Microsoft Defender 취약성 관리를 사용하여 Azure에 대한 취약성 평가
Microsoft Defender 취약성 관리 기반에서 제공하는 Azure에 대한 취약성 평가는 보안팀이 온보딩을 위한 구성이 없고 에이전트를 배포하지 않고 컨테이너 이미지에서 취약성을 쉽게 검색하고 수정할 수 있도록 하는 기본 솔루션입니다.
참고 항목
이 기능은 ACR(Azure Container Registry)에서만 이미지 검사를 지원합니다. 다른 컨테이너 레지스트리에 저장된 이미지는 적용을 위해 ACR로 가져와야 합니다. 컨테이너 이미지를 컨테이너 레지스트리로 가져오는 방법을 알아보세요.
이 기능이 사용하도록 설정된 모든 구독에서 검사 트리거 기준을 충족하는 ACR에 저장된 모든 이미지는 사용자 또는 레지스트리를 추가로 구성하지 않고도 취약성을 검사합니다. ACR 레지스트리 또는 기타 클라우드용 Defender 지원 레지스트리(ECR, GCR 또는 GAR)에서 가져온 AKS에서 현재 실행 중인 이미지뿐만 아니라 ACR의 모든 이미지에 대한 취약성 보고서에 대한 권장 사항이 제공됩니다. 이미지는 레지스트리에 추가된 직후에 검사되고 24시간마다 한 번씩 새로운 취약성을 다시 검사합니다.
Microsoft Defender 취약성 관리에서 제공하는 컨테이너 취약성 평가에는 다음과 같은 기능이 있습니다.
- OS 패키지 검사 - 컨테이너 취약성 평가에는 Linux 및 Windows OS의 OS 패키지 관리자가 설치한 패키지의 취약성을 검사하는 기능이 있습니다. 지원되는 OS 및 해당 버전의 전체 목록을 참조하세요.
- 언어별 패키지 – Linux에만 해당 - 언어별 패키지 및 파일과 OS 패키지 관리자 없이 설치되거나 복사된 해당 종속성을 지원합니다. 지원되는 언어의 전체 목록을 확인합니다.
- Azure Private Link의 이미지 검사 - Azure 컨테이너 취약성 평가는 Azure Private Links를 통해 액세스할 수 있는 컨테이너 레지스트리의 이미지를 검사하는 기능을 제공합니다. 이 기능을 사용하려면 레지스트리를 사용하여 신뢰할 수 있는 서비스 및 인증에 액세스해야 합니다. 신뢰할 수 있는 서비스에 의한 액세스를 허용하는 방법을 알아봅니다.
- 악용 가능성 정보 - 각 취약성 보고서는 악용 가능성 데이터베이스를 통해 검색되어 고객이 보고된 각 취약성과 관련된 실제 위험을 판단할 수 있도록 지원합니다.
- 보고 - Microsoft Defender 취약성 관리 기반에서 제공하는 Azure용 컨테이너 취약성 평가는 다음 권장 사항을 사용하여 취약성 보고서를 제공합니다.
이는 런타임 컨테이너 취약성 및 레지스트리 이미지 취약성에 대해 보고하는 새로운 권장 사항입니다. 현재 미리 보기 상태이지만 이전 권장 사항을 바꾸기 위한 것입니다. 이러한 새로운 권장 사항은 미리 보기 상태에서는 보안 점수에 포함되지 않습니다. 두 권장 사항 집합에 대한 검사 엔진은 동일합니다.
