Evaluaties van beveiligingsproblemen voor GCP met Microsoft Defender Vulnerability Management
Evaluatie van beveiligingsproblemen voor GCP, mogelijk gemaakt door Microsoft Defender Vulnerability Management, is een out-of-box-oplossing die beveiligingsteams in staat stelt om eenvoudig beveiligingsproblemen in Linux-containerinstallatiekopieën te detecteren en op te lossen, met nul configuratie voor onboarding en zonder implementatie van sensoren.
In elk account waar het inschakelen van deze mogelijkheid is voltooid, worden alle installatiekopieën die zijn opgeslagen in Google-registers (GAR en GCR) die voldoen aan de criteria voor scantriggers, gescand op beveiligingsproblemen zonder extra configuratie van gebruikers of registers. Aanbevelingen met beveiligingsproblemenrapporten worden verstrekt voor alle installatiekopieën in Google-registers (GAR en GCR), installatiekopieën die momenteel worden uitgevoerd in GKE die zijn opgehaald uit Google-registers (GAR en GCR) of een ander Defender voor Cloud ondersteund register (ACR of ECR). Installatiekopieën worden kort na het toevoegen aan een register gescand en elke 24 uur opnieuw gescand op nieuwe beveiligingsproblemen.
Evaluatie van beveiligingsproblemen van containers mogelijk gemaakt door Microsoft Defender Vulnerability Management heeft de volgende mogelijkheden:
Besturingssysteempakketten scannen: evaluatie van beveiligingsproblemen in containers heeft de mogelijkheid om beveiligingsproblemen te scannen in pakketten die zijn geïnstalleerd door het besturingssysteempakketbeheer in Linux- en Windows-besturingssystemen. Bekijk de volledige lijst met het ondersteunde besturingssysteem en de bijbehorende versies.
Taalspecifieke pakketten , alleen Linux - ondersteuning voor taalspecifieke pakketten en bestanden, en hun afhankelijkheden die zijn geïnstalleerd of gekopieerd zonder besturingssysteempakketbeheer. Bekijk de volledige lijst met ondersteunde talen.
Exploitabiliteitsinformatie : elk rapport over beveiligingsproblemen wordt doorzocht via exploitabiliteitsdatabases om onze klanten te helpen bij het bepalen van het werkelijke risico dat is gekoppeld aan elk gerapporteerd beveiligingsprobleem.
Rapportage : evaluatie van beveiligingsproblemen van containers voor GCP, mogelijk gemaakt door Microsoft Defender Vulnerability Management, biedt rapporten over beveiligingsproblemen met behulp van de volgende aanbevelingen:
Dit zijn de nieuwe aanbevelingen die rapporteren over beveiligingsproblemen in runtimecontainers en beveiligingsproblemen met registerinstallatiekopieën. Ze zijn momenteel in preview, maar zijn bedoeld om de oude aanbevelingen te vervangen. Deze nieuwe aanbevelingen tellen niet mee voor een veilige score in de preview-fase. De scanengine voor beide sets aanbevelingen is hetzelfde.
| Aanbeveling | Beschrijving | Evaluatiesleutel |
|---|---|---|
| [Preview] Containerinstallatiekopieën in het GCP-register moeten problemen hebben opgelost | Defender voor Cloud scant uw registerinstallatiekopieën op bekende beveiligingsproblemen (CVE's) en biedt gedetailleerde bevindingen voor elke gescande installatiekopieën. Door beveiligingsproblemen voor containerinstallatiekopieën in het register te scannen en op te lossen, kunt u een veilige en betrouwbare softwareleveringsketen onderhouden, het risico op beveiligingsincidenten verminderen en naleving van industriestandaarden garanderen. | 24e37609-dcf5-4a3b-b2b0-b7d76f2e4e04 |
| [Preview] Containers die in GCP worden uitgevoerd, moeten resultaten van beveiligingsproblemen hebben opgelost | Defender voor Cloud maakt een inventaris van alle containerworkloads die momenteel worden uitgevoerd in uw Kubernetes-clusters en biedt beveiligingsrapporten voor deze workloads door de gebruikte installatiekopieën en de rapporten over beveiligingsproblemen die zijn gemaakt voor de registerinstallatiekopieën te koppelen. Het scannen en oplossen van beveiligingsproblemen van containerworkloads is essentieel om een robuuste en veilige software-toeleveringsketen te garanderen, het risico op beveiligingsincidenten te verminderen en ervoor te zorgen dat de industriestandaarden voldoen. | c7c1d31d-a604-4b86-96df-63448618e165 |
Dit zijn de oudere aanbevelingen die momenteel op een buitengebruikstellingspad staan:
| Aanbeveling | Beschrijving | Evaluatiesleutel |
|---|---|---|
| GCP-registercontainerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) - Microsoft Azure | Scant uw GCP-containerinstallatiekopieën op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Het oplossen van beveiligingsproblemen kan uw beveiligingspostuur aanzienlijk verbeteren, zodat installatiekopieën veilig kunnen worden gebruikt vóór de implementatie. | c27441ae-775c-45be-8ffa-655de37362ce |
| GCP waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) - Microsoft Azure | Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare afbeeldingen die momenteel worden uitgevoerd in uw Google Kubernetes-clusters. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën die momenteel worden uitgevoerd, is essentieel voor het verbeteren van uw beveiligingspostuur, waardoor de kwetsbaarheid voor aanvallen voor uw in containers geplaatste workloads aanzienlijk wordt verminderd. | 5cc3a2c1-8397-456f-8792-fe9d0d4c9145 |
Query's uitvoeren op informatie over beveiligingsproblemen via Azure Resource Graph : mogelijkheid om informatie over beveiligingsproblemen op te vragen via Azure Resource Graph. Meer informatie over het opvragen van aanbevelingen via ARG.
