Évaluations des vulnérabilités pour Azure avec Gestion des vulnérabilités Microsoft Defender
L’évaluation des vulnérabilités pour Azure, avec la Gestion des vulnérabilités de Microsoft Defender, est une solution prête à l’emploi qui permet aux équipes de sécurité de découvrir et de corriger facilement des vulnérabilités dans des images conteneur, sans aucune configuration pour l’intégration ni aucun déploiement d’agents.
Remarque
Cette fonctionnalité ne prend en charge que l’analyse des images dans Azure Container Registry (ACR). Les images stockées dans d’autres registres de conteneurs doivent être importées dans Azure Container Registry (ACR) à des fins de couverture. Découvre l’importation d’images en conteneur dans un registre de conteneurs.
Dans chaque abonnement où cette fonctionnalité est activée, toutes les images stockées dans ACR qui répondent aux critères relatifs aux déclencheurs d’analyse sont analysées à la recherche de vulnérabilités, sans aucune configuration supplémentaire d’utilisateurs ou de registres. Des recommandations assorties de rapports de vulnérabilité sont fournies pour toutes les images dans ACR, ainsi que pour les images en cours d’exécution dans AKS qui ont été extraites d’un registre ACR ou de tout autre registre pris en charge par Defender pour le cloud (ECR, GCR ou GAR). Les images sont analysées peu de temps après leur ajout à un registre, puis réanalysées à la recherche de nouvelles vulnérabilités toutes les 24 heures.
L’évaluation des vulnérabilités des conteneurs optimisée par la Gestion des vulnérabilités de Microsoft Defender offre les fonctionnalités suivantes :
- Analyse des packages de système d’exploitation : l’évaluation des vulnérabilités des conteneurs permet d’analyser les vulnérabilités dans les packages installés par le gestionnaire de package de système d’exploitation dans les systèmes d’exploitation Linux et Windows. Consultez la liste complète du système d’exploitation pris en charge et de leurs versions.
- Packages spécifiques à la langue : Linux uniquement : prise en charge des packages et fichiers spécifiques à la langue, ainsi que de leurs dépendances installées ou copiées sans le gestionnaire de package de système d’exploitation. Consultez la liste complète des langues prises en charge.
- Analyse des images dans Azure Private Link : l’évaluation des vulnérabilités des conteneurs Azure offre la possibilité d’analyser des images dans des registres de conteneurs accessibles via Azure Private Links. Cette fonctionnalité nécessite l’accès aux services approuvés et l’authentification auprès du registre. Apprenez comment autoriser l’accès par des services approuvés.
- Informations sur l’exploitabilité : Chaque rapport de vulnérabilité fait l’objet d’une recherche dans les bases de données d’exploitabilité pour aider nos clients à déterminer le risque réel associé à chaque vulnérabilité signalée.
- Rapports : l’évaluation des vulnérabilités de conteneurs pour Azure avec la Gestion des vulnérabilités de Microsoft Defender fournit des rapports de vulnérabilité en utilisant les recommandations suivantes :
Voici les nouvelles recommandations qui signalent les vulnérabilités des conteneurs d’exécution et les vulnérabilités des images de Registre. Elles sont actuellement en préversion, mais sont censées remplacer les anciennes recommandations. Ces nouvelles recommandations ne sont pas comptabilisées dans le cadre du niveau de sécurité lors de la préversion. Le moteur d’analyse pour les deux ensembles de recommandations est le même.
| Recommandation | Description | Clé d’évaluation |
|---|---|---|
| [Préversion] Les résultats de l’analyse de vulnérabilité des images conteneur dans le registre Azure doivent être résolus | Defender pour le cloud analyse vos images de Registre pour détecter les vulnérabilités connues (CVE), et fournit des résultats détaillés pour chaque image analysée. L’analyse et la correction des vulnérabilités pour les images conteneur dans le Registre permettent de maintenir une chaîne d’approvisionnement logicielle sécurisée et fiable, réduisent le risque d’incidents de sécurité, et garantissent la conformité aux normes du secteur. | 33422d8f-ab1e-42be-bc9a-38685bb567b9 |
| [Préversion] Les résultats de l’analyse de vulnérabilité des conteneurs exécutés dans Azure doivent être résolus | Defender pour le cloud crée un inventaire de toutes les charges de travail de conteneur en cours d’exécution dans vos clusters Kubernetes, et fournit des rapports de vulnérabilité pour ces charges de travail grâce à une mise en correspondance des images utilisées avec les rapports de vulnérabilité créés pour les images de Registre. L’analyse et la correction des vulnérabilités pour les charges de travail de conteneur est essentielle afin de garantir une chaîne d’approvisionnement logicielle robuste et sécurisée, réduisent le risque d’incidents de sécurité, et garantissent la conformité aux normes du secteur. | e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 |
Voici les anciennes recommandations qui sont actuellement en voie de mise hors service :
| Recommandation | Description | Clé d’évaluation |
|---|---|---|
| Les vulnérabilités (alimentées par la Gestion des vulnérabilités Microsoft Defender) doivent être résolues sur les images de conteneur de registre Azure | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. La résolution des vulnérabilités permet d’améliorer considérablement votre posture de sécurité, garantissant ainsi que les images sont utilisées en toute sécurité avant le déploiement. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Les vulnérabilités (alimentées par la Gestion des vulnérabilités Microsoft Defender) doivent être résolues sur les images de conteneur Azure en cours d’exécution | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
- Interroger les informations de vulnérabilité via Azure Resource Graph : possibilité d’interroger les informations de vulnérabilité via le Azure Resource Graph. Découvrez comment interroger des recommandations via ARG.
