Évaluation des vulnérabilités pour AWS avec la Gestion des vulnérabilités Microsoft Defender
L’évaluation des vulnérabilités pour AWS, avec la Gestion des vulnérabilités de Microsoft Defender, est une solution prête à l’emploi qui permet aux équipes de sécurité de détecter et de corriger facilement des vulnérabilités dans des images conteneur Linux, sans aucune configuration pour l’intégration ni aucun déploiement de capteurs.
Remarque
Cette fonctionnalité prend en charge l’analyse des images dans ECR uniquement. Les images stockées dans d’autres registres de conteneurs doivent être importées dans ECR pour être prises en charge. Découvre l’importation d’images en conteneur dans un registre de conteneurs.
Dans chaque compte où cette fonctionnalité est activée, toutes les images stockées dans ECR qui répondent aux critères pour les déclencheurs d’analyse sont analysées à la recherche de vulnérabilités, sans aucune configuration supplémentaire d’utilisateurs ou de registres. Des recommandations assorties de rapports de vulnérabilité sont fournies pour toutes les images dans ECR, ainsi que pour les images en cours d’exécution dans EKS qui ont été extraites d’un registre ECR ou de tout autre registre pris en charge par Defender pour le cloud (ACR, GCR ou GAR). Les images sont analysées peu de temps après leur ajout à un registre, puis réanalysées à la recherche de nouvelles vulnérabilités toutes les 24 heures.
L’évaluation des vulnérabilités des conteneurs avec la Gestion des vulnérabilités de Microsoft Defender offre les fonctionnalités suivantes :
Analyse des packages de système d’exploitation : L’évaluation des vulnérabilités des conteneurs permet de rechercher les vulnérabilités dans les packages installés par le gestionnaire de package de système d’exploitation dans les systèmes d’exploitation Windows et Linux. Consultez la liste complète du système d’exploitation pris en charge et de leurs versions.
Packages spécifiques à la langue : Linux uniquement : prise en charge des packages et fichiers spécifiques à la langue, ainsi que de leurs dépendances installées ou copiées sans le gestionnaire de package de système d’exploitation. Consultez la liste complète des langues prises en charge.
Informations sur l’exploitabilité : Chaque rapport de vulnérabilité fait l’objet d’une recherche dans les bases de données d’exploitabilité pour aider nos clients à déterminer le risque réel associé à chaque vulnérabilité signalée.
Rapports : L’évaluation des vulnérabilités de conteneurs pour AWS avec la Gestion des vulnérabilités de Microsoft Defender fournit des rapports de vulnérabilité en utilisant les recommandations suivantes :
Voici les nouvelles recommandations qui signalent les vulnérabilités des conteneurs d’exécution et les vulnérabilités des images de Registre. Elles sont actuellement en préversion, mais sont censées remplacer les anciennes recommandations. Ces nouvelles recommandations ne sont pas comptabilisées dans le cadre du niveau de sécurité lors de la préversion. Le moteur d’analyse pour les deux ensembles de recommandations est le même.
| Recommandation | Description | Clé d’évaluation |
|---|---|---|
| [Préversion] Les résultats de l’analyse de vulnérabilité des images conteneur dans le registre AWS doivent être résolus | Defender pour le cloud analyse vos images de Registre pour détecter les vulnérabilités connues (CVE), et fournit des résultats détaillés pour chaque image analysée. L’analyse et la correction des vulnérabilités pour les images conteneur dans le Registre permettent de maintenir une chaîne d’approvisionnement logicielle sécurisée et fiable, réduisent le risque d’incidents de sécurité, et garantissent la conformité aux normes du secteur. | 2a139383-ec7e-462a-90ac-b1b60e87d576 |
| [Préversion] Les résultats de l’analyse de vulnérabilité des conteneurs exécutés dans AWS doivent être résolus | Defender pour le cloud crée un inventaire de toutes les charges de travail de conteneur en cours d’exécution dans vos clusters Kubernetes, et fournit des rapports de vulnérabilité pour ces charges de travail grâce à une mise en correspondance des images utilisées avec les rapports de vulnérabilité créés pour les images de Registre. L’analyse et la correction des vulnérabilités pour les charges de travail de conteneur est essentielle afin de garantir une chaîne d’approvisionnement logicielle robuste et sécurisée, réduisent le risque d’incidents de sécurité, et garantissent la conformité aux normes du secteur. | d5d1e526-363a-4223-b860-f4b6e710859f |
Voici les anciennes recommandations qui sont actuellement en voie de mise hors service :
| Recommandation | Description | Clé d’évaluation |
|---|---|---|
| Les vulnérabilités des images conteneur de registre AWS doivent être résolues (avec la Gestion des vulnérabilités de Microsoft Defender) | Analyse les images conteneur de vos registres AWS à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. La résolution des vulnérabilités permet d’améliorer considérablement votre posture de sécurité, garantissant ainsi que les images sont utilisées en toute sécurité avant le déploiement. | c27441ae-775c-45be-8ffa-655de37362ce |
| Les vulnérabilités des images conteneur exécutant AWS doivent être résolues (avec la Gestion des vulnérabilités de Microsoft Defender) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables actuellement exécutées dans vos clusters Elastic Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées. | 682b2595-d045-4cff-b5aa-46624eb2dd8f |
Interroger les informations de vulnérabilité via Azure Resource Graph : possibilité d’interroger les informations de vulnérabilité via le Azure Resource Graph. Découvrez comment interroger des recommandations via ARG.