Queryscanresultaten via REST API : informatie over het opvragen van scanresultaten via REST API.
Scantriggers
De triggers voor een afbeeldingsscan zijn:
Eenmalige triggering:
- Elke installatiekopieën die naar een containerregister worden gepusht, worden geactiveerd om te worden gescand. In de meeste gevallen wordt de scan binnen een paar uur voltooid, maar in zeldzame gevallen kan het tot 24 uur duren.
- Elke installatiekopie die uit een register wordt opgehaald, wordt binnen 24 uur gescand.
Continue herscantriggers : doorlopend opnieuw scannen is vereist om ervoor te zorgen dat installatiekopieën die eerder zijn gescand op beveiligingsproblemen opnieuw worden gescand om hun beveiligingsrapporten bij te werken voor het geval er een nieuw beveiligingsprobleem wordt gepubliceerd.
- Opnieuw scannen wordt eenmaal per dag uitgevoerd voor:
- Afbeeldingen die in de afgelopen 90 dagen zijn gepusht.
- Afbeeldingen die de afgelopen 30 dagen zijn opgehaald.
- Installatiekopieën die momenteel worden uitgevoerd op de Kubernetes-clusters die worden bewaakt door Defender voor Cloud (via detectie zonder agent voor Kubernetes of de Defender-sensor).
- Opnieuw scannen wordt eenmaal per dag uitgevoerd voor:
Hoe werkt het scannen van afbeeldingen?
Een gedetailleerde beschrijving van het scanproces wordt als volgt beschreven:
Wanneer u de evaluatie van beveiligingsproblemen van containers inschakelt voor GCP, mogelijk gemaakt door Microsoft Defender Vulnerability Management, machtigt u Defender voor Cloud om containerinstallatiekopieën in uw elastische containerregisters te scannen.
Defender voor Cloud detecteert automatisch alle containersregisters, opslagplaatsen en installatiekopieën (gemaakt vóór of na het inschakelen van deze mogelijkheid).
Eenmaal per dag en voor nieuwe installatiekopieën naar een register gepusht:
- Alle nieuw gedetecteerde installatiekopieën worden opgehaald en er wordt een inventaris gemaakt voor elke installatiekopie. Inventaris van installatiekopieën wordt bewaard om verdere pulls van installatiekopieën te voorkomen, tenzij dit vereist is voor nieuwe scannermogelijkheden.
- Met behulp van de inventaris worden beveiligingsrapporten gegenereerd voor nieuwe installatiekopieën en bijgewerkt voor installatiekopieën die de afgelopen 90 dagen naar een register zijn gepusht of die momenteel worden uitgevoerd. Om te bepalen of er momenteel een installatiekopieën worden uitgevoerd, gebruikt Defender voor Cloud zowel detectie zonder agent voor Kubernetes als inventaris die wordt verzameld via de Defender-sensor die wordt uitgevoerd op GKE-knooppunten
- Rapporten over beveiligingsproblemen voor registercontainerinstallatiekopieën worden als aanbeveling gegeven.
Voor klanten die gebruikmaken van detectie zonder agent voor Kubernetes of inventaris die wordt verzameld via de Defender-sensor die wordt uitgevoerd op GKE-knooppunten, wordt Defender voor Cloud ook een aanbeveling gemaakt voor het oplossen van beveiligingsproblemen voor kwetsbare installatiekopieën die worden uitgevoerd op een GKE-cluster. Voor klanten die alleen detectie zonder agent voor Kubernetes gebruiken, is de vernieuwingstijd voor de inventarisatie in deze aanbeveling eenmaal per zeven uur. Clusters waarop de Defender-sensor wordt uitgevoerd, profiteren van een vernieuwingsfrequentie van twee uur. Scanresultaten van installatiekopieën worden in beide gevallen bijgewerkt op basis van registerscan en worden daarom slechts elke 24 uur vernieuwd.
Notitie
Voor Defender voor containerregisters (afgeschaft) worden installatiekopieën eenmaal gescand op push, pull en opnieuw gescand slechts één keer per week.
Als ik een installatiekopieën uit mijn register verwijder, hoe lang voordat beveiligingsproblemen op die installatiekopieën worden verwijderd?
Het duurt 30 uur nadat een afbeelding is verwijderd uit Google-registers (GAR en GCR) voordat de rapporten worden verwijderd.
Volgende stappen
- Meer informatie over de Defender voor Cloud Defender-abonnementen.
- Bekijk veelgestelde vragen over Defender for Containers.