las imágenes de contenedor sin necesidad de configuración para la incorporación y sin necesidad de implementar ningún agente.
Nota:
Esta característica solo admite el examen de imágenes en Azure Container Registry (ACR). Las imágenes almacenadas en otros registros de contenedor deben importarse a ACR para la cobertura. Obtenga más información sobre cómo Importar imágenes de contenedor en un registro de contenedor.
En todas las suscripciones en la que esta funcionalidad está habilitada, se examinan las imágenes almacenadas en ACR que cumplan los criterios necesarios para desencadenar un examen para buscar vulnerabilidades sin necesidad de configuración adicional de usuarios o registros. Las recomendaciones con informes de vulnerabilidades se proporcionan para todas las imágenes de ACR, así como para las imágenes que se ejecutan actualmente en AKS que se han extraído de un registro de ACR o cualquier otro registro compatible con Defender for Cloud (ECR, GCR o GAR). Las imágenes se examinan poco después de agregarse a un registro y se vuelven a examinar para detectar nuevas vulnerabilidades una vez cada 24 horas.
La evaluación de vulnerabilidades de contenedor con tecnología de Administración de vulnerabilidades de Microsoft Defender tiene las siguientes funcionalidades:
- Examen de paquetes del sistema operativo: la evaluación de vulnerabilidades del contenedor tiene la capacidad de examinar vulnerabilidades en los paquetes instalados por el administrador de paquetes del sistema operativo en Linux y en los sistemas operativos Windows. Consulte la lista completa del sistema operativo compatible y sus versiones.
- Paquetes específicos del idioma: solo Linux: compatibilidad con paquetes y archivos específicos del idioma, y sus dependencias instaladas o copiadas sin el administrador de paquetes del sistema operativo. Consulte la lista completa de idiomas admitidos.
- Examen de imágenes en Azure Private Link: la evaluación de vulnerabilidades del contenedor de Azure proporciona la capacidad de examinar imágenes en registros de contenedor a los que se puede acceder a través de Azure Private Links. Esta funcionalidad requiere acceso a servicios de confianza y autenticación con el Registro. Aprenda cómo Permitir acceso por parte de servicios de confianza.
- Información de vulnerabilidad: se busca en todos los informes de bases de datos de vulnerabilidades para ayudar a nuestros clientes a determinar el riesgo real asociado a cada vulnerabilidad notificada.
- Creación de informes: la evaluación de vulnerabilidades de contenedor para Azure con tecnología de Administración de vulnerabilidades de Microsoft Defender proporciona informes de vulnerabilidades mediante las siguientes recomendaciones:
Estas son las nuevas recomendaciones que informan sobre las vulnerabilidades del contenedor en tiempo de ejecución y las vulnerabilidades de la imagen del Registro. Actualmente están en versión preliminar, pero están pensadas para reemplazar a las recomendaciones antiguas. Estas nuevas recomendaciones no cuentan para la puntuación segura mientras se encuentran en versión preliminar. El motor de examen de ambos conjuntos de recomendaciones es el mismo.
| Recomendación | Descripción | Clave de evaluación |
|---|---|---|
| [Vista previa] Las imágenes de contenedor en el registro de Azure deben tener los resultados de vulnerabilidad resueltos | Defender for Cloud examina las imágenes del Registro en busca de vulnerabilidades conocidas (CVE) y proporciona conclusiones detalladas para cada imagen digitalizada. El examen y la corrección de vulnerabilidades de imágenes de contenedor en el Registro ayudan a mantener una cadena de suministro de software segura y confiable, reduce el riesgo de incidentes de seguridad y garantiza el cumplimiento de los estándares del sector. | 33422d8f-ab1e-42be-bc9a-38685bb567b9 |
| [Vista previa] Los contenedores que se ejecutan en Azure deben tener los resultados de vulnerabilidad resueltos | Defender for Cloud crea un inventario de todas las cargas de trabajo de contenedor que se ejecutan actualmente en los clústeres de Kubernetes y proporciona informes de vulnerabilidades para esas cargas de trabajo mediante la coincidencia de las imágenes que se usan y los informes de vulnerabilidades creados para las imágenes del Registro. El examen y la corrección de vulnerabilidades de las cargas de trabajo de contenedor es fundamental para garantizar una cadena de suministro de software sólida y segura, reducir el riesgo de incidentes de seguridad y garantizar el cumplimiento de los estándares del sector. | e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 |
Estas son las recomendaciones anteriores que se encuentran actualmente en proceso de retirada:
| Recomendación | Descripción | Clave de evaluación |
|---|---|---|
| Las vulnerabilidades de las imágenes del contenedor del registro de Azure deben resolverse (con la tecnología de Administración de vulnerabilidades de Microsoft Defender) | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. La resolución de vulnerabilidades puede mejorar considerablemente la posición de seguridad, lo que garantiza que las imágenes sean seguras para usarlas antes de la implementación. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Las vulnerabilidades de las imágenes del contenedor en ejecución de Azure deben resolverse (con la tecnología de Administración de vulnerabilidades de Microsoft Defender) | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. Esta recomendación proporciona visibilidad de las imágenes vulnerables que se ejecutan actualmente en los clústeres de Kubernetes. La corrección de vulnerabilidades en imágenes de contenedor que se están ejecutando actualmente es clave para mejorar la posición de seguridad, lo que reduce significativamente la superficie expuesta a ataques para las cargas de trabajo en contenedores. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
- Consulta de información sobre vulnerabilidades a través de Azure Resource Graph: capacidad de consultar información sobre vulnerabilidades a través de Azure Resource Graph. Obtenga información sobre cómo consultar recomendaciones a través de ARG.
