Microsoft Defender 취약성 관리를 사용한 AWS에 대한 취약성 평가

  • 아티클

Microsoft Defender 취약성 관리 기반에서 제공하는 AWS에 대한 취약성 평가는 보안팀이 온보딩을 위한 구성이 없고 센서를 배포하지 않고 Linux 컨테이너 이미지에서 취약성을 쉽게 검색하고 수정할 수 있도록 하는 기본 솔루션입니다.

참고 항목

이 기능은 ECR의 이미지 검사만 지원합니다. 다른 컨테이너 레지스트리에 저장된 이미지는 적용을 위해 ECR로 가져와야 합니다. 컨테이너 이미지를 컨테이너 레지스트리로 가져오는 방법을 알아보세요.

이 기능의 사용 설정이 완료된 모든 계정에서 검사 트리거 기준을 충족하는 ECR에 저장된 모든 이미지는 사용자 또는 레지스트리를 추가로 구성하지 않고도 취약성을 검사합니다. ECR 레지스트리 또는 기타 클라우드용 Defender 지원 레지스트리(ACR, GCR 또는 GAR)에서 끌어온 EKS에서 현재 실행 중인 이미지뿐만 아니라 ECR의 모든 이미지에 대한 취약성 보고서에 대한 권장 사항이 제공됩니다. 이미지는 레지스트리에 추가된 직후에 검사되고 24시간마다 한 번씩 새로운 취약성을 다시 검사합니다.

Microsoft Defender 취약성 관리에서 제공하는 컨테이너 취약성 평가에는 다음과 같은 기능이 있습니다.

  • OS 패키지 검사 - 컨테이너 취약성 평가에는 Linux 및 Windows 운영 체제의 OS 패키지 관리자가 설치한 패키지의 취약성을 검사하는 기능이 있습니다. 지원되는 OS 및 해당 버전의 전체 목록을 참조하세요.

  • 언어별 패키지Linux에만 해당 - 언어별 패키지 및 파일과 OS 패키지 관리자 없이 설치되거나 복사된 해당 종속성을 지원합니다. 지원되는 언어의 전체 목록을 확인합니다.

  • 악용 가능성 정보 - 각 취약성 보고서는 악용 가능성 데이터베이스를 통해 검색되어 고객이 보고된 각 취약성과 관련된 실제 위험을 판단할 수 있도록 지원합니다.

  • 보고 - Microsoft Defender 취약성 관리 기반에서 제공하는 AWS용 컨테이너 취약성 평가는 다음 권장 사항을 사용하여 취약성 보고서를 제공합니다.

이는 런타임 컨테이너 취약성 및 레지스트리 이미지 취약성에 대해 보고하는 새로운 권장 사항입니다. 현재 미리 보기 상태이지만 이전 권장 사항을 바꾸기 위한 것입니다. 이러한 새로운 권장 사항은 미리 보기 상태에서는 보안 점수에 포함되지 않습니다. 두 권장 사항 집합에 대한 검사 엔진은 동일합니다.

추천 설명 평가 키
[미리 보기] AWS 레지스트리의 컨테이너 이미지에 취약성 결과가 해결되어야 합니다. 클라우드용 Defender는 레지스트리 이미지에서 CVE(알려진 취약성)를 검사하고 검사한 각 이미지에 대한 자세한 결과를 제공합니다. 레지스트리의 컨테이너 이미지에 대한 취약성을 검사하고 수정하면 안전하고 신뢰할 수 있는 소프트웨어 공급망을 유지하고 보안 인시던트 위험을 줄이며 업계 표준 준수를 보장할 수 있습니다. 2a139383-ec7e-462a-90ac-b1b60e87d576
[미리 보기] AWS에서 실행되는 컨테이너에는 취약성 결과가 해결되어야 합니다. 클라우드용 Defender는 현재 Kubernetes 클러스터에서 실행 중인 모든 컨테이너 워크로드의 인벤토리를 만들고, 사용 중인 이미지와 레지스트리 이미지에 대해 만들어진 취약성 보고서를 일치시켜 해당 워크로드에 대한 취약성 보고서를 제공합니다. 강력하고 안전한 소프트웨어 공급망을 보장하고 보안 인시던트 위험을 줄이며 업계 표준 준수를 보장하려면 컨테이너 워크로드의 취약성을 검사하고 수정해야 합니다. d5d1e526-363a-4223-b860-f4b6e710859f

현재 사용 중지 경로에 있는 이전 권장 사항은 다음과 같습니다.

추천 설명 평가 키
AWS 레지스트리 컨테이너 이미지에는 해결된 취약성 발견 항목이 있어야 합니다(Microsoft Defender 취약성 관리 기반). AWS 레지스트리 컨테이너 이미지에서 CVE(일반적으로 알려진 취약성)을 검사하고 각 이미지에 대한 자세한 취약성 보고서를 제공합니다. 취약성을 해결하면 보안 태세가 크게 향상되어 배포 전에 이미지를 안전하게 사용할 수 있습니다. c27441ae-775c-45be-8ffa-655de37362ce
AWS에서 실행한 컨테이너 레지스트리 이미지는 발견된 취약성을 해결해야 함(Microsoft Defender 취약성 관리에서 제공함) 컨테이너 이미지 취약성 평가는 레지스트리에서 CVE(일반적으로 알려진 취약성)을 검사하고 각 이미지에 대한 자세한 취약성 보고서를 제공합니다. 이 권장 사항은 현재 Elastic Kubernetes 클러스터에서 실행 중인 취약한 이미지에 대한 표시 여부를 제공합니다. 현재 실행 중인 컨테이너 이미지의 취약성을 수정하는 것은 보안 태세를 개선하고 컨테이너화된 워크로드에 대한 공격 표면을 크게 줄이는 데 중요합니다. 682b2595-d045-4cff-b5aa-46624eb2dd8f

검사 트리거

이미지 검사에 대한 트리거는 다음과 같습니다.

  • 일회성 트리거:

    • 컨테이너 레지스트리에 푸시된 각 이미지는 검사를 위해 트리거됩니다. 대부분의 경우 검사는 몇 시간 내에 완료되지만 드물게 최대 24시간이 걸릴 수도 있습니다.
    • 레지스트리에서 가져온 각 이미지는 24시간 이내에 검사되도록 트리거됩니다.

  • 연속 다시 검사 트리거 – 새 취약성이 게시된 경우 취약성 보고서를 업데이트하기 위해 이전에 취약성을 검사한 이미지를 다시 검사하려면 연속 다시 검사가 필요합니다.

    • 다시 검사는 다음에 대해 하루에 한 번 수행됩니다.

이미지 검사는 어떻게 작동하나요?

검사 프로세스에 대한 자세한 설명은 다음과 같습니다.

참고 항목

컨테이너 레지스트리용 Defender(사용되지 않음)의 경우 이미지는 푸시, 풀에서 한 번 검사되고 일주일에 한 번만 다시 검사됩니다.

내 레지스트리에서 이미지를 제거하는 경우 해당 이미지에 대한 취약성 보고가 제거되기까지 시간이 얼마나 걸리나요?

ECR에서 이미지를 삭제한 후 보고서가 제거되기까지 30시간이 걸립니다.

다음 단계