Gunakan Defender untuk Kontainer untuk memindai gambar Azure Container Registry Anda untuk kerentanan

Artikel ini menjelaskan cara menggunakan Defender for Containers untuk memindai gambar kontainer yang disimpan di Azure Container Registry berbasis Azure Resource Manager Anda, sebagai bagian dari perlindungan yang disediakan dalam Microsoft Defender untuk Cloud.

Untuk mengaktifkan pemindaian kerentanan dalam kontainer, Anda harus mengaktifkan Defender untuk Kontainer. Saat pemindai, yang didukung Qualys, melaporkan kerentanan ke Defender untuk Cloud, Defender untuk Cloud akan menyajikan temuan dan informasi terkait sebagai rekomendasi. Selain itu, temuan tersebut mencakup informasi terkait seperti langkah-langkah perbaikan, CVE yang relevan, skor CVSS, serta banyak lagi. Anda dapat melihat kerentanan yang teridentifikasi untuk satu atau beberapa langganan, atau untuk registri tertentu.

Defender for Cloud menyaring dan mengklasifikasikan temuan dari pemindai. Gambar tanpa kerentanan ditandai sebagai sehat dan Defender for Cloud tidak mengirim pemberitahuan tentang gambar yang sehat untuk mencegah Anda mendapatkan pemberitahuan informasi yang tidak diinginkan.

Pemicu untuk pemindaian gambar adalah:

  • Saat mendorong - Setiap kali gambar didorong ke registri Anda, Microsoft Defender untuk Kontainer secara otomatis memindai gambar tersebut. Untuk memicu pemindaian citra, dorong ke repositori Anda.

  • Baru-baru ini ditarik - Karena kerentanan baru ditemukan setiap hari, Microsoft Defender untuk Kontainer juga memindai, setiap minggu, setiap gambar yang telah ditarik dalam 30 hari terakhir. Tidak ada biaya tambahan untuk pemindaian ulang ini; seperti disebutkan di atas, Anda ditagih sekali per gambar.

  • Saat mengimpor - Azure Container Registry memiliki alat impor untuk membawa gambar ke registri Anda dari registri yang ada. Microsoft Defender untuk Kontainer memindai gambar yang didukung yang Anda impor. Pelajari lebih lanjut di Mengimpor gambar kontainer ke registri kontainer.

  • Pemindaian berkelanjutan- Pemicu ini memiliki dua mode:

    • Pemindaian berkelanjutan berdasarkan penarikan gambar. Pemindaian ini dilakukan setiap tujuh hari setelah gambar ditarik, dan hanya berlangsung selama 30 hari setelah gambar ditarik. Mode ini tidak memerlukan profil keamanan, atau ekstensi.

    • (Pratinjau) Pemindaian berkelanjutan untuk gambar berjalan. Pemindaian ini dilakukan setiap tujuh hari selama gambar berjalan. Sebagai ganti mode di atas, mode ini berjalan saat profil Defender, atau ekstensi berjalan di kluster.

Saat pemindaian dipicu, temuan akan tersedia sebagai rekomendasi Defender untuk Cloud dari 2 hingga 15 menit setelah pemindaian selesai.

Prasyarat

Sebelum Anda dapat memindai gambar ACR Anda:

  • Aktifkan Defender untuk Kontainer untuk langganan Anda. Defender untuk Kontainer kini siap memindai gambar di registri Anda.

    Catatan

    Fitur ini dikenakan biaya per citra.

  • Jika Anda ingin menemukan kerentanan dalam gambar yang disimpan di registri kontainer lain, Anda dapat mengimpor gambar ke ACR dan memindainya.

    Gunakan alat ACR untuk membawa citra ke registri Anda dari Docker Hub atau Microsoft Container Registry. Ketika impor selesai, gambar yang diimpor dipindai oleh solusi penilaian kerentanan bawaan.

    Pelajari lebih lanjut di Mengimpor gambar kontainer ke registri kontainer

    Anda juga dapat memindai gambar di Amazon AWS Elastic Container Registry langsung dari portal Azure.

Untuk daftar jenis gambar dan registri kontainer yang didukung oleh Microsoft Defender untuk Kontainer, lihat Ketersediaan.

Lihat dan perbaiki temuan

  1. Untuk menampilkan temuan, buka halaman Rekomendasi. Jika masalah ditemukan, Anda akan melihat rekomendasi Citra registri kontainer seharusnya sudah mengatasi temuan kerentanan.

    Rekomendasi untuk meremediasi masalah.

  2. Pilih rekomendasi.

    Halaman detail rekomendasi terbuka dengan informasi tambahan. Informasi ini mencakup daftar registry dengan gambar yang rentan ("Sumber daya yang terpengaruh") dan langkah-langkah perbaikan.

  3. Pilih registri tertentu untuk melihat repositori di dalamnya yang memiliki repositori rentan.

    Pilih registri.

    Halaman detail registri terbuka dengan daftar repositori yang terpengaruh.

  4. Pilih repositori tertentu untuk melihat repositori di dalamnya yang memiliki gambar rentan.

    Pilih repositori.

    Halaman detail repositori akan terbuka. Ini daftar gambar yang rentan bersama dengan penilaian keparahan temuan.

  5. Pilih gambar tertentu untuk melihat kerentanan.

    Pilih gambar.

    Daftar temuan untuk gambar yang dipilih akan terbuka.

    Daftar temuan.

  6. Untuk mempelajari lebih lanjut tentang sebuah temuan, pilih temuan tersebut.

    Panel detail temuan akan terbuka.

    Panel detail temuan.

    Panel ini menyertakan deskripsi terperinci tentang masalah dan link ke sumber daya eksternal untuk membantu mengurangi ancaman.

