Biztonságirés-felmérés az AWS-hez Microsoft Defender biztonságirés-kezelés
A Microsoft Defender biztonságirés-kezelés által üzemeltetett AWS sebezhetőségi felmérése egy beépített megoldás, amely lehetővé teszi a biztonsági csapatok számára a Linux tárolólemezképek biztonsági réseinek könnyű felderítését és elhárítását, az előkészítéshez nincs konfigurálva, és nem helyeznek üzembe érzékelőket.
Feljegyzés
Ez a funkció csak az ECR-ben támogatja a képek vizsgálatát. A más tárolóregisztrációs adatbázisokban tárolt képeket az ECR-be kell importálni a lefedettség érdekében. Megtudhatja, hogyan importálhat tárolólemezképeket egy tárolóregisztrációs adatbázisba.
Minden olyan fiókban, ahol a képesség engedélyezése befejeződött, az ECR-ben tárolt összes olyan rendszerképet, amely megfelel a vizsgálati eseményindítók feltételeinek, a rendszer a felhasználók vagy a regisztrációs adatbázisok további konfigurációja nélkül vizsgálja meg a biztonsági réseket. Javaslatok biztonságirés-jelentésekkel rendelkezik az ECR-ben található összes rendszerkép, valamint az ECR-beállításjegyzékből vagy bármely más Felhőhöz készült Defender támogatott beállításjegyzékből (ACR, GCR vagy GAR) lekért EKS-ben jelenleg futó rendszerkép. A rendszer röviddel a beállításjegyzékbe való felvétel után beolvasja a rendszerképeket, és 24 óránként egyszer újra beolvasja az új biztonsági réseket.
A Microsoft Defender biztonságirés-kezelés által üzemeltetett tároló sebezhetőségi felmérése a következő képességekkel rendelkezik:
Operációsrendszer-csomagok vizsgálata – A tároló biztonsági réseinek felmérése képes az operációsrendszer-csomagkezelő által Linux és Windows operációs rendszereken telepített csomagok biztonsági réseinek vizsgálatára. Tekintse meg a támogatott operációs rendszer és azok verzióinak teljes listáját.
Nyelvspecifikus csomagok – csak Linux – támogatása nyelvspecifikus csomagokhoz és fájlokhoz, valamint az operációsrendszer-csomagkezelő nélkül telepített vagy másolt függőségeikhez. Tekintse meg a támogatott nyelvek teljes listáját.
Kihasználhatósági információk – Minden biztonságirés-jelentés kizsákmányolhatósági adatbázisokon keresztül keresve segít ügyfeleinknek az egyes jelentett biztonsági résekhez kapcsolódó tényleges kockázat meghatározásában.
Jelentéskészítés – A Microsoft Defender biztonságirés-kezelés által üzemeltetett AWS tárolói sebezhetőségi felmérése a következő javaslatok használatával nyújt biztonságirés-jelentéseket:
Ezek azok az új javaslatok, amelyek a futtatókörnyezet tárolójának biztonsági réseit és a beállításjegyzék lemezképeinek biztonsági réseit ismertetik. Jelenleg előzetes verzióban érhetők el, de a régi javaslatok lecserélésére szolgálnak. Ezek az új javaslatok nem számítanak bele a biztonságos pontszámba az előzetes verzióban. A két javaslatcsoport vizsgálati motorja ugyanaz.
| Ajánlás | Leírás | Értékelési kulcs |
|---|---|---|
| [Előzetes verzió] Az AWS-beállításjegyzékben lévő tárolólemezképek biztonságirés-megállapításait meg kell oldani | Felhőhöz készült Defender megkeresi a beállításjegyzék-rendszerképeket az ismert biztonsági rések (CVE-k) után, és részletes megállapításokat nyújt az egyes beolvasott képekhez. A tárolólemezképek biztonsági réseinek vizsgálata és elhárítása a beállításjegyzékben segít fenntartani a biztonságos és megbízható szoftverellátási láncot, csökkenti a biztonsági incidensek kockázatát, és biztosítja az iparági szabványoknak való megfelelést. | 2a139383-ec7e-462a-90ac-b1b60e87d576 |
| [Előzetes verzió] Az AWS-ben futó tárolók biztonságirés-megállapításait meg kell oldani | Felhőhöz készült Defender létrehoz egy leltárt a Kubernetes-fürtökben jelenleg futó összes tárolóterhelésről, és biztonságirés-jelentéseket biztosít ezekhez a számítási feladatokhoz a használt rendszerképek és a beállításjegyzék lemezképeihez létrehozott biztonságirés-jelentések egyeztetésével. A tárolók számítási feladatainak biztonsági réseinek vizsgálata és elhárítása kritikus fontosságú a hatékony és biztonságos szoftverellátási lánc biztosításához, a biztonsági incidensek kockázatának csökkentéséhez és az iparági szabványoknak való megfeleléshez. | d5d1e526-363a-4223-b860-f4b6e710859f |
Ezek a régebbi javaslatok, amelyek jelenleg egy nyugdíjazási útvonalon vannak:
| Ajánlás | Leírás | Értékelési kulcs |
|---|---|---|
| Az AWS-tárolólemezképek biztonsági réseinek feloldása érdekében (Microsoft Defender biztonságirés-kezelés) | Megvizsgálja az AWS-adatbázis tárolólemezképeit a gyakran ismert biztonsági rések (CVE-k) után, és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. A biztonsági rések feloldása jelentősen javíthatja a biztonsági helyzetet, így a rendszerképek biztonságosan használhatók az üzembe helyezés előtt. | c27441ae-775c-45be-8ffa-655de37362ce |
| A tárolólemezképeket futtató AWS-nek meg kell oldania a biztonságirés-megállapításokat (Microsoft Defender biztonságirés-kezelés) | A tárolólemezkép sebezhetőségi felmérése megvizsgálja a beállításjegyzékben a gyakran ismert biztonsági réseket (CVE-ket), és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. Ez a javaslat a rugalmas Kubernetes-fürtökön jelenleg futó sebezhető képek láthatóságát biztosítja. A jelenleg futó tárolólemezképek biztonsági réseinek elhárítása kulcsfontosságú a biztonsági helyzet javításához, ami jelentősen csökkenti a tárolóalapú számítási feladatok támadási felületét. | 682b2595-d045-4cff-b5aa-46624eb2dd8f |
Biztonságirés-információk lekérdezése az Azure Resource Graphon keresztül – A biztonságirés-információk lekérdezésének képessége az Azure Resource Graphon keresztül. Megtudhatja, hogyan kérdezhet le javaslatokat az ARG-en keresztül.
