Az Azure biztonságirés-felmérései Microsoft Defender biztonságirés-kezelés
Az Azure Microsoft Defender biztonságirés-kezelés által működtetett sebezhetőségi felmérése egy beépített megoldás, amely lehetővé teszi a biztonsági csapatok számára a tárolólemezképek biztonsági réseinek könnyű felderítését és elhárítását, az előkészítéshez nincs konfigurálva, valamint ügynökök üzembe helyezése nélkül.
Feljegyzés
Ez a funkció csak az Azure Container Registry (ACR) rendszerképeinek vizsgálatát támogatja. A többi tárolóregisztrációs adatbázisban tárolt képeket az ACR-be kell importálni a lefedettség érdekében. Megtudhatja, hogyan importálhat tárolólemezképeket egy tárolóregisztrációs adatbázisba.
Minden olyan előfizetésben, ahol ez a funkció engedélyezve van, az ACR-ben tárolt összes olyan rendszerképet, amely megfelel a vizsgálati eseményindítók feltételeinek, biztonsági réseket keres a rendszer a felhasználók vagy a regisztrációs adatbázisok további konfigurációja nélkül. A biztonságirés-jelentésekkel kapcsolatos javaslatok az ACR összes lemezképéhez, valamint az AKS-ben jelenleg futó, AKS-ben futó képekhez is elérhetők, amelyeket egy ACR-beállításjegyzékből vagy bármely más Felhőhöz készült Defender támogatott beállításjegyzékből (ECR, GCR vagy GAR) lekértek. A rendszer röviddel a beállításjegyzékbe való felvétel után beolvasja a rendszerképeket, és 24 óránként egyszer újra beolvasja az új biztonsági réseket.
A Microsoft Defender biztonságirés-kezelés által üzemeltetett tároló sebezhetőségi felmérése a következő képességekkel rendelkezik:
- Operációsrendszer-csomagok vizsgálata – A tároló biztonsági réseinek felmérése képes az operációsrendszer-csomagkezelő által Linux és Windows operációs rendszeren telepített csomagok biztonsági réseinek vizsgálatára. Tekintse meg a támogatott operációs rendszer és azok verzióinak teljes listáját.
- Nyelvspecifikus csomagok – csak Linux – támogatása nyelvspecifikus csomagokhoz és fájlokhoz, valamint az operációsrendszer-csomagkezelő nélkül telepített vagy másolt függőségeikhez. Tekintse meg a támogatott nyelvek teljes listáját.
- Képvizsgálat az Azure Private Linkben – Az Azure-tároló sebezhetőségi felmérése lehetővé teszi az Azure Private Linksen keresztül elérhető tárolóregisztrációs adatbázisokban lévő rendszerképek vizsgálatát. Ehhez a funkcióhoz hozzáférésre van szükség a megbízható szolgáltatásokhoz és a beállításjegyzékkel való hitelesítéshez. Megtudhatja, hogyan engedélyezheti a hozzáférést megbízható szolgáltatások használatával.
- Kihasználhatósági információk – Minden biztonságirés-jelentés kizsákmányolhatósági adatbázisokon keresztül keresve segít ügyfeleinknek az egyes jelentett biztonsági résekhez kapcsolódó tényleges kockázat meghatározásában.
- Jelentéskészítés – Az Azure-hoz készült tároló sebezhetőségi felmérése Microsoft Defender biztonságirés-kezelés a következő javaslatok használatával nyújt biztonságirés-jelentéseket:
Ezek az új előzetes verziójú javaslatok, amelyek a futtatókörnyezet tárolójának biztonsági réseit és a beállításjegyzék lemezképeinek biztonsági réseit ismertetik. Ezek az új javaslatok nem számítanak bele a biztonságos pontszámba az előzetes verzióban. Az új javaslatok vizsgálati motorja megegyezik a jelenlegi ga-javaslatokéval, és ugyanazokat a megállapításokat tartalmazza. Ezek a javaslatok azoknak az ügyfeleknek ideálisak, akik az új kockázatalapú nézetet használják a javaslatokhoz, és engedélyezve vannak a Defender CSPM-csomag.
