Az Azure biztonságirés-felmérései Microsoft Defender biztonságirés-kezelés

  • Cikk

Az Azure Microsoft Defender biztonságirés-kezelés által működtetett sebezhetőségi felmérése egy beépített megoldás, amely lehetővé teszi a biztonsági csapatok számára a tárolólemezképek biztonsági réseinek könnyű felderítését és elhárítását, az előkészítéshez nincs konfigurálva, valamint ügynökök üzembe helyezése nélkül.

Feljegyzés

Ez a funkció csak az Azure Container Registry (ACR) rendszerképeinek vizsgálatát támogatja. A többi tárolóregisztrációs adatbázisban tárolt képeket az ACR-be kell importálni a lefedettség érdekében. Megtudhatja, hogyan importálhat tárolólemezképeket egy tárolóregisztrációs adatbázisba.

Minden olyan előfizetésben, ahol ez a funkció engedélyezve van, az ACR-ben tárolt összes olyan rendszerképet, amely megfelel a vizsgálati eseményindítók feltételeinek, biztonsági réseket keres a rendszer a felhasználók vagy a regisztrációs adatbázisok további konfigurációja nélkül. Javaslatok biztonságirés-jelentésekkel rendelkezik az ACR-ben található összes rendszerkép, valamint az AKS-ben jelenleg futó képek, amelyeket egy ACR-beállításjegyzékből vagy bármely más Felhőhöz készült Defender támogatott beállításjegyzékből (ECR, GCR vagy GAR) lekértek. A rendszer röviddel a beállításjegyzékbe való felvétel után beolvasja a rendszerképeket, és 24 óránként egyszer újra beolvasja az új biztonsági réseket.

A Microsoft Defender biztonságirés-kezelés által üzemeltetett tároló sebezhetőségi felmérése a következő képességekkel rendelkezik:

  • Operációsrendszer-csomagok vizsgálata – A tároló biztonsági réseinek felmérése képes az operációsrendszer-csomagkezelő által Linux és Windows operációs rendszeren telepített csomagok biztonsági réseinek vizsgálatára. Tekintse meg a támogatott operációs rendszer és azok verzióinak teljes listáját.
  • Nyelvspecifikus csomagokcsak Linux – támogatása nyelvspecifikus csomagokhoz és fájlokhoz, valamint az operációsrendszer-csomagkezelő nélkül telepített vagy másolt függőségeikhez. Tekintse meg a támogatott nyelvek teljes listáját.
  • Képvizsgálat az Azure Private Linkben – Az Azure-tároló sebezhetőségi felmérése lehetővé teszi az Azure Private Linksen keresztül elérhető tárolóregisztrációs adatbázisokban lévő rendszerképek vizsgálatát. Ehhez a funkcióhoz hozzáférésre van szükség a megbízható szolgáltatásokhoz és a beállításjegyzékkel való hitelesítéshez. Megtudhatja, hogyan engedélyezheti a hozzáférést megbízható szolgáltatások használatával.
  • Kihasználhatósági információk – Minden biztonságirés-jelentés kizsákmányolhatósági adatbázisokon keresztül keresve segít ügyfeleinknek az egyes jelentett biztonsági résekhez kapcsolódó tényleges kockázat meghatározásában.
  • Jelentéskészítés – Az Azure-hoz készült tároló sebezhetőségi felmérése Microsoft Defender biztonságirés-kezelés a következő javaslatok használatával nyújt biztonságirés-jelentéseket:

Ezek azok az új javaslatok, amelyek a futtatókörnyezet tárolójának biztonsági réseit és a beállításjegyzék lemezképeinek biztonsági réseit ismertetik. Jelenleg előzetes verzióban érhetők el, de a régi javaslatok lecserélésére szolgálnak. Ezek az új javaslatok nem számítanak bele a biztonságos pontszámba az előzetes verzióban. A két javaslatcsoport vizsgálati motorja ugyanaz.

Ajánlás Leírás Értékelési kulcs
[Előzetes verzió] Az Azure Registry tárolórendszerképeinek feloldva kell lennie a biztonságirés-megállapításoknak Felhőhöz készült Defender megkeresi a beállításjegyzék-rendszerképeket az ismert biztonsági rések (CVE-k) után, és részletes megállapításokat nyújt az egyes beolvasott képekhez. A tárolólemezképek biztonsági réseinek vizsgálata és elhárítása a beállításjegyzékben segít fenntartani a biztonságos és megbízható szoftverellátási láncot, csökkenti a biztonsági incidensek kockázatát, és biztosítja az iparági szabványoknak való megfelelést. 334222d8f-ab1e-42be-bc9a-38685bb567b9
[Előzetes verzió] Az Azure-ban futó tárolók biztonsági réseinek megoldására van szükség   Felhőhöz készült Defender létrehoz egy leltárt a Kubernetes-fürtökben jelenleg futó összes tárolóterhelésről, és biztonságirés-jelentéseket biztosít ezekhez a számítási feladatokhoz a használt rendszerképek és a beállításjegyzék lemezképeihez létrehozott biztonságirés-jelentések egyeztetésével. A tárolók számítási feladatainak biztonsági réseinek vizsgálata és elhárítása kritikus fontosságú a hatékony és biztonságos szoftverellátási lánc biztosításához, a biztonsági incidensek kockázatának csökkentéséhez és az iparági szabványoknak való megfeleléshez. e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0

Ezek a régebbi javaslatok, amelyek jelenleg egy nyugdíjazási útvonalon vannak:

