Penilaian kerentanan untuk GCP dengan Pengelolaan Kerentanan Microsoft Defender
Penilaian kerentanan untuk GCP, didukung oleh Pengelolaan Kerentanan Microsoft Defender, adalah solusi siap pakai yang memberdayakan tim keamanan untuk dengan mudah menemukan dan memulihkan kerentanan dalam gambar kontainer Linux, dengan konfigurasi nol untuk onboarding, dan tanpa penyebaran sensor apa pun.
Di setiap akun tempat pengaktifan kemampuan ini selesai, semua gambar yang disimpan di Google Registries (GAR dan GCR) yang memenuhi kriteria pemicu pemindaian dipindai untuk kerentanan tanpa konfigurasi tambahan pengguna atau registri. Rekomendasi dengan laporan kerentanan disediakan untuk semua gambar di Google Registries (GAR dan GCR), gambar yang saat ini berjalan di GKE yang ditarik dari Google Registries (GAR dan GCR) atau registri lain yang didukung Defender untuk Cloud (ACR atau ECR). Gambar dipindai segera setelah ditambahkan ke registri, dan dipindai kembali untuk kerentanan baru setiap 24 jam sekali.
Penilaian kerentanan kontainer yang didukung oleh Pengelolaan Kerentanan Microsoft Defender memiliki kemampuan berikut:
Memindai paket OS - penilaian kerentanan kontainer memiliki kemampuan untuk memindai kerentanan dalam paket yang diinstal oleh manajer paket OS di sistem operasi Linux dan Windows. Lihat daftar lengkap OS yang didukung dan versinya.
Paket khusus bahasa – Hanya Linux - dukungan untuk paket dan file spesifik bahasa, dan dependensinya diinstal atau disalin tanpa manajer paket OS. Lihat daftar lengkap bahasa yang didukung.
Informasi eksploitasi - Setiap laporan kerentanan dicari melalui database eksploitasi untuk membantu pelanggan kami menentukan risiko aktual yang terkait dengan setiap kerentanan yang dilaporkan.
Pelaporan - Penilaian Kerentanan Kontainer untuk GCP yang didukung oleh Pengelolaan Kerentanan Microsoft Defender memberikan laporan kerentanan menggunakan rekomendasi berikut:
Ini adalah rekomendasi baru yang melaporkan kerentanan kontainer runtime dan kerentanan gambar registri. Mereka saat ini dalam pratinjau, tetapi dimaksudkan untuk menggantikan rekomendasi lama. Rekomendasi baru ini tidak dihitung dalam skor aman saat dalam pratinjau. Mesin pemindaian untuk kedua set rekomendasi sama.
| Rekomendasi | Deskripsi | Kunci Penilaian |
|---|---|---|
| [Pratinjau] Gambar kontainer dalam registri GCP harus memiliki temuan kerentanan yang diselesaikan | Defender untuk Cloud memindai gambar registri Anda untuk kerentanan (CVE) yang diketahui dan memberikan temuan terperinci untuk setiap gambar yang dipindai. Memindai dan memulihkan kerentanan untuk gambar kontainer dalam registri membantu menjaga rantai pasokan perangkat lunak yang aman dan andal, mengurangi risiko insiden keamanan, dan memastikan kepatuhan terhadap standar industri. | 24e37609-dcf5-4a3b-b2b0-b7d76f2e4e04 |
| [Pratinjau] Kontainer yang berjalan di GCP harus memiliki temuan kerentanan yang diselesaikan | Defender untuk Cloud membuat inventaris semua beban kerja kontainer yang saat ini berjalan di kluster Kubernetes Anda dan memberikan laporan kerentanan untuk beban kerja tersebut dengan mencocokkan gambar yang digunakan dan laporan kerentanan yang dibuat untuk gambar registri. Memindai dan memulihkan kerentanan beban kerja kontainer sangat penting untuk memastikan rantai pasokan perangkat lunak yang kuat dan aman, mengurangi risiko insiden keamanan, dan memastikan kepatuhan terhadap standar industri. | c7c1d31d-a604-4b86-96df-63448618e165 |
Ini adalah rekomendasi lama yang saat ini berada di jalur pensiun:
| Rekomendasi | Deskripsi | Kunci Penilaian |
|---|---|---|
| Gambar kontainer registri GCP harus memiliki temuan kerentanan yang diselesaikan (didukung oleh Pengelolaan Kerentanan Microsoft Defender) - Microsoft Azure | Memindai gambar kontainer registri GCP Anda untuk kerentanan (CVE) yang umum diketahui dan memberikan laporan kerentanan terperinci untuk setiap gambar. Mengatasi kerentanan dapat sangat meningkatkan postur keamanan Anda, memastikan gambar aman digunakan sebelum penyebaran. | c27441ae-775c-45be-8ffa-655de37362ce |
| GCP yang menjalankan gambar kontainer harus memiliki temuan kerentanan yang diselesaikan (didukung oleh Pengelolaan Kerentanan Microsoft Defender) - Microsoft Azure | Penilaian kerentanan gambar kontainer memindai registri Anda untuk kerentanan (CVE) yang umum diketahui dan memberikan laporan kerentanan terperinci untuk setiap gambar. Rekomendasi ini memberikan visibilitas ke gambar rentan yang saat ini berjalan di kluster Google Kubernetes Anda. Memulihkan kerentanan dalam gambar kontainer yang saat ini berjalan adalah kunci untuk meningkatkan postur keamanan Anda, secara signifikan mengurangi permukaan serangan untuk beban kerja kontainer Anda. | 5cc3a2c1-8397-456f-8792-fe9d0d4c9145 |
Mengkueri informasi kerentanan melalui Azure Resource Graph - Kemampuan untuk mengkueri informasi kerentanan melalui Azure Resource Graph. Pelajari cara mengkueri rekomendasi melalui ARG.