Lekérdezési eredmények lekérdezése REST API-val – Megtudhatja, hogyan kérdezheti le a vizsgálati eredményeket a REST API-val.
Triggerek vizsgálata
A képvizsgálat eseményindítói a következők:
Egyszeri aktiválás:
- A rendszer aktiválja a tárolóregisztrációs adatbázisba leküldett rendszerképeket, hogy beolvassák. A legtöbb esetben a vizsgálat néhány órán belül befejeződik, de ritkán akár 24 órát is igénybe vehet.
- A beállításjegyzékből lekért rendszerképeket a rendszer 24 órán belül beolvasja.
Folyamatos újravizsgálat – folyamatos újravizsgálat szükséges annak biztosításához, hogy a biztonsági réseket korábban beolvasott képek újra beolvasva frissíthessék biztonságirés-jelentéseiket egy új biztonsági rés közzététele esetén.
- Az újraellenőrzés naponta egyszer történik a következő okok miatt:
- Az elmúlt 90 napban leküldéses képek.
- Az elmúlt 30 napban lekért képek.
- Az Felhőhöz készült Defender által figyelt Kubernetes-fürtökön futó képek (a Kubernetes ügynök nélküli felderítése vagy a Defender-érzékelő segítségével).
- Az újraellenőrzés naponta egyszer történik a következő okok miatt:
Hogyan működik a képvizsgálat?
A vizsgálati folyamat részletes leírása a következő:
Ha engedélyezi az Microsoft Defender biztonságirés-kezelés által üzemeltetett AWS tárolói sebezhetőségi felmérését, engedélyezi Felhőhöz készült Defender számára a tárolólemezképek vizsgálatát az elastic containerregisztrációs adatbázisokban.
Felhőhöz készült Defender automatikusan felderíti az összes tárolóregisztrációs adatbázist, adattárat és lemezképet (a funkció engedélyezése előtt vagy után jön létre).
Naponta egyszer, és a beállításjegyzékbe leküldéses új képek esetén:
- A rendszer lekérte az újonnan felfedezett képeket, és minden képhez létrehoz egy leltárt. A rendszer megőrzi a képleltárat a további képfelvételek elkerülése érdekében, kivéve, ha az új képolvasó képességei megkövetelik.
- A leltár használatával biztonsági résjelentések jönnek létre az új rendszerképekhez, és frissülnek a korábban beolvasott, az elmúlt 90 napban egy beállításjegyzékbe leküldett vagy éppen futó képekre. Annak megállapításához, hogy egy rendszerkép jelenleg fut-e, Felhőhöz készült Defender a Kubernetes ügynök nélküli felderítését és az EKS-csomópontokon futó Defender-érzékelőn keresztül gyűjtött leltárt is használja
- A beállításjegyzék tárolólemezképeinek biztonságirés-jelentései javaslatként szolgálnak.
A Kubernetes ügynök nélküli felderítését vagy az EKS-csomópontokon futó Defender-érzékelőn keresztül gyűjtött leltárt használó ügyfelek számára Felhőhöz készült Defender ajánlást is készít az EKS-fürtön futó sebezhető képek biztonsági réseinek elhárítására. Azoknak az ügyfeleknek, akik csak a Kubernetes ügynök nélküli felderítését használják, a javaslatban szereplő készlet frissítési ideje hét óránként egyszer történik. A Defender-érzékelőt is futtató fürtök kétórás készletfrissítési gyakoriságot élveznek. A képvizsgálat eredményei mindkét esetben a beállításjegyzék vizsgálata alapján frissülnek, ezért csak 24 óránként frissülnek.
Feljegyzés
A Tárolóregisztrációs adatbázisokhoz készült Defender (elavult) esetében a rendszer a képeket csak egyszer ellenőrzi leküldéses, lekéréses és csak hetente egyszer.
Ha eltávolítok egy lemezképet a beállításjegyzékből, mennyi ideig lesznek eltávolítva a rendszerkép biztonsági rései?
A rendszerkép ecr-ből való törlése 30 órát vesz igénybe a jelentések eltávolítása előtt.
Következő lépések
- További információ a Felhőhöz készült Defender Defender-csomagokról.
- Tekintse meg a Defender for Containers szolgáltatásra vonatkozó gyakori kérdéseket .