Introduzione a Microsoft Defender per registri contenitori (deprecato)

Registro Azure Container è un servizio di registri Docker privato e gestito che archivia e gestisce le immagini del contenitore per le distribuzioni di Azure in un registro centrale. È basato sull'applicazione open source Docker Registry 2.0.

Per proteggere i registri basati su Resource Manager di Azure nella sottoscrizione, abilitare Microsoft Defender per i registri contenitori a livello di sottoscrizione. Defender for Cloud analizzerà quindi tutte le immagini quando viene eseguito il push nel Registro di sistema, importate nel Registro di sistema o estratte negli ultimi 30 giorni. Verranno addebitati i costi per ogni immagine che viene analizzata, una volta per ogni immagine.

Disponibilità

Importante

Microsoft Defender per registri contenitori è stato sostituito con Microsoft Defender per contenitori. Se Defender per registri contenitori è già stato abilitato in una sottoscrizione, è possibile continuare a usarlo. Tuttavia, non si otterranno miglioramenti di Defender per contenitori e nuove funzionalità.

Questo piano non è più disponibile per le sottoscrizioni in cui non è già abilitato.

Per eseguire l'aggiornamento a Microsoft Defender per contenitori, aprire la pagina Piani di Defender nel portale e abilitare il nuovo piano:

Abilitare Microsoft Defender per contenitori dalla pagina dei piani di Defender.

Altre informazioni su questa modifica sono disponibili nella nota sulla versione.

Aspetto Dettagli
Stato della versione: Deprecato (usare Microsoft Defender per contenitori)
Prezzi: I registri contenitori di Microsoft Defender per contenitori vengono fatturati come illustrato nella pagina dei prezzi
Immagini e registri supportati: Immagini Linux in registri di Registro Azure Container accessibili da Internet pubblico con accesso alla shell
Registri Registro Azure Container protetti con collegamento privato di Azure
Immagini e registri non supportati: Immagini di Windows
Registri "Privati" (a meno che non venga concesso l'accesso a Servizi attendibili)
Immagine super minimaliste, come immagini Docker scratch, o immagini "Distroless" che contengono solo un'applicazione e le relative dipendenze di runtime senza strumento di gestione pacchetti, shell o sistema operativo
Immagini con specifica del formato di immagine OCI (Open Container Initiative)
Autorizzazioni e ruoli obbligatori: Ruolo con autorizzazioni di lettura per la sicurezza e ruoli e autorizzazioni di Registro Azure Container
Cloud: Cloud commerciali
Nazionale (Azure per enti pubblici, Azure China 21Vianet)

Quali sono i vantaggi di Microsoft Defender per i registri contenitori?

Defender for Cloud identifica i registri del Registro Azure Resource Manager basati su Registro Azure Container nella sottoscrizione e offre facilmente la valutazione e la gestione delle vulnerabilità native di Azure per le immagini del Registro di sistema.

I registri contenitori di Microsoft Defender per contenitori includono uno scanner di vulnerabilità per analizzare le immagini nei registri di Registro Azure Container basati su Azure Resource Manager e fornire una visibilità più approfondita sulle vulnerabilità delle immagini. La funzionalità di analisi integrata è fornita da Qualys, leader nel settore dell'analisi delle vulnerabilità.

Quando vengono rilevati problemi, da Qualys o Defender for Cloud, si riceverà una notifica nel dashboard di protezione del carico di lavoro. Per ogni vulnerabilità, Defender for Cloud offre consigli interattivi, insieme a una classificazione di gravità e indicazioni su come risolvere il problema. Per informazioni dettagliate sulle raccomandazioni di Defender for Cloud per i contenitori, vedere l'elenco di riferimento delle raccomandazioni.

Defender for Cloud filtra e classifica i risultati dallo scanner. Quando un'immagine è integra, Defender for Cloud lo contrassegna come tale. Defender for Cloud genera raccomandazioni sulla sicurezza solo per le immagini con problemi da risolvere. Defender for Cloud fornisce informazioni dettagliate su ogni vulnerabilità segnalata e una classificazione di gravità. Fornisce inoltre indicazioni su come correggere le vulnerabilità specifiche rilevate in ogni immagine.

