Evaluaciones de vulnerabilidades para AWS con la administración de vulnerabilidades de Microsoft Defender
La valoración de vulnerabilidades para AWS, con tecnología de Administración de vulnerabilidades de Microsoft Defender, es una solución integrada que permite a los equipos de seguridad detectar y corregir vulnerabilidades fácilmente en imágenes de contenedor de Linux, sin necesidad de configuración para la incorporación y sin necesidad de implementar ningún sensor.
Nota:
Esta característica solo admite el examen de imágenes en el ECR. Las imágenes almacenadas en otros registros de contenedor deben importarse a ECR para la cobertura. Obtenga más información sobre cómo Importar imágenes de contenedor en un registro de contenedor.
En todas las cuentas en las que se haya completado la habilitación de esta capacidad, todas las imágenes almacenadas en ECR que cumplan los criterios de los desencadenadores de examen se examinan en busca de vulnerabilidades sin ninguna configuración adicional de usuarios o registros. Se proporcionan recomendaciones con informes de vulnerabilidades para todas las imágenes de ECR, así como para las imágenes que se ejecutan actualmente en EKS que se han extraído de un registro de ECR o cualquier otro registro compatible con Defender for Cloud (ACR, GCR o GAR). Las imágenes se examinan poco después de agregarse a un registro y se vuelven a examinar para detectar nuevas vulnerabilidades una vez cada 24 horas.
La evaluación de vulnerabilidades de contenedor con tecnología de Administración de vulnerabilidades de Microsoft Defender tiene las siguientes funcionalidades:
Examen de paquetes del sistema operativo: la evaluación de vulnerabilidades del contenedor tiene la capacidad de examinar vulnerabilidades en los paquetes instalados por el administrador de paquetes del sistema operativo en Linux y los sistemas operativos Windows. Consulte la lista completa del sistema operativo compatible y sus versiones.
Paquetes específicos del idioma: solo Linux: compatibilidad con paquetes y archivos específicos del idioma, y sus dependencias instaladas o copiadas sin el administrador de paquetes del sistema operativo. Consulte la lista completa de idiomas admitidos.
Información de vulnerabilidad: se busca en todos los informes de bases de datos de vulnerabilidades para ayudar a nuestros clientes a determinar el riesgo real asociado a cada vulnerabilidad notificada.
Creación de informes: la evaluación de vulnerabilidades de contenedor para AWS con tecnología de Administración de vulnerabilidades de Microsoft Defender proporciona informes de vulnerabilidades mediante las siguientes recomendaciones:
Estas son las nuevas recomendaciones que informan sobre las vulnerabilidades del contenedor en tiempo de ejecución y las vulnerabilidades de la imagen del Registro. Actualmente están en versión preliminar, pero están pensadas para reemplazar a las recomendaciones antiguas. Estas nuevas recomendaciones no cuentan para la puntuación segura mientras se encuentran en versión preliminar. El motor de examen de ambos conjuntos de recomendaciones es el mismo.
| Recomendación | Descripción | Clave de evaluación |
|---|---|---|
| [Vista previa] Las imágenes de contenedor en el registro de AWS deben tener los resultados de vulnerabilidad resueltos | Defender for Cloud examina las imágenes del Registro en busca de vulnerabilidades conocidas (CVE) y proporciona conclusiones detalladas para cada imagen digitalizada. El examen y la corrección de vulnerabilidades de imágenes de contenedor en el Registro ayudan a mantener una cadena de suministro de software segura y confiable, reduce el riesgo de incidentes de seguridad y garantiza el cumplimiento de los estándares del sector. | 2a139383-ec7e-462a-90ac-b1b60e87d576 |
| [Vista previa] Los contenedores que se ejecutan en AWS deben tener los resultados de vulnerabilidad resueltos | Defender for Cloud crea un inventario de todas las cargas de trabajo de contenedor que se ejecutan actualmente en los clústeres de Kubernetes y proporciona informes de vulnerabilidades para esas cargas de trabajo mediante la coincidencia de las imágenes que se usan y los informes de vulnerabilidades creados para las imágenes del Registro. El examen y la corrección de vulnerabilidades de las cargas de trabajo de contenedor es fundamental para garantizar una cadena de suministro de software sólida y segura, reducir el riesgo de incidentes de seguridad y garantizar el cumplimiento de los estándares del sector. | d5d1e526-363a-4223-b860-f4b6e710859f |
Estas son las recomendaciones anteriores que se encuentran actualmente en una ruta de retirada:
| Recomendación | Descripción | Clave de evaluación |
|---|---|---|
| Las imágenes de contenedor del registro de AWS deben tener resueltos los resultados de vulnerabilidades (con tecnología de Administración de vulnerabilidades de Microsoft Defender) | Examina las imágenes de contenedor de los registros de AWS para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. La resolución de vulnerabilidades puede mejorar considerablemente la posición de seguridad, lo que garantiza que las imágenes sean seguras para usarlas antes de la implementación. | c27441ae-775c-45be-8ffa-655de37362ce |
| La ejecución de imágenes de contenedor de AWS debe tener resueltos los resultados de vulnerabilidades (con tecnología de Administración de vulnerabilidades de Microsoft Defender) | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. Esta recomendación proporciona visibilidad de las imágenes vulnerables que se ejecutan actualmente en los clústeres elásticos de Kubernetes. La corrección de vulnerabilidades en imágenes de contenedor que se están ejecutando actualmente es clave para mejorar la posición de seguridad, lo que reduce significativamente la superficie expuesta a ataques para las cargas de trabajo en contenedores. | 682b2595-d045-4cff-b5aa-46624eb2dd8f |
Consulta de información sobre vulnerabilidades a través de Azure Resource Graph: capacidad de consultar información sobre vulnerabilidades a través de Azure Resource Graph. Obtenga información sobre cómo consultar recomendaciones a través de ARG.