| 추천 | 설명 | 평가 키 |
|---|---|---|
| [미리 보기] Azure 레지스트리의 컨테이너 이미지에 취약성 결과가 해결되어야 합니다. | 클라우드용 Defender는 레지스트리 이미지에서 CVE(알려진 취약성)를 검사하고 검사한 각 이미지에 대한 자세한 결과를 제공합니다. 레지스트리의 컨테이너 이미지에 대한 취약성을 검사하고 수정하면 안전하고 신뢰할 수 있는 소프트웨어 공급망을 유지하고 보안 인시던트 위험을 줄이며 업계 표준 준수를 보장할 수 있습니다. | 33422d8f-ab1e-42be-bc9a-38685bb567b9 |
| [미리 보기] Azure에서 실행되는 컨테이너에는 취약성 결과가 해결되어야 합니다. | 클라우드용 Defender는 현재 Kubernetes 클러스터에서 실행 중인 모든 컨테이너 워크로드의 인벤토리를 만들고, 사용 중인 이미지와 레지스트리 이미지에 대해 만들어진 취약성 보고서를 일치시켜 해당 워크로드에 대한 취약성 보고서를 제공합니다. 강력하고 안전한 소프트웨어 공급망을 보장하고 보안 인시던트 위험을 줄이며 업계 표준 준수를 보장하려면 컨테이너 워크로드의 취약성을 검사하고 수정해야 합니다. | e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 |
현재 사용 중지 경로에 있는 이전 권장 사항은 다음과 같습니다.
| 추천 | 설명 | 평가 키 |
|---|---|---|
| Azure 레지스트리 컨테이너 이미지의 취약성이 해결되어야 합니다(Microsoft Defender 취약성 관리 제공). | 컨테이너 이미지 취약성 평가는 레지스트리에서 CVE(일반적으로 알려진 취약성)을 검사하고 각 이미지에 대한 자세한 취약성 보고서를 제공합니다. 취약성을 해결하면 보안 태세가 크게 향상되어 배포 전에 이미지를 안전하게 사용할 수 있습니다. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Azure 실행 컨테이너 이미지의 취약성이 해결되어야 합니다(Microsoft Defender 취약성 관리 제공). | 컨테이너 이미지 취약성 평가는 레지스트리에서 CVE(일반적으로 알려진 취약성)을 검사하고 각 이미지에 대한 자세한 취약성 보고서를 제공합니다. 이 권장 사항은 현재 Kubernetes 클러스터에서 실행 중인 취약한 이미지에 대한 가시성을 제공합니다. 현재 실행 중인 컨테이너 이미지의 취약성을 수정하는 것은 보안 태세를 개선하고 컨테이너화된 워크로드에 대한 공격 표면을 크게 줄이는 데 중요합니다. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
- Azure Resource Graph를 통해 취약성 정보 쿼리 - Azure Resource Graph를 통해 취약성 정보를 쿼리하는 기능입니다. ARG를 통해 권장 사항을 쿼리하는 방법을 알아봅니다.
- REST API를 통해 검사 결과 쿼리 - REST API를 통해 검사 결과를 쿼리하는 방법을 알아봅니다.
- 예외 지원 - 관리 그룹, 리소스 그룹 또는 구독에 대한 예외 규칙을 만드는 방법을 알아봅니다.
- 취약성 사용 안 함 지원 - 이미지에서 취약성을 사용하지 않도록 설정하는 방법을 알아봅니다.
검사 트리거
이미지 검사에 대한 트리거는 다음과 같습니다.
일회성 트리거:
- 컨테이너 레지스트리로 푸시되거나 가져온 각 이미지는 검사를 위해 트리거됩니다. 대부분의 경우 검사는 몇 분 안에 완료되지만, 드물게 최대 1시간까지 걸릴 수도 있습니다.
- 레지스트리에서 풀한 각 이미지는 24시간 이내에 검사되도록 트리거됩니다.
연속 다시 검사 트리거 – 새 취약성이 게시된 경우 취약성 보고서를 업데이트하기 위해 이전에 취약성을 검사한 이미지를 다시 검사하려면 연속 다시 검사가 필요합니다.
- 다시 검사는 다음에 대해 하루에 한 번 수행됩니다.
- 지난 90일 동안 푸시된 이미지.
- 지난 30일 동안 푸시된 이미지.
