Introduzione a Microsoft Defender per registri contenitori (deprecato)
Importante
È stata avviata un'anteprima pubblica della valutazione della vulnerabilità di Azure basata su MDVM. Per altre informazioni, vedere Valutazioni delle vulnerabilità per Azure con Gestione delle vulnerabilità di Microsoft Defender.
Registro Azure Container è un servizio di registri Docker privato e gestito che archivia e gestisce le immagini del contenitore per le distribuzioni di Azure in un registro centrale. È basato sull'applicazione open source Docker Registry 2.0.
Per proteggere i registri basati su Azure Resource Manager nella sottoscrizione, abilitare Microsoft Defender per i registri contenitori a livello di sottoscrizione. Defender per il cloud analizzerà quindi tutte le immagini quando vengono inserite nel Registro di sistema, importate nel Registro di sistema o estratte negli ultimi 30 giorni. Verranno addebitati i costi per ogni immagine che viene analizzata, una volta per ogni immagine.
Disponibilità
Importante
Microsoft Defender per registri contenitori è stato sostituito con Microsoft Defender per contenitori. Se in una sottoscrizione è già stato abilitato Defender per registri contenitori, è possibile continuare a usarlo. Non si potrà tuttavia usufruire dei miglioramenti e delle nuove funzionalità di Defender per contenitori.
Questo piano non è più disponibile per le sottoscrizioni in cui non sia già abilitato.
Per eseguire l'aggiornamento a Microsoft Defender per contenitori, aprire la pagina dei piani di Defender nel portale e abilitare il nuovo piano:
Altre informazioni su questa modifica sono disponibili nelle note sulla versione.
| Aspetto | Dettagli |
|---|---|
| Stato della versione: | Deprecato (usare Microsoft Defender per contenitori) |
| Immagini e registri supportati: | Immagini Linux in registri di Registro Azure Container accessibili da Internet pubblico con accesso alla shell Registri del Registro Azure Container protetti con collegamento privato di Azure |
| Immagini e registri non supportati: | Immagini Windows Registri 'Private' (a meno che non venga concesso l'accesso a Servizi attendibili) Immagine super minimaliste, come immagini Docker scratch, o immagini "Distroless" che contengono solo un'applicazione e le relative dipendenze di runtime senza strumento di gestione pacchetti, shell o sistema operativo Immagini con specifica di formato immagine OCI (Open Container Initiative) |
| Autorizzazioni e ruoli obbligatori: | Ruolo con autorizzazioni di lettura per la sicurezza e ruoli e autorizzazioni di Registro Azure Container |
| Cloud: |  Cloud commercialiNazionale (Azure per enti pubblici, Microsoft Azure gestito da 21Vianet) |
Quali sono i vantaggi di Microsoft Defender per i registri contenitori?
Defender per il cloud identifica i registri ACR basati su Azure Resource Manager nella sottoscrizione e offre facilmente la valutazione e la gestione delle vulnerabilità native di Azure per le immagini del Registro di sistema.
Microsoft Defender per registri contenitori include uno scanner di vulnerabilità per analizzare le immagini nei registri di Registro Azure Container basati su Azure Resource Manager e offrire una visibilità più approfondita sulle vulnerabilità delle immagini.
Quando vengono rilevati problemi, si riceverà una notifica nel dashboard di protezione del carico di lavoro. Per ogni vulnerabilità, Defender per il cloud fornisce consigli interattivi, insieme a una classificazione di gravità e indicazioni su come risolvere il problema. Per informazioni dettagliate sulle raccomandazioni di Defender per il cloud per i contenitori, vedere l'elenco di riferimento delle raccomandazioni.
Microsoft Defender per il cloud filtra e classifica i risultati dello scanner. Quando un'immagine è integra, Defender per il cloud la contrassegna come tale. Defender per il cloud genera raccomandazioni sulla sicurezza solo per le immagini che presentano problemi da risolvere. Defender per il cloud fornisce informazioni dettagliate su ogni vulnerabilità segnalata e una classificazione di gravità. Fornisce inoltre indicazioni su come correggere le vulnerabilità specifiche rilevate in ogni immagine.
