Evaluaties van beveiligingsproblemen voor AWS met Microsoft Defender Vulnerability Management
Evaluatie van beveiligingsproblemen voor AWS, mogelijk gemaakt door Microsoft Defender Vulnerability Management, is een out-of-box-oplossing die beveiligingsteams in staat stelt om eenvoudig beveiligingsproblemen in Linux-containerinstallatiekopieën te detecteren en op te lossen, met nul configuratie voor onboarding en zonder implementatie van sensoren.
Notitie
Deze functie biedt alleen ondersteuning voor het scannen van afbeeldingen in de ECR. Installatiekopieën die zijn opgeslagen in andere containerregisters, moeten worden geïmporteerd in ECR voor dekking. Meer informatie over het importeren van containerinstallatiekopieën in een containerregister.
In elk account waar het inschakelen van deze mogelijkheid is voltooid, worden alle installatiekopieën die zijn opgeslagen in ECR die voldoen aan de criteria voor scantriggers, gescand op beveiligingsproblemen zonder extra configuratie van gebruikers of registers. Aanbevelingen met beveiligingsrapporten worden verstrekt voor alle installatiekopieën in ECR en installatiekopieën die momenteel worden uitgevoerd in EKS die zijn opgehaald uit een ECR-register of een ander Defender voor Cloud ondersteund register (ACR, GCR of GAR). Installatiekopieën worden kort na het toevoegen aan een register gescand en elke 24 uur opnieuw gescand op nieuwe beveiligingsproblemen.
Evaluatie van beveiligingsproblemen van containers mogelijk gemaakt door Microsoft Defender Vulnerability Management heeft de volgende mogelijkheden:
Besturingssysteempakketten scannen: evaluatie van beveiligingsproblemen in containers heeft de mogelijkheid om beveiligingsproblemen te scannen in pakketten die zijn geïnstalleerd door het besturingssysteempakketbeheer in Linux- en Windows-besturingssystemen. Bekijk de volledige lijst met het ondersteunde besturingssysteem en de bijbehorende versies.
Taalspecifieke pakketten , alleen Linux - ondersteuning voor taalspecifieke pakketten en bestanden, en hun afhankelijkheden die zijn geïnstalleerd of gekopieerd zonder besturingssysteempakketbeheer. Bekijk de volledige lijst met ondersteunde talen.
Exploitabiliteitsinformatie : elk rapport over beveiligingsproblemen wordt doorzocht via exploitabiliteitsdatabases om onze klanten te helpen bij het bepalen van het werkelijke risico dat is gekoppeld aan elk gerapporteerd beveiligingsprobleem.
Rapportage : Evaluatie van containerproblemen voor AWS, mogelijk gemaakt door Microsoft Defender Vulnerability Management, biedt rapporten over beveiligingsproblemen met behulp van de volgende aanbevelingen:
Dit zijn de nieuwe preview-aanbevelingen die rapporteren over beveiligingsproblemen in runtimecontainers en beveiligingsproblemen met registerinstallatiekopieën. Deze nieuwe aanbevelingen tellen niet mee voor een veilige score in de preview-fase. De scanengine voor deze nieuwe aanbevelingen is hetzelfde als de huidige ALGEMENE aanbevelingen en biedt dezelfde bevindingen. Deze aanbevelingen zijn het meest geschikt voor klanten die gebruikmaken van de nieuwe weergave op basis van risico's voor aanbevelingen en waarvoor het Defender CSPM-plan is ingeschakeld.
Aanbeveling | Beschrijving | Evaluatiesleutel |
---|---|---|
[Preview] Containerinstallatiekopieën in het AWS-register moeten problemen hebben opgelost | Defender voor Cloud scant uw registerinstallatiekopieën op bekende beveiligingsproblemen (CVE's) en biedt gedetailleerde bevindingen voor elke gescande installatiekopieën. Door beveiligingsproblemen voor containerinstallatiekopieën in het register te scannen en op te lossen, kunt u een veilige en betrouwbare softwareleveringsketen onderhouden, het risico op beveiligingsincidenten verminderen en naleving van industriestandaarden garanderen. | 2a139383-ec7e-462a-90ac-b1b60e87d576 |
[Preview] Containers die worden uitgevoerd in AWS, moeten gevonden beveiligingsproblemen hebben opgelost | Defender voor Cloud maakt een inventaris van alle containerworkloads die momenteel worden uitgevoerd in uw Kubernetes-clusters en biedt beveiligingsrapporten voor deze workloads door de gebruikte installatiekopieën en de rapporten over beveiligingsproblemen die zijn gemaakt voor de registerinstallatiekopieën te koppelen. Het scannen en oplossen van beveiligingsproblemen van containerworkloads is essentieel om een robuuste en veilige software-toeleveringsketen te garanderen, het risico op beveiligingsincidenten te verminderen en ervoor te zorgen dat de industriestandaarden voldoen. | 8749bb43-cd24-4cf9-848c-2a50f632043c |
Deze huidige GA-aanbevelingen rapporteren over beveiligingsproblemen in containers in een Kubernetes-cluster en op containerinstallatiekopieën in een containerregister. Deze aanbevelingen zijn het meest geschikt voor klanten die gebruikmaken van de klassieke weergave voor aanbevelingen en waarvoor Defender CSPM-abonnement niet is ingeschakeld.