Consulta de los resultados del examen mediante la API REST: aprenda a consultar los resultados del examen mediante la API REST.
Desencadenadores de examen
Estos son los desencadenadores de un examen de imágenes:
Desencadenamiento único:
- Cada imagen insertada en un registro de contenedor se desencadena para examinarse. En la mayoría de los casos, el examen se completa en unas horas, pero a veces podría tardar hasta 24.
- Todas las imágenes que se extraen de un registro se examinan en un plazo de 24 horas.
Desencadenamiento de exámenes continuos: la realización continua de exámenes es necesaria para asegurarse de que las imágenes que se han examinado previamente para detectar vulnerabilidades se vuelven a examinar para actualizar sus informes de vulnerabilidades, en caso de que se publique una nueva vulnerabilidad.
- El proceso de volver a examinar realiza una vez al día para:
- Imágenes insertadas en los últimos 90 días.
- Imágenes extraídas en los últimos 30 días.
- Imágenes que se ejecutan actualmente en los clústeres de Kubernetes supervisados por Defender for Cloud (ya sea mediante Detección sin agente para Kubernetes o el sensor de Defender).
- El proceso de volver a examinar realiza una vez al día para:
¿Cómo funciona el examen de imágenes?
A continuación se describe detalladamente el proceso de examen:
Al habilitar la evaluación de vulnerabilidades de contenedor para AWS con tecnología de Administración de vulnerabilidades de Microsoft Defender, autoriza a Defender for Cloud a examinar imágenes de contenedor en los registros de Elastic Container.
Defender for Cloud detecta automáticamente todos los registros de contenedores, repositorios e imágenes (creados antes o después de habilitar esta capacidad).
Una vez al día y para las nuevas imágenes que se insertan en un registro:
- Todas las imágenes recién detectadas se extraen y se crea un inventario para cada imagen. El inventario de imágenes se mantiene para evitar más extracción de imágenes, a menos que sea necesario para las nuevas funcionalidades del analizador.
- Con el inventario, los informes de vulnerabilidades se generan para nuevas imágenes y se actualizan para las imágenes que se examinaron previamente que se insertaron en los últimos 90 días en un registro o se están ejecutando actualmente. Para determinar si una imagen está en ejecución, Defender for Cloud utiliza tanto la detección sin agente para Kubernetes como el inventario recopilado mediante el sensor de Defender que se ejecuta en los nodos de EKS.
- Los informes de vulnerabilidades de las imágenes de contenedor del registro se ofrecen como recomendación.
Para los clientes que usan la detección sin agente para Kubernetes o el inventario recopilado mediante el sensor de Defender que se ejecuta en los nodos de EKS, Defender for Cloud también crea una recomendación para corregir las vulnerabilidades de las imágenes que se ejecutan en un clúster de EKS. Para los clientes que usan solo Detección sin agente para Kubernetes, el tiempo de actualización del inventario en esta recomendación es una vez cada siete horas. Los clústeres que también ejecutan el sensor de Defender se benefician de una frecuencia de actualización de inventario de dos horas. Los resultados del examen de imágenes se actualizan en función del examen del Registro en ambos casos y, por tanto, solo se actualizan cada 24 horas.
Nota:
En el caso de Defender para registros de contenedor (en desuso), las imágenes se examinan una vez al insertarlas, al extraerlas, y se vuelven a examinar una vez a la semana.
Si elimino una imagen del registro, ¿cuánto tiempo tardarían en quitarse los informes de vulnerabilidades en esa imagen?
Después de que se elimine una imagen de ECR, los informes tardan 30 horas en eliminarse.
Pasos siguientes
- Obtenga más información sobre los planes de Defender Defender for Cloud.
- Consulte las preguntas frecuentes sobre Defender para contenedores.