Notificando solo quando si verificano problemi, Defender for Cloud riduce il rischio di avvisi informativi indesiderati.

Quando vengono analizzate le immagini?

L'analisi di un'immagine viene attivata da tre trigger:

  • In caso di push : ogni volta che viene eseguito il push di un'immagine nel registro, Defender per registri contenitori esegue automaticamente l'analisi dell'immagine. Per attivare l'analisi di un'immagine, inserirla nel repository.

  • Pull di recente : poiché ogni giorno vengono individuate nuove vulnerabilità, Anche Microsoft Defender per i registri contenitori esegue l'analisi, su base settimanale, di qualsiasi immagine estratta negli ultimi 30 giorni. Non sono previsti costi aggiuntivi per queste analisi; come indicato in precedenza, viene fatturato una volta per ogni immagine.

  • Importazione: Registro Azure Container offre strumenti di importazione per inserire immagini nel registro da Docker Hub, Registro contenitori di Microsoft o un altro registro contenitori di Azure. I registri contenitori di Microsoft Defender per contenitori analizzano le immagini supportate importate. Per altre informazioni, vedere Importare immagini del contenitore in un registro contenitori.

L'analisi viene completata in genere entro 2 minuti, ma potrebbero essere necessari fino a 40 minuti. I risultati vengono resi disponibili come raccomandazioni sulla sicurezza, ad esempio questa:

Esempio di raccomandazione di Microsoft Defender for Cloud sulle vulnerabilità individuate in un'immagine ospitata Registro Azure Container (ACR).

Come funziona Defender for Cloud con Registro Azure Container

Di seguito è riportato un diagramma generale dei componenti e dei vantaggi della protezione dei registri con Defender for Cloud.

Panoramica generale di Microsoft Defender for Cloud e Registro Azure Container (ACR).

Domande frequenti - analisi delle immagini Registro Azure Container

In che modo Defender for Cloud analizza un'immagine?

Defender for Cloud esegue il pull dell'immagine dal registro ed esegue l'immagine in una sandbox isolata con lo scanner Qualys. Lo scanner estrae un elenco di vulnerabilità note.

Defender for Cloud filtra e classifica i risultati dallo scanner. Quando un'immagine è integra, Defender for Cloud lo contrassegna come tale. Defender for Cloud genera raccomandazioni sulla sicurezza solo per le immagini con problemi da risolvere. Notificando solo quando si verificano problemi, Defender for Cloud riduce il rischio di avvisi informativi indesiderati.

È possibile ottenere i risultati dell'analisi tramite l'API REST?

Sì. I risultati sono nell'API REST Valutazioni secondarie. Si può anche usare Azure Resource Graph, l'API Kusto-per tutte le risorse: una query può recuperare un'analisi specifica.

Quali tipi di registri vengono analizzati? Per quali tipi vengono addebitati dei costi?

Per un elenco dei tipi di registri contenitori supportati dai registri contenitori di Microsoft Defender per contenitori, vedere Disponibilità.

Se si connettono registri non supportati alla sottoscrizione di Azure, Defender for Cloud non li analizza e non li fattura.

È possibile personalizzare i risultati dell'analisi delle vulnerabilità?

Sì. Se l'organizzazione deve ignorare un risultato invece di correggerlo, è possibile disabilitarlo facoltativamente. I risultati disabilitati non influiscono sul punteggio di sicurezza e non generano elementi non significativi.

Informazioni su come creare regole per disabilitare i risultati dello strumento integrato di valutazione delle vulnerabilità.

Perché Defender for Cloud avvisa le vulnerabilità di un'immagine che non si trova nel registro?

Defender for Cloud fornisce valutazioni delle vulnerabilità per ogni immagine di cui è stato eseguito il push o il pull in un registro. Alcune immagini potrebbero riutilizzare i tag di un'immagine già analizzata. È ad esempio possibile riassegnare il tag "Ultima" ogni volta che si aggiunge un'immagine a un digest. In questi casi, l'ultima immagine precedente esiste ancora nel registro e il rispettivo digest potrebbe eseguirne il pull. Se per l'immagine sono disponibili risultati relativi alla sicurezza e ne viene eseguito il pull, verranno esposte vulnerabilità per la sicurezza.

Passaggi successivi