Aanbeveling | Beschrijving | Evaluatiesleutel |
---|---|---|
AwS-registercontainerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) | Scant uw AWS-containerinstallatiekopieën op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Het oplossen van beveiligingsproblemen kan uw beveiligingspostuur aanzienlijk verbeteren, zodat installatiekopieën veilig kunnen worden gebruikt vóór de implementatie. | c27441ae-775c-45be-8ffa-655de37362ce |
AWS waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) | Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare installatiekopieën die momenteel worden uitgevoerd in uw Elastic Kubernetes-clusters. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën die momenteel worden uitgevoerd, is essentieel voor het verbeteren van uw beveiligingspostuur, waardoor de kwetsbaarheid voor aanvallen voor uw in containers geplaatste workloads aanzienlijk wordt verminderd. | 682b2595-d045-4cff-b5aa-46624eb2dd8f |
Query's uitvoeren op informatie over beveiligingsproblemen via Azure Resource Graph : mogelijkheid om informatie over beveiligingsproblemen op te vragen via Azure Resource Graph. Meer informatie over het opvragen van aanbevelingen via ARG.
Queryscanresultaten via REST API : informatie over het opvragen van scanresultaten via REST API.
Scantriggers
De triggers voor een afbeeldingsscan zijn:
Eenmalige triggering:
- Elke installatiekopieën die naar een containerregister worden gepusht, worden geactiveerd om te worden gescand. In de meeste gevallen wordt de scan binnen een paar uur voltooid, maar in zeldzame gevallen kan het tot 24 uur duren.
- Elke installatiekopie die uit een register wordt opgehaald, wordt binnen 24 uur gescand.
Continue herscantriggers : doorlopend opnieuw scannen is vereist om ervoor te zorgen dat installatiekopieën die eerder zijn gescand op beveiligingsproblemen opnieuw worden gescand om hun beveiligingsrapporten bij te werken voor het geval er een nieuw beveiligingsprobleem wordt gepubliceerd.
- Opnieuw scannen wordt eenmaal per dag uitgevoerd voor:
- Afbeeldingen die in de afgelopen 90 dagen zijn gepusht.
- Afbeeldingen die de afgelopen 30 dagen zijn opgehaald.
- Installatiekopieën die momenteel worden uitgevoerd op de Kubernetes-clusters die worden bewaakt door Defender voor Cloud (via detectie zonder agent voor Kubernetes of de Defender-sensor).
- Opnieuw scannen wordt eenmaal per dag uitgevoerd voor:
Hoe werkt het scannen van afbeeldingen?
Een gedetailleerde beschrijving van het scanproces wordt als volgt beschreven:
Wanneer u de evaluatie van beveiligingsproblemen van containers inschakelt voor AWS, mogelijk gemaakt door Microsoft Defender Vulnerability Management, autoriseert u Defender voor Cloud om containerinstallatiekopieën in uw elastische containerregisters te scannen.
Defender voor Cloud detecteert automatisch alle containersregisters, opslagplaatsen en installatiekopieën (gemaakt vóór of na het inschakelen van deze mogelijkheid).
Eenmaal per dag en voor nieuwe installatiekopieën naar een register gepusht:
- Alle nieuw gedetecteerde installatiekopieën worden opgehaald en er wordt een inventaris gemaakt voor elke installatiekopie. Inventaris van installatiekopieën wordt bewaard om verdere pulls van installatiekopieën te voorkomen, tenzij dit vereist is voor nieuwe scannermogelijkheden.
- Met behulp van de inventaris worden beveiligingsrapporten gegenereerd voor nieuwe installatiekopieën en bijgewerkt voor installatiekopieën die de afgelopen 90 dagen naar een register zijn gepusht of die momenteel worden uitgevoerd. Om te bepalen of er momenteel een installatiekopieën worden uitgevoerd, gebruikt Defender voor Cloud zowel detectie zonder agent voor Kubernetes als inventaris die wordt verzameld via de Defender-sensor die wordt uitgevoerd op EKS-knooppunten
- Rapporten over beveiligingsproblemen voor registercontainerinstallatiekopieën worden als aanbeveling gegeven.
Klanten die gebruikmaken van detectie zonder agent voor Kubernetes of inventaris die zijn verzameld via de Defender-sensor die wordt uitgevoerd op EKS-knooppunten, Defender voor Cloud ook een aanbeveling voor het oplossen van beveiligingsproblemen voor kwetsbare installatiekopieën die worden uitgevoerd op een EKS-cluster. Voor klanten die alleen detectie zonder agent voor Kubernetes gebruiken, is de vernieuwingstijd voor de inventarisatie in deze aanbeveling eenmaal per zeven uur. Clusters waarop de Defender-sensor wordt uitgevoerd, profiteren van een vernieuwingsfrequentie van twee uur. Scanresultaten van installatiekopieën worden in beide gevallen bijgewerkt op basis van registerscan en worden daarom slechts elke 24 uur vernieuwd.
Notitie
Voor Defender voor containerregisters (afgeschaft) worden installatiekopieën eenmaal gescand op push, pull en opnieuw gescand slechts één keer per week.
Als ik een installatiekopieën uit mijn register verwijder, hoe lang voordat beveiligingsproblemen op die installatiekopieën worden verwijderd?
Het duurt 30 uur nadat een afbeelding uit ECR is verwijderd voordat de rapporten worden verwijderd.
Volgende stappen
- Meer informatie over de Defender voor Cloud Defender-abonnementen.
- Bekijk veelgestelde vragen over Defender for Containers.