Ajánlás Leírás Értékelési kulcs
Az Azure beállításjegyzék-tároló lemezképeinek biztonsági réseit meg kell oldani (Microsoft Defender biztonságirés-kezelés) A tárolólemezkép sebezhetőségi felmérése megvizsgálja a beállításjegyzékben a gyakran ismert biztonsági réseket (CVE-ket), és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. A biztonsági rések feloldása jelentősen javíthatja a biztonsági helyzetet, így a rendszerképek biztonságosan használhatók az üzembe helyezés előtt. c0b7cfc6-3172-465a-b378-53c7ff2cc0d5
A tárolólemezképeket futtató Azure-nak meg kell oldania a biztonsági réseket (Microsoft Defender biztonságirés-kezelés)   A tárolólemezkép sebezhetőségi felmérése megvizsgálja a beállításjegyzékben a gyakran ismert biztonsági réseket (CVE-ket), és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. Ez a javaslat a Kubernetes-fürtökben jelenleg futó sebezhető képek láthatóságát biztosítja. A jelenleg futó tárolólemezképek biztonsági réseinek elhárítása kulcsfontosságú a biztonsági helyzet javításához, ami jelentősen csökkenti a tárolóalapú számítási feladatok támadási felületét. c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

Triggerek vizsgálata

A képvizsgálat eseményindítói a következők:

  • Egyszeri aktiválás:

    • A rendszer aktiválja a tárolóregisztrációs adatbázisba leküldett vagy importált rendszerképeket, hogy beolvassák. A legtöbb esetben a vizsgálat néhány percen belül befejeződik, de ritkán akár egy órát is igénybe vehet.
    • A beállításjegyzékből lekért rendszerképeket a rendszer 24 órán belül beolvasja.

  • Folyamatos újravizsgálat – folyamatos újravizsgálat szükséges annak biztosításához, hogy a biztonsági réseket korábban beolvasott képek újra beolvasva frissíthessék biztonságirés-jelentéseiket egy új biztonsági rés közzététele esetén.

    • Az újraellenőrzés naponta egyszer történik a következő okok miatt:

Hogyan működik a képvizsgálat?

A vizsgálati folyamat részletes leírása a következő:

  • Ha engedélyezi az Azure-beli tárolók biztonságirés-felmérését Microsoft Defender biztonságirés-kezelés, engedélyezi Felhőhöz készült Defender számára, hogy tárolólemezképeket vizsgáljon az Azure Container-nyilvántartásokban.

  • Felhőhöz készült Defender automatikusan felderíti az összes tárolóregisztrációs adatbázist, adattárat és lemezképet (a funkció engedélyezése előtt vagy után jön létre).

  • Felhőhöz készült Defender értesítést kap, amikor egy új rendszerképet leküld egy Azure Container Registrybe. Az új kép ezután azonnal hozzáadódik a rendszerképek katalógusához, Felhőhöz készült Defender karbantartja, és egy műveletet várólistára helyez a kép azonnali vizsgálatához.

  • Naponta egyszer, és a beállításjegyzékbe leküldéses új képek esetén:

    • A rendszer lekérte az újonnan felfedezett képeket, és minden képhez létrehoz egy leltárt. A rendszer megőrzi a képleltárat a további képfelvételek elkerülése érdekében, kivéve, ha az új képolvasó képességei megkövetelik.
    • A leltár használatával biztonsági résjelentések jönnek létre az új rendszerképekhez, és frissülnek a korábban beolvasott, az elmúlt 90 napban egy beállításjegyzékbe leküldett vagy éppen futó képekre. Annak megállapításához, hogy egy rendszerkép jelenleg fut-e, Felhőhöz készült Defender a Kubernetes ügynök nélküli felderítését és az AKS-csomópontokon futó Defender-érzékelőn keresztül gyűjtött leltárt is használja
    • A beállításjegyzék tárolólemezképeinek biztonságirés-jelentései javaslatként szolgálnak.

  • A Kubernetes ügynök nélküli felderítését vagy az AKS-csomópontokon futó Defender-érzékelőn keresztül gyűjtött leltárt használó ügyfelek számára Felhőhöz készült Defender ajánlást is készít az AKS-fürtön futó sebezhető rendszerképek biztonsági réseinek elhárítására. Azoknak az ügyfeleknek, akik csak a Kubernetes ügynök nélküli felderítését használják, a javaslatban szereplő készlet frissítési ideje hét óránként egyszer történik. A Defender-érzékelőt is futtató fürtök kétórás készletfrissítési gyakoriságot élveznek. A képvizsgálat eredményei mindkét esetben a beállításjegyzék vizsgálata alapján frissülnek, ezért csak 24 óránként frissülnek.

Feljegyzés

A Tárolóregisztrációs adatbázisokhoz készült Defender (elavult) esetében a rendszer a képeket csak egyszer ellenőrzi leküldéses, lekéréses és csak hetente egyszer.

Ha eltávolítok egy lemezképet a beállításjegyzékből, mennyi ideig lesznek eltávolítva a rendszerkép biztonsági rései?

Az Azure Container Registries értesíti Felhőhöz készült Defender a rendszerképek törlésekor, és egy órán belül eltávolítja a törölt képek sebezhetőségi felmérését. Bizonyos ritka esetekben előfordulhat, hogy Felhőhöz készült Defender nem kap értesítést a törlésről, és a kapcsolódó biztonsági rések törlése ilyen esetekben akár három napot is igénybe vehet.

Következő lépések