Biztonságirés-felmérés a GCP-hez Microsoft Defender biztonságirés-kezelés
A Microsoft Defender biztonságirés-kezelés által üzemeltetett GCP sebezhetőségi felmérése egy beépített megoldás, amely lehetővé teszi a biztonsági csapatok számára, hogy könnyen felderíthessék és orvosolják a Linux-tárolólemezképek biztonsági réseit, anélkül, hogy bármilyen érzékelőt üzembe helyezhetnének.
Minden olyan fiókban, ahol a funkció engedélyezve van, a Rendszer minden olyan googleregisztrációs adatbázisban (GAR és GCR) tárolt képet, amely megfelel a vizsgálati eseményindítók feltételeinek, a rendszer a felhasználók vagy a regisztrációs adatbázisok további konfigurációja nélkül ellenőrzi a biztonsági réseket. A biztonságirés-jelentésekkel kapcsolatos javaslatok a Google Registries (GAR és GCR) összes rendszerképéhez, a Google-nyilvántartásokból (GAR és GCR) lekért GKE-ben jelenleg futó képekhez vagy bármely más, Felhőhöz készült Defender támogatott beállításjegyzékhez (ACR vagy ECR) tartoznak. A rendszer röviddel a beállításjegyzékbe való felvétel után beolvasja a rendszerképeket, és 24 óránként egyszer újra beolvasja az új biztonsági réseket.
A Microsoft Defender biztonságirés-kezelés által üzemeltetett tároló sebezhetőségi felmérése a következő képességekkel rendelkezik:
Operációsrendszer-csomagok vizsgálata – A tároló biztonsági réseinek felmérése képes az operációsrendszer-csomagkezelő által Linux és Windows operációs rendszereken telepített csomagok biztonsági réseinek vizsgálatára. Tekintse meg a támogatott operációs rendszer és azok verzióinak teljes listáját.
Nyelvspecifikus csomagok – csak Linux – támogatása nyelvspecifikus csomagokhoz és fájlokhoz, valamint az operációsrendszer-csomagkezelő nélkül telepített vagy másolt függőségeikhez. Tekintse meg a támogatott nyelvek teljes listáját.
Kihasználhatósági információk – Minden biztonságirés-jelentés kizsákmányolhatósági adatbázisokon keresztül keresve segít ügyfeleinknek az egyes jelentett biztonsági résekhez kapcsolódó tényleges kockázat meghatározásában.
Jelentéskészítés – A Microsoft Defender biztonságirés-kezelés által működtetett GCP tárolói sebezhetőségi felmérése a következő javaslatok használatával nyújt biztonságirés-jelentéseket:
Ezek az új előzetes verziójú javaslatok, amelyek a futtatókörnyezet tárolójának biztonsági réseit és a beállításjegyzék lemezképeinek biztonsági réseit ismertetik. Ezek az új javaslatok nem számítanak bele a biztonságos pontszámba az előzetes verzióban. Az új javaslatok vizsgálati motorja megegyezik a jelenlegi ga-javaslatokéval, és ugyanazokat a megállapításokat tartalmazza. Ezek a javaslatok azoknak az ügyfeleknek ideálisak, akik az új kockázatalapú nézetet használják a javaslatokhoz, és engedélyezve vannak a Defender CSPM-csomag.
| Ajánlás | Leírás | Értékelési kulcs |
|---|---|---|
| [Előzetes verzió] A tárolólemezképeknek a GCP-beállításjegyzékben meg kell oldaniuk a biztonságirés-megállapításokat | Felhőhöz készült Defender megkeresi a beállításjegyzék-rendszerképeket az ismert biztonsági rések (CVE-k) után, és részletes megállapításokat nyújt az egyes beolvasott képekhez. A tárolólemezképek biztonsági réseinek vizsgálata és elhárítása a beállításjegyzékben segít fenntartani a biztonságos és megbízható szoftverellátási láncot, csökkenti a biztonsági incidensek kockázatát, és biztosítja az iparági szabványoknak való megfelelést. | 24e37609-dcf5-4a3b-b2b0-b7d76f2e4e04 |
| [Előzetes verzió] A GCP-ben futó tárolók biztonsági réseinek megállapításait meg kell oldani | Felhőhöz készült Defender létrehoz egy leltárt a Kubernetes-fürtökben jelenleg futó összes tárolóterhelésről, és biztonságirés-jelentéseket biztosít ezekhez a számítási feladatokhoz a használt rendszerképek és a beállításjegyzék lemezképeihez létrehozott biztonságirés-jelentések egyeztetésével. A tárolók számítási feladatainak biztonsági réseinek vizsgálata és elhárítása kritikus fontosságú a hatékony és biztonságos szoftverellátási lánc biztosításához, a biztonsági incidensek kockázatának csökkentéséhez és az iparági szabványoknak való megfeleléshez. | 1b3abfa4-9e53-46f1-9627-51f2957f8bba |
Ezek az aktuális ga-javaslatok a Kubernetes-fürtön belüli tárolók biztonsági réseit, valamint a tárolóregisztrációs adatbázisban található tárolórendszerképeket ismertetik. Ezek a javaslatok leginkább azoknak az ügyfeleknek ideálisak, akik a klasszikus nézetet használják javaslatokhoz, és nincs engedélyezve a Defender CSPM-csomag.
