הפיכת סריקה של גורמים מכילים לאוטומטית, כולל תמונות של גורמים מכילים

  • 3 דקות

המונחים מכילים בסריקת ו- גורם מכיל משמשים לעתים קרובות לחילופין, למרות שהם מתייחסים להיבטים שונים במקצת של ניתוח קומפוזיציית תוכנה בסביבות המכילות. סריקת גורם מכיל מתייחסת בדרך כלל לתהליך של זיהוי פגיעויות, קביעת תצורה שגויה או בעיות אבטחה ביישומים המכילים. הוא מתמקד בסביבות זמן הריצה, יחסי התלות, הספריות והגדרות התצורה בתוך גורמים מכילים. סריקת תמונה של גורם מכיל מתמקדת בתמונות של הגורם המכיל. היא כרוכה בבדיקת השכבות, החבילות, הספריות ותצורות בתוך תמונת הגורם המכיל כדי לזהות בעיות כגון פגיעויות אבטחה ו יחסי תלות מיושנים. סריקת תמונות מתמקדת בדרך כלל בתמונות של גורמים מכילים בהיסטוריית גורמים מכילים.

קיימים כלים וטכניקות רבים לסריקת גורמים מכילים התומכים בפלטפורמות Azure DevOps ו- GitHub. באופן כללי, באפשרותך למנף שירותים אגנוסטיים בפלטפורמה כגון Microsoft Defender for Cloud או לשלב כלי סריקה ישירות ב- Azure Pipelines או ב- GitHub Actions.

Microsoft Defender עבור ענן

Microsoft Defender עבור ענן הוא פלטפורמת הגנה על יישומים מקורית בענן המיישמת אמצעי אבטחה ושיטות עבודה שנועדו להגן על עומסי עבודה מבוססי ענן ממגוון רחב של איומי סייבר. הוא כולל תמיכה בסריקת תמונות וגורמים מכילים על-ידי מינוף היכולות של Microsoft Defender עבור גורמים מכילים וניהול פגיעויות של Microsoft Defender.

Microsoft Defender עבור גורמים מכילים

Microsoft Defender עבור גורמים מכילים הוא פתרון מקורי בענן שמטרה לשפר את האבטחה של סביבות המכילות, כולל אשכולות של Kubernetes, רישום גורמים מכילים ותמונות של גורמים מכילים, בסביבות מרובות עננים וסביבה מקומית. ניתן לקבץ את הפונקציונליות שלו לארבע קטגוריות עיקריות:

  • ניהול הצבת אבטחה מבצע ניטור רציף של עומסי העבודה של Kubernetes כדי לגלות משאבי ענן, למלא אותם, לזהות את התצורה הלא שקולה שלהם, לספק הנחיות לתיקון, להעריך את הסיכונים המתאימים ולסייע בציד סיכונים באמצעות סייר האבטחה של Defender עבור ענן.
  • הגנה מפני איומים בזמן ריצה מספק זיהוי איומים עבור אשכולות של Kubernetes, בהתאם למסגרת MITRE ATT&CK, והוא כולל שילוב עם מגוון רחב של מידע אבטחה וניהול אירועים (SIEM) ומוצרי זיהוי ותגובה מורחבים (XDR).
  • הפריסה והניטור יישום אשכולות של Kubernetes ומעקב אחר המצב שלהם.
  • הערכת פגיעויות הערכת פגיעויות ללא סוכן עבור משאבים מרובי עננים, כולל הדרכה לתיקון וסריקה אוטומטית.

הערכת פגיעויות מסתמכת על ניהול פגיעויות של Microsoft Defender.

ניהול פגיעויות של Microsoft Defender

ניהול פגיעויות של Microsoft Defender מציע פונקציונליות מבוססת-גורם מפעיל לסריקת תמונות הממקדת תמונות ברישום של Azure Container Registry (ACR). הוא יוצר באופן אוטומטי דוחות המתעדים פגיעויות והתיקון המתאים עבור כל תמונה. בנוסף, היא מספקת סריקה של גורמים מכילים שנפרסו באשכולות Azure Kubernetes Service (AKS) בהתבסס על תמונות שנעצרו מכל רישום נתמך של Defender עבור ענן, כולל, מלבד ACR, גורמים מקוריים לשירותי האינטרנט של Amazon (AWS) ו- Google Cloud Platform (GCP), כגון Elastic Container Registry (ECR), Google Container Registry (GCR) ו- Google Artifact Registry (GAR).

כל התמונות המאוחסנות ב- ACR התואמות לקריטריונים של גורמים מפעילים של סריקה נסרקות באופן אוטומטי כדי לאתר פגיעויות ללא תצורה נוספת. ניתן לקבץ קריטריונים אלה לשתי קטגוריות עיקריות:

  • מופעל על-ידי פעולות דחיפה, ייבוא ומשיכה. במקרה של דחיפה או ייבוא, סריקה תושלם בדרך כלל תוך כמה דקות, אך היא עשויה להימשך עד שעה. לאחר שתמונות בודדות נסרקים תוך 24 שעות.
  • פועל ברציפות עבור תמונות שנסרקו בעבר כדי לאתר פגיעויות כדי לעדכן את דוחות הפגיעויות שלהן כך שיתווספו פגיעויות חדשות שפורסמו. סריקות אלה מבוצעות פעם ביום עבור תמונות שנדחפים ב- 90 הימים האחרונים, תמונות שנעצרו ב- 30 הימים האחרונים ותמונות שפועלות באשכולות Kubernetes המנוהגים על-ידי Defender עבור ענן.

המלצות עם דוחות פגיעות מסופקות עבור כל התמונות ב- ACR וכן תמונות הפועלות כעת באשכולות Azure Kubernetes Service (AKS). לאחר שתבצע את השלבים המומלצים לתיקון בעיית האבטחה ותחליף את התמונה ברישום, Microsoft Defender עבור ענן יבצע סריקה מחדש באופן אוטומטי של התמונה כדי לאשר שהפגיעות אינן קיימות עוד.

משלב כלי סריקה ישירות ב- Azure Pipelines או ב- GitHub Actions.

באפשרותך לשלב סריקת גורם מכיל ותמונה ישירות בתוך קווי צינור של CI/CD כדי לזהות באופן אוטומטי פגיעויות ולהבטיח תאימות. התהליך מתחיל על-ידי בחירת כלי סריקה מתאים התואם לפלטפורמה המתאימה, כגון תכלת זמינה כהרחבת אבטחה של DevOps או פעולת Trivy GitHub. לאחר מכן תוכל לשלב את כלי הסריקה שנבחר בתהליך ה- Build כדי לנתח תמונות של גורמים מכילים לאיתור פגיעויות ובעיות תאימות. יש להחיל סריקה של גורם מכיל במהלך שלב התקליטור כדי להעריך את תוצאת הפריסה.

כחלק משילוב CI/CD, שקול למנוע את פריסת התמונה במקרה שסריקה שלה מדווחת על אי-תאימות. בעת יישום זרימות עבודה ב- GitHub, נצל את יכולות Dependabot שלו כדי לזהות וליצור בקשות משיכה כדי לעדכן יחסי תלות בתמונות של גורמים מכילים, כולל Dockerfiles, מניפסטים של חבילה וקבצי תצורה אחרים. הפוך פעולות תיקון לאוטומטיות, כגון תיקון פגיעויות או בנייה מחדש של תמונה, בהתבסס על תוצאות הסריקה. יישום ניטור וביקורות מתמשכת של תוצאות סריקה, מינוף לוחות מחוונים, דוחות והודעות ספציפיים לפלטפורמה.