Compartir vía


Evaluaciones de vulnerabilidades para entornos admitidos

En el entorno compatible (Azure, AWS o GCP), Defender for Containers puede realizar una evaluación de vulnerabilidades sin agente en imágenes de un registro de contenedor compatible y en contenedores en ejecución. Las recomendaciones pertinentes se generan para las vulnerabilidades detectadas en una imagen del registro de contenedor o en un contenedor en ejecución.

La evaluación de vulnerabilidades de imágenes en los registros de contenedor admitidos se realiza cuando Acceso al Registro está habilitado para los planes de Administración de la posición de seguridad en la nube de Defender o Defender for Containers. La evaluación de vulnerabilidades de los contenedores en ejecución se realiza cuando el examen sin agente de las máquinas está habilitado en los planes Defender for Cloud Security Posture Management o Defender for Containers, independientemente del origen de la imagen de contenedor. La evaluación de vulnerabilidades para contenedores en ejecución proporciona más valor en comparación con el examen de solo imágenes en registros de contenedor admitidos, ya que también incluye complementos de Kubernetes y herramientas de terceros que se ejecutan en el clúster.

Nota:

Los contenedores creados a partir de imágenes en registros no admitidos solo se examinan en busca de evaluaciones de vulnerabilidades si se ejecutan en el entorno de AKS.

La evaluación de vulnerabilidades de las imágenes de contenedor, con tecnología de administración de vulnerabilidades de Microsoft Defender, tiene las siguientes funcionalidades:

  • Examen de paquetes del sistema operativo: la evaluación de vulnerabilidades del contenedor tiene la capacidad de examinar vulnerabilidades en los paquetes instalados por el administrador de paquetes del sistema operativo en Linux y en los sistemas operativos Windows. Consulte la lista completa del sistema operativo compatible y sus versiones.

  • Paquetes específicos del idioma: solo Linux: compatibilidad con paquetes y archivos específicos del idioma, y sus dependencias instaladas o copiadas sin el administrador de paquetes del sistema operativo. Consulte la lista completa de idiomas admitidos.

  • Examen de imágenes en Azure Private Link : la evaluación de vulnerabilidades de los contenedores de Azure puede examinar imágenes en registros de contenedor a los que se puede acceder a través de Azure Private Links. Esta funcionalidad requiere acceso a servicios de confianza y autenticación con el Registro. Aprenda cómo Permitir acceso por parte de servicios de confianza.

  • Información de vulnerabilidad: se busca en todos los informes de bases de datos de vulnerabilidades para ayudar a nuestros clientes a determinar el riesgo real asociado a cada vulnerabilidad notificada.

  • Creación de informes: la evaluación de vulnerabilidades de contenedor para Azure con tecnología de Administración de vulnerabilidades de Microsoft Defender proporciona informes de vulnerabilidades mediante las siguientes recomendaciones:

  • Información de vulnerabilidad: se busca en todos los informes de bases de datos de vulnerabilidades para ayudar a nuestros clientes a determinar el riesgo real asociado a cada vulnerabilidad notificada.

  • Informes : la evaluación de vulnerabilidades de contenedor con tecnología de administración de vulnerabilidades de Microsoft Defender proporciona informes de vulnerabilidades mediante las siguientes recomendaciones:

  • Consulta de información sobre vulnerabilidades a través de Azure Resource Graph: capacidad de consultar información sobre vulnerabilidades a través de Azure Resource Graph. Obtenga información sobre cómo consultar recomendaciones a través de ARG.

  • Consulta de los resultados del examen a través de la API REST : obtenga información sobre cómo consultar los resultados del examen a través de la API REST.

  • Compatibilidad con exenciones: aprenda a crear reglas de exención para un grupo de administración, un grupo de recursos o una suscripción.

  • Soporte técnico para desactivar vulnerabilidades - Obtenga más información sobre cómo desactivar las vulnerabilidades de las imágenes.