  7. Ikuti langkah-langkah di bagian perbaikan panel ini.

  8. Saat Anda telah mengambil langkah-langkah yang diperlukan untuk memulihkan masalah keamanan, ganti gambar di registri Anda:

    1. Buat gambar yang diperbarui untuk memicu pemindaian.

    2. Periksa halaman rekomendasi untuk rekomendasi Citra registri kontainer seharusnya sudah mengatasi temuan kerentanan.

      Jika rekomendasi masih muncul dan citra yang Anda tangani masih muncul dalam daftar citra rentan, periksa kembali langkah-langkah perbaikan.

    3. Saat Anda yakin gambar yang diperbarui telah dibuat, dipindai, dan tidak lagi muncul dalam rekomendasi, hapus gambar rentan "lama" dari registri Anda.

Nonaktifkan temuan tertentu

Catatan

Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Jika Anda memiliki kebutuhan organisasi untuk mengabaikan temuan, daripada melakukan remediasi, Anda dapat menonaktifkannya secara opsional. Temuan yang dinonaktifkan tidak memengaruhi skor aman Anda atau menghasilkan kebisingan yang tidak diinginkan.

Saat temuan cocok dengan kriteria yang telah Anda tentukan dalam aturan penonaktifan, temuan tersebut tidak akan muncul dalam daftar temuan. Skenario umum meliputi:

  • Menonaktifkan temuan dengan tingkat keparahan di bawah sedang
  • Menonaktifkan temuan yang tidak dapat di-patch
  • Nonaktifkan temuan dengan skor CVSS di bawah 6,5
  • Menonaktifkan temuan dengan teks tertentu dalam pemeriksaan atau kategori keamanan (misalnya, "RedHat", "Penambal Keamanan CentOS untuk sudo")

Penting

Untuk membuat aturan, Anda memerlukan izin untuk mengedit kebijakan di Azure Policy.

Pelajari selengkapnya di Izin akses Azure RBAC di Azure Policy.

Anda bisa menggunakan salah satu kriteria berikut:

  • Menemukan ID
  • Kategori
  • Pemeriksaan keamanan
  • Skor CVSS v3
  • Keparahan
  • Status yang dapat dipatch

Untuk membuat aturan:

  1. Dari halaman detail rekomendasi untuk Gambar registri kontainer seharusnya sudah mengatasi temuan kerentanan, pilih Nonaktifkan aturan.

  2. Pilih cakupan yang relevan.

  3. Tentukan kriteria.

  4. Pilih Terapkan aturan.

    Buat aturan penonaktifan untuk temuan VA di registri.

  5. Untuk menampilkan, mengganti, atau menghapus aturan:

    1. Pilih Nonaktifkan aturan.
    2. Dari daftar cakupan, langganan dengan aturan aktif ditampilkan sebagai Aturan diterapkan. Ubah atau hapus aturan yang sudah ada.
    3. Untuk menampilkan atau menghapus aturan, pilih menu elipsis ("...").

Melihat kerentanan untuk gambar yang berjalan di kluster AKS Anda

Defender untuk Cloud memberi pelanggannya kemampuan untuk memprioritaskan perbaikan kerentanan pada gambar yang saat ini digunakan dalam lingkungan mereka menggunakan rekomendasi Menjalankan gambar kontainer harus memiliki temuan kerentanan yang diselesaikan.

Untuk memberikan temuan rekomendasi, Defender for Cloud mengumpulkan inventaris kontainer Anda yang sedang berjalan yang dikumpulkan oleh agen Defender yang diinstal pada kluster AKS Anda. Defender for Cloud menghubungkan inventaris tersebut dengan pemindaian penilaian kerentanan gambar yang disimpan di ACR. Rekomendasi menunjukkan kontainer Anda yang sedang berjalan dengan kerentanan yang terkait dengan gambar yang digunakan oleh setiap kontainer dan memberikan laporan kerentanan dan langkah-langkah remediasi.

Cuplikan layar yang menampilkan tempat rekomendasi dapat dilihat.

FAQ

Bagaimana cara kerja Defender untuk Kontainer?

Defender untuk Kontainer mengambil gambar dari registri dan menjalankannya di kotak pasir yang terisolasi dengan pemindai Qualys. Pemindai mengekstrak daftar kerentanan yang diketahui.

Defender for Cloud menyaring dan mengklasifikasikan temuan dari pemindai. Saat gambar sehat, Defender untuk Cloud menandainya seperti itu. Defender for Cloud menghasilkan rekomendasi keamanan hanya untuk gambar yang memerlukan penyelesaian masalah. Dengan hanya memberi tahu Anda jika ada masalah, Defender for Cloud mengurangi potensi peringatan informasi yang tidak diinginkan.

Bisakah saya mendapatkan hasil pemindaian melalui REST API?

Ya. Hasilnya berada di Sub-Assesment Rest API. Selain itu, Anda dapat menggunakan Azure Resource Graph (ARG), API yang mirip Kusto untuk semua sumber daya Anda: kueri dapat mengambil pemindaian tertentu.

Mengapa Defender for Cloud memperingatkan saya tentang kerentanan terkait gambar yang tidak ada di registri saya?

Beberapa citra mungkin menggunakan ulang tag dari citra yang sudah dipindai. Misalnya, Anda dapat menggunakan ulang tag "Terbaru" setiap kali Anda menambahkan citra ke hash. Dalam kasus seperti itu, citra yang 'lama' masih ada di registri dan mungkin masih ditarik oleh hash-nya. Jika gambar memiliki temuan keamanan dan ditarik, gambar akan mengekspos kerentanan keamanan.

Langkah berikutnya

Pelajari selengkapnya tentang paket perlindungan lanjutan dari Pertahanan Microsoft untuk Cloud.