Hasil pemindaian kueri melalui REST API - Pelajari cara mengkueri hasil pemindaian melalui REST API.
Pindai pemicu
Pemicu untuk pemindaian gambar adalah:
Pemicu satu kali:
- Setiap gambar yang didorong ke registri kontainer dipicu untuk dipindai. Dalam kebanyakan kasus, pemindaian selesai dalam beberapa jam, tetapi dalam kasus yang jarang terjadi mungkin perlu waktu hingga 24 jam.
- Setiap gambar yang ditarik dari registri dipicu untuk dipindai dalam waktu 24 jam.
Pemicu pemindaian ulang berkelanjutan - pemindaian ulang berkelanjutan diperlukan untuk memastikan gambar yang sebelumnya telah dipindai untuk kerentanan dipindai kembali untuk memperbarui laporan kerentanan mereka jika kerentanan baru diterbitkan.
- Pemindaian ulang dilakukan sekali sehari untuk:
- Gambar didorong dalam 90 hari terakhir.
- Gambar ditarik dalam 30 hari terakhir.
- Gambar yang saat ini berjalan pada kluster Kubernetes yang dipantau oleh Defender untuk Cloud (baik melalui penemuan Tanpa Agen untuk Kubernetes atau sensor Defender).
- Pemindaian ulang dilakukan sekali sehari untuk:
Bagaimana cara kerja pemindaian gambar?
Deskripsi terperinci tentang proses pemindaian dijelaskan sebagai berikut:
Saat Anda mengaktifkan penilaian kerentanan kontainer untuk GCP yang didukung oleh Pengelolaan Kerentanan Microsoft Defender, Anda mengotorisasi Defender untuk Cloud untuk memindai gambar kontainer di registri Elastic Container Anda.
Defender untuk Cloud secara otomatis menemukan semua registri kontainer, repositori, dan gambar (dibuat sebelum atau sesudah mengaktifkan kemampuan ini).
Sekali sehari, dan untuk gambar baru yang didorong ke registri:
- Semua gambar yang baru ditemukan ditarik, dan inventaris dibuat untuk setiap gambar. Inventaris gambar disimpan untuk menghindari penarikan gambar lebih lanjut, kecuali diperlukan oleh kemampuan pemindai baru.
- Menggunakan inventori, laporan kerentanan dihasilkan untuk gambar baru, dan diperbarui untuk gambar yang sebelumnya dipindai yang didorong dalam 90 hari terakhir ke registri, atau saat ini sedang berjalan. Untuk menentukan apakah gambar sedang berjalan, Defender untuk Cloud menggunakan penemuan Tanpa Agen untuk Kubernetes dan inventori yang dikumpulkan melalui sensor Defender yang berjalan pada node GKE
- Laporan kerentanan untuk gambar kontainer registri disediakan sebagai rekomendasi.
Untuk pelanggan yang menggunakan penemuan Tanpa Agen untuk Kubernetes atau inventori yang dikumpulkan melalui sensor Defender yang berjalan pada node GKE, Defender untuk Cloud juga membuat rekomendasi untuk memulihkan kerentanan untuk gambar yang rentan berjalan pada kluster GKE. Untuk pelanggan yang hanya menggunakan penemuan Tanpa Agen untuk Kubernetes, waktu refresh untuk inventori dalam rekomendasi ini adalah setiap tujuh jam sekali. Kluster yang juga menjalankan sensor Defender mendapat manfaat dari laju refresh inventori dua jam. Hasil pemindaian gambar diperbarui berdasarkan pemindaian registri dalam kedua kasus, dan oleh karena itu hanya di-refresh setiap 24 jam.
Catatan
Untuk Defender for Container Registries (tidak digunakan lagi), gambar dipindai sekali saat didorong, ditarik, dan dipindai kembali hanya seminggu sekali.
Jika saya menghapus gambar dari registri saya, berapa lama sebelum kerentanan melaporkan gambar tersebut akan dihapus?
Dibutuhkan waktu 30 jam setelah gambar dihapus dari Google Registries (GAR dan GCR) sebelum laporan dihapus.
Langkah berikutnya
- Pelajari selengkapnya tentang paket Defender untuk Cloud Defender.
- Lihat pertanyaan umum tentang Defender untuk Kontainer.