Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Defender pour conteneurs effectue une évaluation des vulnérabilités sans agent sur les images conteneur dans les environnements d’exécution pris en charge et les registres de conteneurs pris en charge. Les recommandations pertinentes sont générées pour les vulnérabilités détectées dans une image de registre de conteneurs ou dans un conteneur en cours d’exécution.
L’évaluation des vulnérabilités des images dans les registres de conteneurs pris en charge est effectuée lorsque l’accès au Registre est activé pour les plans Defender for Cloud Security Posture Management ou Defender for Containers.
L’évaluation des vulnérabilités des images de conteneurs en cours d'exécution est effectuée indépendamment du registre de conteneurs d’origine, lorsque l'extension de l'analyse sans agent pour les machines, avec l'accès à l'API K8S ou l'extension de capteur Defender, est activée dans les plans Defender for Cloud Security Posture Management ou Defender for Containers. Les résultats de l’évaluation des vulnérabilités sont également créés pour les images conteneur extraites des registres pris en charge.
Note
Passez en revue la matrice de prise en charge de Defender pour conteneurs pour les environnements pris en charge.
L’évaluation des vulnérabilités des images conteneur, optimisée par Microsoft Defender Vulnerability Management, offre les fonctionnalités suivantes :
Analyse des packages de système d’exploitation : l’évaluation des vulnérabilités des conteneurs permet d’analyser les vulnérabilités dans les packages installés par le gestionnaire de package de système d’exploitation dans les systèmes d’exploitation Linux et Windows. Consultez la liste complète du système d’exploitation pris en charge et de leurs versions.
Packages propres à une langue : Linux uniquement : Prise en charge des packages et fichiers propres à une langue, ainsi que de leurs dépendances installées ou copiées sans le gestionnaire de package de système d’exploitation. Consultez la liste complète des langues prises en charge.
Analyse d’images dans Azure Private Link : l’évaluation des vulnérabilités de conteneur Azure peut analyser des images dans des registres de conteneurs accessibles via Azure Private Links. Cette fonctionnalité nécessite l’accès aux services approuvés et l’authentification auprès du registre. Découvrez comment autoriser un accès par des services approuvés.
Informations sur l’exploitabilité : chaque rapport de vulnérabilité est recherché via des bases de données d’exploitabilité pour aider nos clients à déterminer le risque réel associé à chaque vulnérabilité signalée.
Rapports - Évaluation des vulnérabilités de conteneur pour Azure alimenté par Microsoft Defender Vulnerability Management fournit des rapports de vulnérabilité à l’aide des recommandations suivantes :
Informations sur l’exploitabilité : chaque rapport de vulnérabilité est recherché via des bases de données d’exploitabilité pour aider nos clients à déterminer le risque réel associé à chaque vulnérabilité signalée.
Rapports - Évaluation des vulnérabilités de conteneur optimisée par Microsoft Defender Vulnerability Management fournit des rapports de vulnérabilité à l’aide des recommandations suivantes :
Interroger les informations de vulnérabilité via Azure Resource Graph : possibilité d’interroger les informations de vulnérabilité via le Azure Resource Graph. Découvrez comment interroger des recommandations via ARG.
Résultats de l’analyse des requêtes via l’API REST - Découvrez comment interroger les résultats de l’analyse via l’API REST.
Prise en charge des exemptions : Découvrez comment créer des règles d’exemption pour un groupe d’administration, un groupe de ressources ou un abonnement.
Support pour la désactivation des vulnérabilités : découvrez comment désactiver des vulnérabilités sur des images.
Signature et vérification des artefacts des résultats de vulnérabilité : chaque artefact de résultats de vulnérabilité est signé avec un certificat Microsoft pour assurer l'intégrité et l'authenticité, et est associé à l'image de conteneur dans le registre pour les besoins de validation.
Recommandations relatives à l’évaluation des vulnérabilités
Les nouvelles recommandations en préversion suivantes informent sur les vulnérabilités des conteneurs d’exécution et les vulnérabilités des images de registre, et ne sont pas prises en compte dans le score de sécurité pendant leur préversion. Le moteur d'analyse des nouvelles recommandations est identique à celui des recommandations en disponibilité générale actuelles et délivre les mêmes résultats. Les nouvelles recommandations conviennent mieux aux clients qui utilisent la nouvelle vue basée sur les risques pour les recommandations et que le plan CSPM Defender est activé.