  • Búsqueda de vulnerabilidades de firma y comprobación de artefactos: el artefacto de búsqueda de vulnerabilidades de cada imagen se firma con un certificado de Microsoft para la integridad y la autenticidad, y está asociado a la imagen de contenedor en el registro para las necesidades de validación.

Recomendaciones de evaluación de vulnerabilidades

Las siguientes nuevas recomendaciones de versión preliminar informan sobre vulnerabilidades de contenedor en tiempo de ejecución y vulnerabilidades de imágenes del registro, y no cuentan para la puntuación de seguridad mientras están en versión preliminar. El motor de análisis de las nuevas recomendaciones es el mismo que el de las recomendaciones GA actuales y arroja los mismos resultados. Las nuevas recomendaciones son más adecuadas para los clientes que usan la nueva vista basada en riesgos para las recomendaciones y tienen habilitado el plan CSPM de Defender.

Recomendación Descripción Clave de evaluación
[Vista previa] Las imágenes de contenedor del registro de Azure deben tener resueltos los hallazgos de vulnerabilidad Defender for Cloud examina las imágenes del Registro en busca de vulnerabilidades conocidas (CVE) y proporciona conclusiones detalladas para cada imagen digitalizada. El examen y la corrección de vulnerabilidades de imágenes de contenedor en el Registro ayudan a mantener una cadena de suministro de software segura y confiable, reduce el riesgo de incidentes de seguridad y garantiza el cumplimiento de los estándares del sector. 33422d8f-ab1e-42be-bc9a-38685bb567b9
[Vista previa] Los contenedores que se ejecutan en Azure deben tener los resultados de vulnerabilidad resueltos   Defender for Cloud crea un inventario de todas las cargas de trabajo de contenedor que se ejecutan actualmente en los clústeres de Kubernetes y proporciona informes de vulnerabilidades para esas cargas de trabajo mediante la coincidencia de las imágenes que se usan y los informes de vulnerabilidades creados para las imágenes del Registro. El examen y la corrección de las vulnerabilidades de las cargas de trabajo de los contenedores es fundamental para garantizar una cadena de suministro de software sólida y segura, reducir el riesgo de incidentes de seguridad y garantizar el cumplimiento de los estándares del sector. c5045ea3-afc6-4006-ab8f-86c8574dbf3d

Las siguientes recomendaciones de disponibilidad general actuales informan sobre vulnerabilidades en contenedores dentro de un clúster de Kubernetes y en imágenes de contenedor dentro de un registro de contenedor. Estas recomendaciones son más adecuadas para los clientes que usan la vista clásica para las recomendaciones y no tienen habilitado el plan CSPM de Defender.

Recomendación Descripción Clave de evaluación
Las vulnerabilidades de las imágenes del contenedor del registro de Azure deben resolverse (con la tecnología de Administración de vulnerabilidades de Microsoft Defender) La evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. La resolución de vulnerabilidades puede mejorar considerablemente la posición de seguridad, lo que garantiza que las imágenes sean seguras para usarlas antes de la implementación. c0b7cfc6-3172-465a-b378-53c7ff2cc0d5
Las imágenes de contenedores de Azure en ejecución deben tener resueltas sus vulnerabilidades (con la tecnología de Administración de vulnerabilidades de Microsoft Defender)   La evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. Esta recomendación proporciona visibilidad de las imágenes vulnerables que se ejecutan actualmente en los clústeres de Kubernetes. La corrección de vulnerabilidades en imágenes de contenedor que se están ejecutando actualmente es clave para mejorar la posición de seguridad, lo que reduce significativamente la superficie expuesta a ataques para las cargas de trabajo contenedorizadas. c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

Funcionamiento de la evaluación de vulnerabilidades para imágenes y contenedores

Examen de imágenes en registros compatibles con Defender for Containers

Nota:

La extensión de acceso al Registro debe estar habilitada para la evaluación de vulnerabilidades de las imágenes en los registros de contenedor.

