Pengenalan Microsoft Defender untuk registri kontainer (Tidak digunakan lagi)

  • Artikel

Penting

Kami telah memulai pratinjau publik Penilaian Kerentanan Azure yang didukung oleh MDVM. Untuk informasi selengkapnya, lihat Penilaian kerentanan untuk Azure dengan Pengelolaan Kerentanan Microsoft Defender.

Azure Container Registry (ACR) adalah layanan registri Docker privat terkelola yang menyimpan dan mengelola citra kontainer Anda untuk penyebaran Azure di registri pusat. Layanan ini didasarkan pada Registri Docker Sumber Terbuka 2.0.

Untuk melindungi registri berbasis Azure Resource Manager di langganan Anda, aktifkan registri Microsoft Defender untuk kontainer di tingkat langganan. Defender for Cloud kemudian akan memindai semua gambar saat didorong ke registri, diimpor ke registri, atau ditarik dalam 30 hari terakhir. Anda akan dikenakan biaya untuk setiap gambar yang akan dipindai - sekali per gambar.

Ketersediaan

Penting

Microsoft Defender untuk registri kontainer telah diganti dengan Microsoft Defender untuk Kontainer. Jika Anda telah mengaktifkan Defender untuk registri kontainer pada langganan, Anda dapat terus menggunakannya. Namun, Anda tidak akan mendapatkan peningkatan dan fitur baru Microsoft Defender untuk Kontainer.

Paket ini tidak lagi tersedia untuk langganan yang belum diaktifkan.

Untuk meningkatkan ke Microsoft Defender untuk Kontainer, buka halaman Paket Defender di portal dan aktifkan paket baru:

Mengaktifkan Microsoft Defender untuk Kontainer dari halaman paket Defender.

Pelajari perubahan ini lebih lanjut dalam catatan rilis.

Aspek Detail
Status rilis: Tidak digunakan lagi (Gunakan Microsoft Defender untuk Kontainer)
Registri dan gambar yang didukung: Gambar Linux dalam registri ACR dapat diakses dari internet publik dengan akses shell
Pendaftar ACR dilindungi dengan Azure Private Link
Registri dan gambar yang tidak didukung: Windows gambar
Pendaftar 'Privat' (kecuali akses diberikan kepada Layanan Tepercaya)
Gambar super minimalis seperti gambar goresan Docker, atau gambar "Distroless" yang hanya berisi aplikasi dan dependensi runtime-nya tanpa manajer paket, shell, atau OS
Gambar dengan Spesifikasi Format Gambar Open Container Initiative (OCI)
Peran dan izin akses yang diperlukan: Pembaca keamanan dan peran dan izin Azure Container Registry
Cloud: Cloud komersial
Nasional (Azure Government, Microsoft Azure yang dioperasikan oleh 21Vianet)

Apa manfaat Microsoft Defender untuk registri kontainer?

Defender for Cloud mengidentifikasi registri ACR berbasis Azure Resource Manager dalam langganan Anda dan memberikan penilaian dan pengelolaan kerentanan asli Azure untuk gambar registri Anda dengan lancar.

Microsoft Defender untuk registri kontainer mencakup pemindai kerentanan untuk memindai gambar di registri Azure Container Registry berbasis Azure Resource Manager dan memberikan visibilitas yang lebih dalam keĀ kerentananĀ gambar Anda.

Saat masalah ditemukan, Anda akan mendapatkan pemberitahuan di dasbor perlindungan beban kerja. Untuk setiap kerentanan, Defender for Cloud memberikan rekomendasi yang dapat ditindaklanjuti, bersama dengan klasifikasi tingkat keparahan, dan panduan tentang cara mengatasi masalah tersebut. Untuk mengetahui detail rekomendasi Defender untuk Cloud untuk kontainer, lihat daftar referensi rekomendasi.

Defender for Cloud menyaring dan mengklasifikasikan temuan dari pemindai. Saat gambar sehat, Defender untuk Cloud menandainya seperti itu. Defender untuk Cloud menghasilkan rekomendasi keamanan hanya untuk gambar yang memerlukan penyelesaian masalah. Defender for Cloud memberikan detail setiap kerentanan yang dilaporkan dan klasifikasi keparahan. Selain itu, Security Center memberikan panduan tentang cara memperbaiki kerentanan spesifik yang ditemukan pada setiap gambar.

Dengan hanya memberi tahu jika ada masalah, Defender untuk Cloud mengurangi potensi pemberitahuan informasi yang tidak diinginkan.