| Ajánlás | Leírás | Értékelési kulcs |
|---|---|---|
| [Előzetes verzió] Az Azure Registry tárolórendszerképeinek feloldva kell lennie a biztonságirés-megállapításoknak | Felhőhöz készült Defender megkeresi a beállításjegyzék-rendszerképeket az ismert biztonsági rések (CVE-k) után, és részletes megállapításokat nyújt az egyes beolvasott képekhez. A tárolólemezképek biztonsági réseinek vizsgálata és elhárítása a beállításjegyzékben segít fenntartani a biztonságos és megbízható szoftverellátási láncot, csökkenti a biztonsági incidensek kockázatát, és biztosítja az iparági szabványoknak való megfelelést. | 334222d8f-ab1e-42be-bc9a-38685bb567b9 |
| [Előzetes verzió] Az Azure-ban futó tárolók biztonsági réseinek megoldására van szükség | Felhőhöz készült Defender létrehoz egy leltárt a Kubernetes-fürtökben jelenleg futó összes tárolóterhelésről, és biztonságirés-jelentéseket biztosít ezekhez a számítási feladatokhoz a használt rendszerképek és a beállításjegyzék lemezképeihez létrehozott biztonságirés-jelentések egyeztetésével. A tárolók számítási feladatainak biztonsági réseinek vizsgálata és elhárítása kritikus fontosságú a hatékony és biztonságos szoftverellátási lánc biztosításához, a biztonsági incidensek kockázatának csökkentéséhez és az iparági szabványoknak való megfeleléshez. | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
Ezek az aktuális ga-javaslatok a Kubernetes-fürtön belüli tárolók biztonsági réseit, valamint a tárolóregisztrációs adatbázisban található tárolórendszerképeket ismertetik. Ezek a javaslatok leginkább azoknak az ügyfeleknek ideálisak, akik a klasszikus nézetet használják javaslatokhoz, és nincs engedélyezve a Defender CSPM-csomag.
| Ajánlás | Leírás | Értékelési kulcs |
|---|---|---|
| Az Azure beállításjegyzék-tároló lemezképeinek biztonsági réseit meg kell oldani (Microsoft Defender biztonságirés-kezelés) | A tárolólemezkép sebezhetőségi felmérése megvizsgálja a beállításjegyzékben a gyakran ismert biztonsági réseket (CVE-ket), és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. A biztonsági rések feloldása jelentősen javíthatja a biztonsági helyzetet, így a rendszerképek biztonságosan használhatók az üzembe helyezés előtt. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| A tárolólemezképeket futtató Azure-nak meg kell oldania a biztonsági réseket (Microsoft Defender biztonságirés-kezelés) | A tárolólemezkép sebezhetőségi felmérése megvizsgálja a beállításjegyzékben a gyakran ismert biztonsági réseket (CVE-ket), és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. Ez a javaslat a Kubernetes-fürtökben jelenleg futó sebezhető képek láthatóságát biztosítja. A jelenleg futó tárolólemezképek biztonsági réseinek elhárítása kulcsfontosságú a biztonsági helyzet javításához, ami jelentősen csökkenti a tárolóalapú számítási feladatok támadási felületét. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
- Biztonságirés-információk lekérdezése az Azure Resource Graphon keresztül – A biztonságirés-információk lekérdezésének képessége az Azure Resource Graphon keresztül. Megtudhatja, hogyan kérdezhet le javaslatokat az ARG-en keresztül.
- Lekérdezési eredmények lekérdezése REST API-val – Megtudhatja, hogyan kérdezheti le a vizsgálati eredményeket a REST API-val.
- Kivételek támogatása – Megtudhatja , hogyan hozhat létre kivételszabályokat felügyeleti csoportokhoz, erőforráscsoportokhoz vagy előfizetésekhez.
- A biztonsági rések letiltásának támogatása – Ismerje meg, hogyan tilthatja le a rendszerképek biztonsági réseit.
Triggerek vizsgálata
A képvizsgálat eseményindítói a következők:
Egyszeri aktiválás:
- A rendszer aktiválja a tárolóregisztrációs adatbázisba leküldett vagy importált rendszerképeket, hogy beolvassák. A legtöbb esetben a vizsgálat néhány percen belül befejeződik, de ritkán akár egy órát is igénybe vehet.
- A beállításjegyzékből lekért rendszerképeket a rendszer 24 órán belül beolvasja.