- Résultats de l’analyse de requête via l’API REST : Découvrez comment interroger les résultats de l’analyse via API REST.
- Prise en charge des exemptions : Découvrez comment créer des règles d’exemption pour un groupe d’administration, un groupe de ressources ou un abonnement.
- Support pour la désactivation des vulnérabilités – : découvrez comment désactiver des vulnérabilités sur des images.
Analysez des déclencheurs
Les déclencheurs d’une analyse d’image sont les suivants :
Déclenchement unique :
- Chaque image envoyée ou importée à un registre de conteneurs est déclenchée pour être analysée. Dans la plupart des cas, l’analyse est effectuée en quelques minutes, mais dans de rares cas, elle peut prendre jusqu’à une heure.
- Chaque image tirée (pulled) d’un registre est déclenchée pour être analysée dans les 24 heures.
Déclenchement d’une nouvelle analyse continue : une nouvelle analyse continue est nécessaire pour garantir que les images qui ont été précédemment analysées pour la recherche de vulnérabilités et sont réanalysées pour mettre à jour leurs rapports de vulnérabilité en cas de publication d’une nouvelle vulnérabilité.
- Une nouvelle analyse est effectuée une fois par jour pour :
- Images envoyées au cours des 90 derniers jours.
- Images tirées (pulled) au cours des 30 derniers jours.
- Images en cours d’exécution sur les clusters Kubernetes surveillés par Defender pour le cloud (via la Détection sans agent pour Kubernetes ou le capteur Defender).
- Une nouvelle analyse est effectuée une fois par jour pour :
Comment fonctionne l’analyse des images ?
Une description détaillée du processus d’analyse est la suivante :
Lorsque vous activez l’évaluation des vulnérabilités de conteneurs pour Azure avec la Gestion des vulnérabilités de Microsoft Defender, vous autorisez Defender pour le cloud à analyser les images conteneur dans vos registres de conteneurs Azure.
Defender pour le cloud découvre automatiquement tous les registres, référentiels et images de conteneurs (créés avant ou après l’activation de la capacité).
Defender pour le cloud reçoit des notifications chaque fois qu’une nouvelle image est envoyée (push) à un registre de conteneurs Azure. La nouvelle image est ensuite immédiatement ajoutée au catalogue d’images que Defender pour le cloud gère et met en file d’attente une action pour analyser l’image immédiatement.
Une fois par jour, et pour les nouvelles images envoyées à un registre :
- Toutes les images nouvellement découvertes sont extraites et un inventaire est créé pour chaque image. L’inventaire des images est conservé pour éviter d’autres extractions d’images, sauf si cela est requis par les nouvelles fonctionnalités du scanneur.
- À l’aide de l’inventaire, des rapports de vulnérabilité sont générés pour les nouvelles images et mis à jour pour les images précédemment analysées qui ont été envoyées à un registre au cours des 90 derniers jours ou qui sont en cours d’exécution. Pour déterminer si une image est en cours d’exécution, Defender pour le cloud utilise à la fois la Détection sans agent pour Kubernetes et l’inventaire collecté via le capteur Defender s’exécutant sur des nœuds AKS
- Les rapports de vulnérabilité pour des images conteneurs de registre sont fournis à titre de recommandation.
Pour les clients utilisant la Détection sans agent pour Kubernetes ou un inventaire collecté via le capteur Defender s’exécutant sur des nœuds AKS, Defender pour le cloud crée également une recommandation afin de corriger les vulnérabilités liées aux images vulnérables s’exécutant sur un cluster AKS. Pour les clients qui utilisent uniquement la Détection sans agent pour Kubernetes, l’heure d’actualisation de l’inventaire dans cette recommandation est une fois toutes les sept heures. Les clusters qui exécutent également le capteur Defender bénéficient d’un taux d’actualisation de l’inventaire de deux heures. Les résultats de l’analyse d’image sont mis à jour en fonction de l’analyse du registre dans les deux cas et ne sont donc actualisés que toutes les 24 heures.
Remarque
Pour Defender pour les registres de conteneurs (déprécié), les images sont analysées une fois au moment de l’envoi (push), de l’extraction (pull), puis réanalysées une seule fois par semaine.
Si je supprime une image de mon registre, le temps restant avant la suppression des rapports de vulnérabilités sur cette image ?
Azure Defender pour des registres de conteneurs avertit Defender pour le cloud lorsque des images sont supprimées et supprime l’évaluation des vulnérabilités pour des images supprimées dans un délai d’une heure. Dans de rares cas, il est possible que Defender pour le cloud ne soit pas averti de la suppression. Dans de tels cas, la suppression des vulnérabilités associées peut prendre jusqu’à trois jours.
Étapes suivantes
- En savoir plus sur les plans Defender pour le cloud.
- Consultez les questions courantes sur Defender pour les conteneurs.