컨테이너 레지스트리 이미지 및 실행 중인 이미지에 대한 예외 만들기 및 취약성 평가 결과 사용 안 함

  • 아티클

참고 항목

보안 점수에서 관리 그룹, 구독 또는 특정 리소스를 제외하여 취약성 평가 환경을 사용자 지정할 수 있습니다. 리소스 또는 구독에 대한 예외를 만드는 방법을 알아봅니다.

조직에서 결과를 수정하지 않고 무시해야 하는 요구 사항이 있으면 필요에 따라 이 결과를 사용하지 않도록 설정할 수 있습니다. 사용하지 않도록 설정된 결과는 보안 점수에 영향을 주거나 원치 않는 노이즈를 생성하지 않습니다.

결과가 사용하지 않도록 설정 규칙에 정의한 기준과 일치하면 결과 목록에 표시되지 않습니다. 일반적인 시나리오 예는 다음과 같습니다.

  • 심각도가 보통 이하인 결과를 사용하지 않도록 설정
  • 공급업체가 수정하지 않을 이미지에 대한 결과 사용 안 함

Important

규칙을 만들려면 Azure Policy에서 정책을 편집할 수 있는 사용 권한이 필요합니다. Azure Policy에서 Azure RBAC 사용 권한에 대해 자세히 알아보세요.

다음 기준 중 하나를 조합하여 사용할 수 있습니다.

  • CVE - 제외하려는 결과의 CVE를 입력합니다. CVE가 유효한지 확인합니다. 여러 CVE를 세미콜론으로 구분합니다. 예: CVE-2020-1347; CVE-2020-1346.
  • 이미지 다이제스트 - 이미지 다이제스트를 기반으로 취약성을 제외해야 하는 이미지를 지정합니다. 여러 다이제스트를 세미콜론으로 구분합니다. 예: sha256:9b920e938111710c2768b31699aac9d1ae80ab6284454e8a9ff42e887fa1db31;sha256:ab0ab32f75988da9b146de7a3589c47e919393ae51bbf2d8a0d55dd92542451c
  • OS 버전 - 이미지 OS를 기준으로 취약성을 제외해야 하는 이미지를 지정합니다. 여러 버전을 세미콜론으로 구분합니다. 예: ubuntu_linux_20.04;alpine_3.17
  • 최소 심각도 - 지정된 심각도 수준보다 낮은 취약성을 제외하려면 낮음, 중간, 높음 또는 심각을 선택합니다.
  • 수정 상태 - 수정 상태에 따라 취약성을 제외하는 옵션을 선택합니다.

권장 사항에 따라 사용 중지 규칙이 적용됩니다. 예를 들어, 레지스트리 이미지와 런타임 이미지 모두에서 CVE-2017-17512를 사용 중지하려면 두 위치 모두에서 사용 중지 규칙을 구성해야 합니다.

참고 항목

Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

규칙을 만들려면

  1. 컨테이너 레지스트리 이미지에는 Microsoft Defender 취약성 관리를 통해 해결된 취약성 결과가 있어야 함 또는 Azure에서 실행되는 컨테이너에는 취약성 결과가 해결되어야 함에 대한 권장 사항 세부 정보 페이지에서 규칙 사용 안 함을 선택합니다.

  2. 관련 범위를 선택합니다.

  3. 조건을 정의하십시오. 다음 조건 중 하나를 사용할 수 있습니다.

    • CVE - 제외하려는 결과의 CVE를 입력합니다. CVE가 유효한지 확인합니다. 여러 CVE를 세미콜론으로 구분합니다. 예: CVE-2020-1347; CVE-2020-1346.
    • 이미지 다이제스트 - 이미지 다이제스트를 기반으로 취약성을 제외해야 하는 이미지를 지정합니다. 여러 다이제스트를 세미콜론으로 구분합니다. 예: sha256:9b920e938111710c2768b31699aac9d1ae80ab6284454e8a9ff42e887fa1db31;sha256:ab0ab32f75988da9b146de7a3589c47e919393ae51bbf2d8a0d55dd92542451c
    • OS 버전 - 이미지 OS를 기준으로 취약성을 제외해야 하는 이미지를 지정합니다. 여러 버전을 세미콜론으로 구분합니다. 예: ubuntu_linux_20.04;alpine_3.17
    • 최소 심각도 - 지정된 심각도 수준보다 낮거나 같은 취약성을 제외하려면 낮음, 중간, 높음 또는 심각을 선택합니다.
    • 수정 상태 - 수정 상태에 따라 취약성을 제외하는 옵션을 선택합니다.

  4. 정당성 텍스트 상자에 특정 취약성이 사용하지 않도록 설정된 이유에 대한 정당성을 추가합니다. 이는 규칙을 검토하는 모든 사람에게 명확성과 이해를 제공합니다.

  5. 규칙 적용을 선택합니다.

    레지스트리 이미지의 취약성 결과에 대한 사용하지 않도록 설정 규칙을 만드는 위치를 보여 주는 스크린샷.

    Important

    변경 내용을 적용하는 데 최대 24시간이 걸릴 수 있습니다.

규칙을 보거나 재정의하거나 삭제하려면

  1. 권장 사항 세부 정보 페이지에서 규칙 사용 안 함을 선택합니다.

  2. 범위 목록에서 활성 규칙이 있는 구독은 규칙 적용됨으로 표시됩니다.

  3. 규칙을 보거나 삭제하려면 줄임표 메뉴("...")를 선택합니다.

  4. 다음 중 하나를 수행합니다.

    • 사용 중지 규칙을 보거나 재정의하려면 규칙 보기를 선택하고 원하는 대로 변경한 다음 규칙 재정의를 선택합니다.
    • 사용 중지 규칙을 삭제하려면 규칙 삭제를 선택합니다.

    레지스트리 이미지의 취약성 결과에 대한 규칙을 보거나 삭제하거나 재정의하는 위치를 보여 주는 스크린샷.

다음 단계