Folyamatos újravizsgálat – folyamatos újravizsgálat szükséges annak biztosításához, hogy a biztonsági réseket korábban beolvasott képek újra beolvasva frissíthessék biztonságirés-jelentéseiket egy új biztonsági rés közzététele esetén.
- Az újraellenőrzés naponta egyszer történik a következő okok miatt:
- Az elmúlt 90 napban leküldéses képek.
- Az elmúlt 30 napban lekért képek.
- Az Felhőhöz készült Defender által figyelt Kubernetes-fürtökön futó képek (a Kubernetes ügynök nélküli felderítése vagy a Defender-érzékelő segítségével).
- Az újraellenőrzés naponta egyszer történik a következő okok miatt:
Hogyan működik a képvizsgálat?
A vizsgálati folyamat részletes leírása a következő:
Ha engedélyezi az Azure-beli tárolók biztonságirés-felmérését Microsoft Defender biztonságirés-kezelés, engedélyezi Felhőhöz készült Defender számára, hogy tárolólemezképeket vizsgáljon az Azure Container-nyilvántartásokban.
Felhőhöz készült Defender automatikusan felderíti az összes tárolóregisztrációs adatbázist, adattárat és lemezképet (a funkció engedélyezése előtt vagy után jön létre).
Felhőhöz készült Defender értesítést kap, amikor egy új rendszerképet leküld egy Azure Container Registrybe. Az új kép ezután azonnal hozzáadódik a rendszerképek katalógusához, Felhőhöz készült Defender karbantartja, és egy műveletet várólistára helyez a kép azonnali vizsgálatához.
Naponta egyszer, és a beállításjegyzékbe leküldéses új képek esetén:
- A rendszer lekérte az újonnan felfedezett képeket, és minden képhez létrehoz egy leltárt. A rendszer megőrzi a képleltárat a további képfelvételek elkerülése érdekében, kivéve, ha az új képolvasó képességei megkövetelik.
- A leltár használatával biztonsági résjelentések jönnek létre az új rendszerképekhez, és frissülnek a korábban beolvasott, az elmúlt 90 napban egy beállításjegyzékbe leküldett vagy éppen futó képekre. Annak megállapításához, hogy egy rendszerkép jelenleg fut-e, Felhőhöz készült Defender a Kubernetes ügynök nélküli felderítését és az AKS-csomópontokon futó Defender-érzékelőn keresztül gyűjtött leltárt is használja
- A beállításjegyzék tárolólemezképeinek biztonságirés-jelentései javaslatként szolgálnak.
A Kubernetes ügynök nélküli felderítését vagy az AKS-csomópontokon futó Defender-érzékelőn keresztül gyűjtött leltárt használó ügyfelek számára Felhőhöz készült Defender ajánlást is készít az AKS-fürtön futó sebezhető rendszerképek biztonsági réseinek elhárítására. Azoknak az ügyfeleknek, akik csak a Kubernetes ügynök nélküli felderítését használják, a javaslatban szereplő készlet frissítési ideje hét óránként egyszer történik. A Defender-érzékelőt is futtató fürtök kétórás készletfrissítési gyakoriságot élveznek. A képvizsgálat eredményei mindkét esetben a beállításjegyzék vizsgálata alapján frissülnek, ezért csak 24 óránként frissülnek.
Feljegyzés
A Tárolóregisztrációs adatbázisokhoz készült Defender (elavult) esetében a rendszer a képeket csak egyszer ellenőrzi leküldéses, lekéréses és csak hetente egyszer.
Ha eltávolítok egy lemezképet a beállításjegyzékből, mennyi ideig lesznek eltávolítva a rendszerkép biztonsági rései?
Az Azure Container Registries értesíti Felhőhöz készült Defender a rendszerképek törlésekor, és egy órán belül eltávolítja a törölt képek sebezhetőségi felmérését. Bizonyos ritka esetekben előfordulhat, hogy Felhőhöz készült Defender nem kap értesítést a törlésről, és a kapcsolódó biztonsági rések törlése ilyen esetekben akár három napot is igénybe vehet.
Következő lépések
- További információ a Felhőhöz készült Defender Defender-csomagokról.
- Tekintse meg a Defender for Containers szolgáltatásra vonatkozó gyakori kérdéseket .