Résultats de l’analyse de requête via l’API REST : Découvrez comment interroger les résultats de l’analyse via API REST.
Analysez des déclencheurs
Les déclencheurs d’une analyse d’image sont les suivants :
Déclenchement unique :
- Chaque image envoyée à un registre de conteneurs est déclenchée pour être analysée. Dans la plupart des cas, l’analyse est effectuée en quelques heures. Dans de rares cas toutefois, elle peut prendre jusqu’à 24 heures.
- Chaque image extraite d’un registre est déclenchée pour être analysée dans les 24 heures.
Déclenchement d’une nouvelle analyse continue : une nouvelle analyse continue est nécessaire pour garantir que les images qui ont été précédemment analysées pour la recherche de vulnérabilités et sont réanalysées pour mettre à jour leurs rapports de vulnérabilité en cas de publication d’une nouvelle vulnérabilité.
- Une nouvelle analyse est effectuée une fois par jour pour :
- Images envoyées au cours des 90 derniers jours.
- Images tirées (pulled) au cours des 30 derniers jours.
- Images en cours d’exécution sur les clusters Kubernetes surveillés par Defender pour le cloud (via la Détection sans agent pour Kubernetes ou le capteur Defender).
- Une nouvelle analyse est effectuée une fois par jour pour :
Comment fonctionne l’analyse des images ?
Une description détaillée du processus d’analyse est la suivante :
Lorsque vous activez l’évaluation des vulnérabilités de conteneur pour AWS avec la Gestion des vulnérabilités de Microsoft Defender, vous autorisez Defender pour le cloud à analyser les images conteneur dans vos registres Elastic Container.
Defender pour le cloud découvre automatiquement tous les registres, référentiels et images de conteneurs (créés avant ou après l’activation de la capacité).
Une fois par jour, et pour les nouvelles images envoyées à un registre :
- Toutes les images nouvellement découvertes sont extraites et un inventaire est créé pour chaque image. L’inventaire des images est conservé pour éviter d’autres extractions d’images, sauf si cela est requis par les nouvelles fonctionnalités du scanneur.
- À l’aide de l’inventaire, des rapports de vulnérabilité sont générés pour les nouvelles images et mis à jour pour les images précédemment analysées qui ont été envoyées à un registre au cours des 90 derniers jours ou qui sont en cours d’exécution. Pour déterminer si une image est en cours d’exécution, Defender pour le cloud utilise à la fois la Détection sans agent pour Kubernetes et l’inventaire collecté via le capteur Defender s’exécutant sur des nœuds EKS
- Les rapports de vulnérabilité pour des images conteneurs de registre sont fournis à titre de recommandation.
Pour les clients utilisant la Détection sans agent pour Kubernetes ou un inventaire collecté via le capteur Defender s’exécutant sur des nœuds EKS, Defender pour le cloud crée également une recommandation afin de corriger les vulnérabilités liées aux images vulnérables s’exécutant sur un cluster EKS. Pour les clients qui utilisent uniquement la Détection sans agent pour Kubernetes, l’heure d’actualisation de l’inventaire dans cette recommandation est une fois toutes les sept heures. Les clusters qui exécutent également le capteur Defender bénéficient d’un taux d’actualisation de l’inventaire de deux heures. Les résultats de l’analyse d’image sont mis à jour en fonction de l’analyse du registre dans les deux cas et ne sont donc actualisés que toutes les 24 heures.
Remarque
Pour Defender pour les registres de conteneurs (déprécié), les images sont analysées une fois au moment de l’envoi (push), de l’extraction (pull), puis réanalysées une seule fois par semaine.
Si je supprime une image de mon registre, le temps restant avant la suppression des rapports de vulnérabilités sur cette image ?
Il faut attendre 30 heures après la suppression d’une image d’ECR pour que les rapports soient supprimés.
Étapes suivantes
- En savoir plus sur les plans Defender pour le cloud.
- Consultez les questions courantes sur Defender pour les conteneurs.