Kapan citra dipindai?

Ada tiga pemicu untuk pemindaian citra:

  • On push - Setiap kali sebuah gambar didorong ke registri Anda, registri Defender untuk kontainer secara otomatis memindai gambar tersebut. Untuk memicu pemindaian citra, dorong ke repositori Anda.

  • Baru-baru ini ditarik - Karena kerentanan baru ditemukan setiap hari, Microsoft Defender untuk registri kontainer juga memindai, setiap minggu, setiap gambar yang telah ditarik dalam 30 hari terakhir. Tidak ada biaya tambahan untuk pemindaian ulang ini; seperti disebutkan di atas, Anda dikenai tagihan sekali per citra.

  • Saat mengimpor - Azure Container Registry memiliki alat impor untuk membawa citra ke registri Anda dari Docker Hub, Microsoft Container Registry, atau registri kontainer Azure lainnya. Microsoft Defender untuk registri kontainer memindai semua gambar yang didukung yang Anda impor. Pelajari lebih lanjut di Mengimpor gambar kontainer ke registri kontainer.

Pemindaian selesai biasanya dalam waktu 2 menit, tetapi mungkin memakan waktu hingga 40 menit. Temuan tersedia sebagai rekomendasi keamanan seperti ini:

Contoh rekomendasi Microsoft Defender for Cloud tentang kerentanan yang ditemukan di gambar yang dihosting Azure Container Registry (ACR).

Bagaimana Defender for Cloud bekerja dengan Azure Container Registry

Di bawah ini adalah diagram tingkat tinggi tentang komponen dan manfaat melindungi registri Anda dengan Defender for Cloud.

Ikhtisar tingkat tinggi Microsoft Defender for Cloud dan Azure Container Registry (ACR).

Tanya Jawab Umum - Pemindaian citra Azure Container Registry

Bagaimana Defender for Cloud memindai gambar?

Defender untuk Cloud menarik gambar dari registri dan menjalankannya di kotak pasir terisolasi dengan pemindai. Pemindai mengekstrak daftar kerentanan yang diketahui.

Defender for Cloud menyaring dan mengklasifikasikan temuan dari pemindai. Saat gambar sehat, Defender untuk Cloud menandainya seperti itu. Defender untuk Cloud menghasilkan rekomendasi keamanan hanya untuk gambar yang memerlukan penyelesaian masalah. Dengan hanya memberi tahu Anda jika ada masalah, Defender for Cloud mengurangi potensi peringatan informasi yang tidak diinginkan.

Bisakah saya mendapatkan hasil pemindaian melalui REST API?

Ya. Hasilnya berada di Sub-Assesment Rest API. Selain itu, Anda dapat menggunakan Azure Resource Graph (ARG), API yang mirip Kusto untuk semua sumber daya Anda: kueri dapat mengambil pemindaian tertentu.

Jenis registri apa yang dipindai? Jenis apa yang ditagih?

Untuk daftar jenis registri kontainer yang didukung oleh Microsoft Defender untuk registri kontainer, lihat Ketersediaan.

Jika Anda menghubungkan registri yang tidak didukung ke langganan Azure, Defender for Cloud tidak akan memindainya dan tidak akan memberikan Anda tagihan untuk hal tersebut.

Dapatkah saya menyesuaikan temuan dari pemindai kerentanan?

Ya. Jika Anda memiliki kebutuhan organisasi untuk mengabaikan temuan, daripada melakukan remediasi, Anda dapat menonaktifkannya secara opsional. Temuan yang dinonaktifkan tidak memengaruhi secure score Anda atau menghasilkan kebisingan yang tidak diinginkan.

Pelajari cara membuat aturan untuk menonaktifkan temuan dari alat penilaian kerentanan terintegrasi.

Mengapa Defender for Cloud memperingatkan saya tentang kerentanan terkait gambar yang tidak ada di registri saya?

Defender for Cloud memberikan penilaian kerentanan untuk setiap gambar yang didorong atau ditarik dalam registri. Beberapa gambar mungkin menggunakan kembali tag dari gambar yang sudah dipindai. Misalnya, Anda dapat menetapkan ulang tag "Terbaru" setiap kali Anda menambahkan gambar ke hash. Dalam kasus seperti itu, gambar 'lama' masih ada di registri dan mungkin masih ditarik oleh hashnya. Jika citra memiliki temuan keamanan dan ditarik, citra akan mengekspos kerentanan keamanan.

Langkah berikutnya

Memindai citra Anda untuk kerentanan