| Recommendation | Description | Clé d’évaluation |
|---|---|---|
| [Préversion] Les résultats de l’analyse de vulnérabilité des images conteneur dans le registre Azure doivent être résolus | Defender pour le cloud analyse vos images du registre pour détecter les vulnérabilités connues (CVE), et fournit des résultats détaillés pour chaque image analysée. L’analyse et la correction des vulnérabilités pour les images conteneur du registre permettent de maintenir une chaîne d’approvisionnement logicielle sécurisée et fiable, réduisent le risque d’incidents de sécurité, et garantissent la conformité aux normes du secteur. | 33422d8f-ab1e-42be-bc9a-38685bb567b9 |
| [Préversion] Les résultats de l’analyse de vulnérabilité des conteneurs exécutés dans Azure doivent être résolus | Defender pour le cloud crée un inventaire de toutes les charges de travail de conteneur en cours d’exécution dans vos clusters Kubernetes, et fournit des rapports de vulnérabilité pour ces charges de travail grâce à une mise en correspondance des images utilisées avec les rapports de vulnérabilité créés pour les images du registre. L’analyse et la correction des vulnérabilités pour les charges de travail de conteneur est essentielle afin de garantir une chaîne d’approvisionnement logicielle robuste et sécurisée, réduisent le risque d’incidents de sécurité et garantissent la conformité aux normes du secteur. | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
Les recommandations en disponibilité générale actuelles suivantes signalent les vulnérabilités dans les conteneurs au sein d’un cluster Kubernetes et sur les images de conteneur dans un registre de conteneurs. Ces recommandations conviennent mieux aux clients qui utilisent l’affichage classique pour les recommandations et qui n’ont pas de plan CSPM Defender activé.
| Recommendation | Description | Clé d’évaluation |
|---|---|---|
| Les vulnérabilités doivent être résolues sur les images conteneur de registre Azure (technologie Microsoft Defender Vulnerability Management) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. La résolution des vulnérabilités permet d’améliorer considérablement votre posture de sécurité, garantissant ainsi que les images sont utilisées en toute sécurité avant le déploiement. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Les vulnérabilités doivent être résolues sur les images conteneur Azure en cours d’exécution (technologie Gestion des vulnérabilités Microsoft Defender) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Fonctionnement de l’évaluation des vulnérabilités pour les images et les conteneurs
Analyse d’images dans les registres pris en charge par Defender pour conteneurs
Note
L’extension d’accès au Registre doit être activée pour l’évaluation des vulnérabilités des images dans les registres de conteneurs.
L’analyse d’une image dans un registre de conteneurs crée un inventaire de l’image et de ses recommandations de vulnérabilité. Les registres d’images conteneur pris en charge sont : Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR), Google Container Registry (GCR) et registres externes configurés. Une image est analysée lorsque :
- Une nouvelle image est envoyée (push) ou importée dans le registre de conteneurs. L’image est analysée dans quelques heures.
-
Déclenchement d’une nouvelle analyse continue : une nouvelle analyse continue est nécessaire pour vous assurer que les images qui ont été précédemment analysées pour détecter les vulnérabilités sont réanalysées pour mettre à jour leurs rapports de vulnérabilité au cas où une nouvelle vulnérabilité est publiée.
-
Une nouvelle analyse est effectuée une fois par jour pour :
- Images publiées au cours des 30 derniers jours.
- Images envoyées au cours des 30 derniers jours.
- Images en cours d’exécution sur les clusters Kubernetes surveillés par Defender pour le cloud (via la Détection sans agent pour Kubernetes ou le capteur Defender).
-
Une nouvelle analyse est effectuée une fois par jour pour :
Note
Pour Defender pour les registres de conteneurs (déprécié), les images sont analysées une fois au moment de l’envoi (push), du tirage (pull), puis réanalysées une seule fois par semaine.
Analyse des conteneurs s’exécutant dans la charge de travail du cluster
Les images de conteneur dans la charge de travail du cluster sont analysées comme suit :
- Les images vulnérables analysées dans les registres pris en charge sont identifiées comme s’exécutant sur le cluster par le processus de découverte. Les images de conteneur en cours d'exécution sont scannées toutes les 24 heures. L’accès au Registre et l’accès à l’API Kubernetes ou le capteur Defender doivent être activés.
- Les images conteneur sont collectées à partir de l’environnement d’exécution et analysées pour les vulnérabilités, indépendantes du registre d’origine. L’analyse inclut des conteneurs appartenant au client, des modules complémentaires Kubernetes et des outils tiers s’exécutant sur le cluster. Les images d’environnement d’exécution sont collectées toutes les 24 heures. L’analyse sans agent des machines , soit l’accès à l’API Kubernetes , soit le capteur Defender , doit être activée.
Note
- La couche runtime de conteneur ne peut pas être analysée pour les vulnérabilités.
- Les images conteneur provenant de nœuds utilisant des disques de système d’exploitation éphémères AKS ou des nœuds Windows ne peuvent pas être analysées pour les vulnérabilités.
- La mise à l’échelle automatique des clusters AKS configurés peut fournir des résultats partiels ou inexistants si l’un ou l’ensemble des nœuds de cluster sont hors service au moment du scan.
Si je supprime une image de mon registre, le temps restant avant la suppression des rapports de vulnérabilités sur cette image ?
Azure Defender pour les registres de conteneurs avertit Defender for Cloud quand des images sont supprimées, et supprime l’évaluation des vulnérabilités des images supprimées dans un délai d’une heure. Dans de rares cas, il est possible que Defender pour le cloud ne soit pas averti de la suppression. Dans de tels cas, la suppression des vulnérabilités associées peut prendre jusqu’à trois jours.
Étapes suivantes
- En savoir plus sur les plans Defender pour le cloud.
- Consultez les questions courantes sur Defender pour les conteneurs.