Notificando solo quando si verificano problemi, Defender per il cloud riduce il rischio di avvisi informativi indesiderati.
Quando vengono analizzate le immagini?
L'analisi di un'immagine viene attivata da tre trigger:
In caso di push : ogni volta che viene eseguito il push di un'immagine nel registro, Defender per registri contenitori esegue automaticamente l'analisi dell'immagine. Per attivare l'analisi di un'immagine, inserirla nel repository.
Pull di recente: poiché vengono individuate nuove vulnerabilità ogni giorno, Anche i registri contenitori di Microsoft Defender per contenitori analizzano, su base settimanale, qualsiasi immagine estratta negli ultimi 30 giorni. Non sono previsti costi aggiuntivi per queste analisi; come accennato in precedenza, viene addebitato una volta per ogni immagine.
Importazione: Registro Azure Container offre strumenti di importazione per inserire immagini nel registro da Docker Hub, Registro contenitori di Microsoft o un altro registro contenitori di Azure. Microsoft Defender per registri contenitori analizza tutte le immagini supportate importate. Per altre informazioni, vedere Importare immagini del contenitore in un registro contenitori.
L'analisi viene completata in genere entro 2 minuti, ma potrebbero essere necessari fino a 40 minuti. I risultati vengono resi disponibili come raccomandazioni sulla sicurezza, ad esempio questa:
Funzionamento di Defender per il cloud con Registro Azure Container
Di seguito è riportato un diagramma generale dei componenti e dei vantaggi della protezione dei registri con Defender per il cloud.
Domande frequenti - analisi delle immagini Registro Azure Container
Come Defender per il cloud analizza un'immagine?
Defender per il cloud esegue il pull dell'immagine dal Registro di sistema e la esegue in una sandbox isolata con lo scanner. Lo scanner estrae un elenco di vulnerabilità note.
Microsoft Defender per il cloud filtra e classifica i risultati dello scanner. Quando un'immagine è integra, Defender per il cloud la contrassegna come tale. Defender per il cloud genera raccomandazioni sulla sicurezza solo per le immagini che presentano problemi da risolvere. Inviando notifiche solo in caso di problemi individuati, Defender per il cloud riduce il rischio di avvisi informativi indesiderati.
È possibile ottenere i risultati dell'analisi tramite l'API REST?
Sì. I risultati sono nell'API REST Delle valutazioni secondarie. Si può anche usare Azure Resource Graph, l'API Kusto-per tutte le risorse: una query può recuperare un'analisi specifica.
Quali tipi di registri vengono analizzati? Per quali tipi vengono addebitati dei costi?
Per un elenco dei tipi di registri contenitori supportati da Microsoft Defender per registri contenitori, vedere Disponibilità.
Se si connettono registri non supportati alla sottoscrizione di Azure, Defender per il cloud non li analizzerà e non li invierà.
È possibile personalizzare i risultati dell'analisi delle vulnerabilità?
Sì. Se l'organizzazione deve ignorare un risultato invece di correggerlo, è possibile disabilitarlo facoltativamente. I risultati disabilitati non influiscono sul punteggio di sicurezza e non generano elementi non significativi.
Perché Defender per il cloud avvisarmi di vulnerabilità relative a un'immagine che non si trova nel registro?
Defender per il cloud fornisce valutazioni delle vulnerabilità per ogni immagine di cui è stato eseguito il push o il pull in un registro. Alcune immagini potrebbero riutilizzare i tag di un'immagine già analizzata. Ad esempio, è possibile riassegnare il tag "Latest" ogni volta che si aggiunge un'immagine a un digest. In questi casi, l'immagine "vecchia" esiste ancora nel Registro di sistema e potrebbe essere ancora estratta dal digest. Se per l'immagine sono disponibili risultati relativi alla sicurezza e ne viene eseguito il pull, verranno esposte vulnerabilità per la sicurezza.