El examen de una imagen en un registro de contenedor crea un inventario de la imagen y sus recomendaciones de vulnerabilidad. Los registros de imágenes de contenedor admitidos son: Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR), Google Container Registry (GCR) y registros externos configurados. Se examina una imagen cuando:

  • Se inserta o importa una nueva imagen en el registro de contenedor. La imagen se examina en unas pocas horas.
  • Activación de reescaneo continuo: es necesario realizar un reescaneo continuo para asegurarse de que las imágenes que se han escaneado previamente para vulnerabilidades sean reescaneadas y sus informes de vulnerabilidad se actualicen en caso de publicarse una nueva vulnerabilidad.
    • El proceso de volver a examinar se realiza una vez al día para:

      • Imágenes insertadas en los últimos 90 días.*
      • Imágenes extraídas en los últimos 30 días.
      • Imágenes que se ejecutan actualmente en los clústeres de Kubernetes supervisados por Defender for Cloud (ya sea mediante Detección sin agente para Kubernetes o el sensor de Defender).

      * La nueva recomendación de versión preliminar se genera para las imágenes insertadas en los últimos 30 días.

Frecuencia de exámenes de imágenes

Una imagen se escanea dentro de las 24 horas cuando se extrae del registro de contenedores.

Nota:

En algunos casos poco frecuentes, una nueva imagen en el Registro puede tardar hasta 24 horas antes del examen.

Además, las imágenes siguientes se examinan cada 24 horas para actualizar sus recomendaciones de vulnerabilidad, en caso de que se publique una nueva vulnerabilidad.

  • Una imagen se inserta o importa en el registro de contenedor en los últimos 90 días.

  • Una imagen se extrae del registro de contenedor en los últimos 30 días.

Nota:

Para Defender para registros de contenedor (en desuso), las imágenes se examinan una vez en la inserción, la extracción y se vuelven a examinar una vez por semana.

Examen de contenedores que se ejecutan en la carga de trabajo del clúster

Los contenedores que se ejecutan en la carga de trabajo del clúster se examinan en busca de vulnerabilidades cada 24 horas. El examen es independiente del registro de origen de la imagen de contenedor en ejecución e incluye complementos de Kubernetes y herramientas de terceros. Las recomendaciones pertinentes se generan para cada contenedor vulnerable.

Nota:

El examen sin agente de contenedores en ejecución se realiza cuando se habilitan las dos extensiones siguientes:

  • Examen de máquinas sin agente
  • Acceso a la API K8S o sensor de Defender

Nota:

Los contenedores creados con imágenes a partir de registros de contenedor no admitidos solo se analizarán si se ejecutan en el entorno de AKS.

Las recomendaciones para un contenedor en ejecución que utiliza una imagen de un registro compatible se generan a partir del análisis de esa imagen del registro. Esto ocurre incluso si un cliente no habilita el análisis de máquinas sin agente.

Nota:

La capa de tiempo de ejecución del contenedor no se puede examinar para detectar vulnerabilidades. Además, los siguientes contenedores no se pueden examinar para detectar vulnerabilidades:

  • Contenedores en nodos mediante discos de sistema operativo Efímeros de AKS
  • Contenedores del sistema operativo Windows

Los clústeres de AKS configurados automáticamente pueden proporcionar resultados parciales o no si alguno o todos los nodos del clúster están inactivos en el momento del examen de vulnerabilidades.

Si elimino una imagen del registro, ¿cuánto tiempo tardarían en quitarse los informes de vulnerabilidades en esa imagen?

Azure Container Registries notifica a Defender for Cloud cuando se eliminan las imágenes y quita la evaluación de vulnerabilidades de las imágenes eliminadas en un plazo de una hora. En algunos casos excepcionales, es posible que no se notifique la eliminación a Defender for Cloud, y la eliminación de las vulnerabilidades asociadas en tales casos podría tardar hasta tres días.

Pasos siguientes