| Ajánlás | Leírás | Értékelési kulcs |
|---|---|---|
| A GCP-tárolólemezképek biztonsági réseinek megoldása (Microsoft Defender biztonságirés-kezelés) – Microsoft Azure | Megvizsgálja a GCP-regisztrálók tárolólemezképeit a gyakran ismert biztonsági rések (CVE-k) után, és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. A biztonsági rések feloldása jelentősen javíthatja a biztonsági helyzetet, így a rendszerképek biztonságosan használhatók az üzembe helyezés előtt. | c27441ae-775c-45be-8ffa-655de37362ce |
| A tárolólemezképeket futtató GCP-nek meg kell oldania a biztonságirés-megállapításokat (Microsoft Defender biztonságirés-kezelés) – Microsoft Azure | A tárolólemezkép sebezhetőségi felmérése megvizsgálja a beállításjegyzékben a gyakran ismert biztonsági réseket (CVE-ket), és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. Ez a javaslat a Google Kubernetes-fürtökben jelenleg futó sebezhető képek láthatóságát biztosítja. A jelenleg futó tárolólemezképek biztonsági réseinek elhárítása kulcsfontosságú a biztonsági helyzet javításához, ami jelentősen csökkenti a tárolóalapú számítási feladatok támadási felületét. | 5cc3a2c1-8397-456f-8792-fe9d0d4c9145 |
Biztonságirés-információk lekérdezése az Azure Resource Graphon keresztül – A biztonságirés-információk lekérdezésének képessége az Azure Resource Graphon keresztül. Megtudhatja, hogyan kérdezhet le javaslatokat az ARG-en keresztül.
Lekérdezési eredmények lekérdezése REST API-val – Megtudhatja, hogyan kérdezheti le a vizsgálati eredményeket a REST API-val.
Triggerek vizsgálata
A képvizsgálat eseményindítói a következők:
Egyszeri aktiválás:
- A rendszer aktiválja a tárolóregisztrációs adatbázisba leküldett rendszerképeket, hogy beolvassák. A legtöbb esetben a vizsgálat néhány órán belül befejeződik, de ritkán akár 24 órát is igénybe vehet.
- A beállításjegyzékből lekért rendszerképeket a rendszer 24 órán belül beolvasja.
Folyamatos újravizsgálat – folyamatos újravizsgálat szükséges annak biztosításához, hogy a biztonsági réseket korábban beolvasott képek újra beolvasva frissíthessék biztonságirés-jelentéseiket egy új biztonsági rés közzététele esetén.
- Az újraellenőrzés naponta egyszer történik a következő okok miatt:
- Az elmúlt 90 napban leküldéses képek.
- Az elmúlt 30 napban lekért képek.
- Az Felhőhöz készült Defender által figyelt Kubernetes-fürtökön futó képek (a Kubernetes ügynök nélküli felderítése vagy a Defender-érzékelő segítségével).
- Az újraellenőrzés naponta egyszer történik a következő okok miatt:
Hogyan működik a képvizsgálat?
A vizsgálati folyamat részletes leírása a következő:
Ha engedélyezi a Microsoft Defender biztonságirés-kezelés által működtetett GCP tároló sebezhetőségi felmérését, engedélyezi Felhőhöz készült Defender számára, hogy tárolólemezképeket vizsgáljon az Elastic Container-adatbázisokban.
Felhőhöz készült Defender automatikusan felderíti az összes tárolóregisztrációs adatbázist, adattárat és lemezképet (a funkció engedélyezése előtt vagy után jön létre).
Naponta egyszer, és a beállításjegyzékbe leküldéses új képek esetén:
- A rendszer lekérte az újonnan felfedezett képeket, és minden képhez létrehoz egy leltárt. A rendszer megőrzi a képleltárat a további képfelvételek elkerülése érdekében, kivéve, ha az új képolvasó képességei megkövetelik.
- A leltár használatával biztonsági résjelentések jönnek létre az új rendszerképekhez, és frissülnek a korábban beolvasott, az elmúlt 90 napban egy beállításjegyzékbe leküldett vagy éppen futó képekre. Annak megállapításához, hogy egy rendszerkép jelenleg fut-e, Felhőhöz készült Defender a Kubernetes ügynök nélküli felderítését és a GKE-csomópontokon futó Defender-érzékelőn keresztül gyűjtött leltárt is használja
- A beállításjegyzék tárolólemezképeinek biztonságirés-jelentései javaslatként szolgálnak.
A Kubernetes ügynök nélküli felderítését vagy a GKE-csomópontokon futó Defender-érzékelővel gyűjtött leltárt használó ügyfelek számára Felhőhöz készült Defender javaslatot is készít a GKE-fürtön futó sebezhető rendszerképek biztonsági réseinek elhárítására. Azoknak az ügyfeleknek, akik csak a Kubernetes ügynök nélküli felderítését használják, a javaslatban szereplő készlet frissítési ideje hét óránként egyszer történik. A Defender-érzékelőt is futtató fürtök kétórás készletfrissítési gyakoriságot élveznek. A képvizsgálat eredményei mindkét esetben a beállításjegyzék vizsgálata alapján frissülnek, ezért csak 24 óránként frissülnek.
Feljegyzés
A Tárolóregisztrációs adatbázisokhoz készült Defender (elavult) esetében a rendszer a képeket csak egyszer ellenőrzi leküldéses, lekéréses és csak hetente egyszer.
Ha eltávolítok egy lemezképet a beállításjegyzékből, mennyi ideig lesznek eltávolítva a rendszerkép biztonsági rései?
A jelentések eltávolítása 30 órát vesz igénybe, miután a rendszerképet törölték a Google-nyilvántartásokból (GAR és GCR).
Következő lépések
- További információ a Felhőhöz készült Defender Defender-csomagokról.
- Tekintse meg a Defender for Containers szolgáltatásra vonatkozó gyakori kérdéseket .