- 현재 클라우드용 Defender에서 모니터링하는 Kubernetes 클러스터에서 실행 중인 이미지입니다(Kubernetes에 대한 에이전트 없는 검색 또는 Defender 센서를 통해).
- 다시 검사는 다음에 대해 하루에 한 번 수행됩니다.
이미지 검사는 어떻게 작동하나요?
검사 프로세스에 대한 자세한 설명은 다음과 같습니다.
Microsoft Defender Vulnerability Management 기반 Azure에 대한 컨테이너 취약성 평가를 사용하도록 설정하면 클라우드용 Defender가 Azure Container Registry의 컨테이너 이미지를 검사할 수 있는 권한을 부여하게 됩니다.
클라우드용 Defender는 모든 컨테이너 레지스트리, 리포지토리 및 이미지를 자동으로 검색합니다(이 기능을 사용하도록 설정하기 전이나 후에 생성됨).
클라우드용 Defender는 새 이미지가 Azure Container Registry에 푸시될 때마다 알림을 받습니다. 그런 다음 새 이미지는 클라우드용 Defender에서 유지 관리하는 이미지의 카탈로그에 즉시 추가되고 이미지를 즉시 검사하는 작업을 큐에 대기합니다.
하루에 한 번, 레지스트리에 푸시된 새 이미지의 경우:
- 새로 검색된 모든 이미지가 풀되고 각 이미지에 대한 인벤토리가 만들어집니다. 이미지 인벤토리는 새 스캐너 기능에 필요한 경우가 아니면 추가 이미지 풀을 방지하기 위해 유지됩니다.
- 인벤토리를 사용하여 새 이미지에 대한 취약성 보고서가 생성되고, 지난 90일 동안 레지스트리에 푸시되었거나 현재 실행 중인 이전에 검사한 이미지에 대해 업데이트됩니다. 이미지가 현재 실행 중인지 확인하기 위해 클라우드용 Defender는 Kubernetes에 대한 에이전트 없는 검색과 AKS 노드에서 실행되는 Defender 센서를 통해 수집된 인벤토리를 모두 사용합니다.
- 레지스트리 컨테이너 이미지에 대한 취약성 보고서는 권장 사항으로 제공됩니다.
Kubernetes에 대한 에이전트 없는 검색을 사용하거나 AKS 노드에서 실행되는 Defender 센서를 통해 수집된 인벤토리를 사용하는 고객의 경우 클라우드용 Defender는 AKS 클러스터에서 실행되는 취약한 이미지에 대한 취약성을 수정하기 위한 권장 사항도 만듭니다. Kubernetes에 대한 에이전트 없는 검색만 사용하는 고객의 경우 이 권장 사항의 인벤토리 새로 고침 시간은 7시간에 한 번입니다. Defender 센서도 실행 중인 클러스터는 2시간 인벤토리 새로 고침 빈도의 이점을 활용할 수 있습니다. 이미지 검사 결과는 두 경우 모두 레지스트리 검사에 따라 업데이트되며, 따라서 24시간마다 새로 고쳐집니다.
참고 항목
컨테이너 레지스트리용 Defender(사용되지 않음)의 경우 이미지는 푸시, 풀에서 한 번 검사되고 일주일에 한 번만 다시 검사됩니다.
내 레지스트리에서 이미지를 제거하는 경우 해당 이미지에 대한 취약성 보고가 제거되기까지 시간이 얼마나 걸리나요?
Azure Container Registries는 이미지가 삭제되면 클라우드용 Defender에 알리고 1시간 이내에 삭제된 이미지에 대한 취약성 평가를 제거합니다. 드문 경우지만 클라우드용 Defender가 삭제에 대한 알림을 받지 못할 수 있으며, 이러한 경우 관련 취약성을 삭제하는 데 최대 3일이 걸릴 수 있습니다.
다음 단계
- 클라우드용 Defender Defender 플랜에 대해 자세히 알아봅니다.
- 컨테이너용 Defender에 대한 일반적인 질문을 확인하세요.