- Consulta de los resultados del examen mediante la API REST: aprenda a consultar los resultados del examen mediante la API REST.
- Compatibilidad con exenciones: aprenda a crear reglas de exención para un grupo de administración, un grupo de recursos o una suscripción.
- Soporte técnico para desactivar vulnerabilidades - Obtenga más información sobre cómo desactivar las vulnerabilidades de las imágenes.
Desencadenadores de examen
Estos son los desencadenadores de un examen de imágenes:
Desencadenamiento único:
- Cada imagen insertada o importada en un registro de contenedor se desencadena para examinarse. En la mayoría de los casos, el examen se completa en unos minutos, pero a veces podría tardar hasta una hora.
- Cada imagen extraída de un registro se desencadena para examinarse en un plazo de 24 horas.
Desencadenamiento de exámenes continuos: la realización continua de exámenes es necesaria para asegurarse de que las imágenes que se han examinado previamente para detectar vulnerabilidades se vuelven a examinar para actualizar sus informes de vulnerabilidades, en caso de que se publique una nueva vulnerabilidad.
- El proceso de volver a examinar realiza una vez al día para:
- Imágenes insertadas en los últimos 90 días.
- Imágenes extraídas en los últimos 30 días.
- Imágenes que se ejecutan actualmente en los clústeres de Kubernetes supervisados por Defender for Cloud (ya sea mediante Detección sin agente para Kubernetes o el sensor de Defender).
- El proceso de volver a examinar realiza una vez al día para:
¿Cómo funciona el examen de imágenes?
A continuación se describe detalladamente el proceso de examen:
Al habilitar la evaluación de vulnerabilidades de contenedor para Azure con tecnología de Administración de vulnerabilidades de Microsoft Defender, autoriza a Defender for Cloud a examinar imágenes de contenedor en los registros de Azure Container.
Defender for Cloud detecta automáticamente todos los registros de contenedores, repositorios e imágenes (creados antes o después de habilitar esta capacidad).
Defender for Cloud recibe notificaciones cada vez que se inserta una nueva imagen en una instancia de Azure Container Registry. A continuación, la nueva imagen se agrega inmediatamente al catálogo de imágenes que Defender for Cloud mantiene y pone en cola una acción para examinar la imagen inmediatamente.
Una vez al día y para las nuevas imágenes que se insertan en un registro:
- Todas las imágenes recién detectadas se extraen y se crea un inventario para cada imagen. El inventario de imágenes se mantiene para evitar más extracción de imágenes, a menos que sea necesario para las nuevas funcionalidades del analizador.
- Con el inventario, los informes de vulnerabilidades se generan para nuevas imágenes y se actualizan para las imágenes que se examinaron previamente que se insertaron en los últimos 90 días en un registro o se están ejecutando actualmente. Para determinar si una imagen está en ejecución, Defender for Cloud utiliza tanto la detección sin agente para Kubernetes como el inventario recopilado mediante el sensor de Defender que se ejecuta en los nodos de AKS.
- Los informes de vulnerabilidades de las imágenes de contenedor del registro se ofrecen como recomendación.
Para los clientes que usan la detección sin agente para Kubernetes o el inventario recopilado mediante el sensor de Defender que se ejecuta en los nodos de AKS, Defender for Cloud también crea una recomendación para corregir las vulnerabilidades de las imágenes que se ejecutan en un clúster de AKS. Para los clientes que usan solo Detección sin agente para Kubernetes, el tiempo de actualización del inventario en esta recomendación es una vez cada siete horas. Los clústeres que también ejecutan el sensor de Defender se benefician de una frecuencia de actualización de inventario de dos horas. Los resultados del examen de imágenes se actualizan en función del examen del Registro en ambos casos y, por tanto, solo se actualizan cada 24 horas.
Nota:
En el caso de Defender para registros de contenedor (en desuso), las imágenes se examinan una vez al insertarlas, al extraerlas, y se vuelven a examinar una vez a la semana.
Si elimino una imagen del registro, ¿cuánto tiempo tardarían en quitarse los informes de vulnerabilidades en esa imagen?
Azure Container Registries notifica a Defender for Cloud cuando se eliminan las imágenes y quita la evaluación de vulnerabilidades de las imágenes eliminadas en un plazo de una hora. En algunos casos excepcionales, es posible que no se notifique la eliminación a Defender for Cloud, y la eliminación de las vulnerabilidades asociadas en tales casos podría tardar hasta tres días.
Pasos siguientes
- Obtenga más información sobre los planes de Defender Defender for Cloud.
- Consulte las preguntas frecuentes sobre Defender para contenedores.