Inleiding tot Microsoft Defender voor containerregisters (afgeschaft)
Azure Container Registry (ACR) is een beheerde, privé-Docker-registerservice die uw containerinstallatiekopieën voor Azure-implementaties in een centraal register opslaat en beheert. Het is gebaseerd op het opensource Docker Registry 2.0.
Als u de op Azure Resource Manager gebaseerde registers in uw abonnement wilt beveiligen, schakelt u Microsoft Defender in voor containerregisters op abonnementsniveau. Defender voor Cloud scant vervolgens alle installatiekopieën wanneer ze in de afgelopen 30 dagen naar het register worden gepusht, geïmporteerd in het register of worden opgehaald. Er worden kosten in rekening gebracht voor elke afbeelding die wordt gescand, één keer per afbeelding.
Beschikbaarheid
Belangrijk
Microsoft Defender voor containerregisters is vervangen door Microsoft Defender voor containers. Als u Defender al hebt ingeschakeld voor containerregisters in een abonnement, kunt u dit blijven gebruiken. U krijgt echter geen verbeteringen en nieuwe functies van Defender for Containers.
Dit abonnement is niet meer beschikbaar voor abonnementen waarvoor dit nog niet is ingeschakeld.
Als u wilt upgraden naar Microsoft Defender voor containers, opent u de pagina Defender-abonnementen in de portal en schakelt u het nieuwe plan in:
Meer informatie over deze wijziging vindt u in de releaseopmerking.
| Aspect | Details |
|---|---|
| Releasestatus: | Afgeschaft (gebruik Microsoft Defender voor containers) |
| Prijzen: | Microsoft Defender voor containerregisters wordt gefactureerd zoals wordt weergegeven op de pagina met prijzen |
| Ondersteunde registers en installatiekopieën: | Linux-installatiekopieën in ACR-registers die toegankelijk zijn via het internet en shell-toegang hebben ACR-registers beveiligd met Azure Private Link |
| Niet-ondersteunde registers en installatiekopieën: | Windows-installatiekopieën Privéregisters (tenzij toegang wordt verleend tot vertrouwde services) Superminimalistische installatiekopieën als Docker scratch of 'Distroless-installatiekopieën' die alleen een toepassing bevatten en de runtime-afhankelijkheden ervan, zonder pakketbeheerder, shell of besturingssysteem Installatiekopieën met OCI -indelingsspecificatie (Open Container Initiative) |
| Vereiste rollen en machtigingen: | Beveiligingslezer en Azure Container Registry-rollen en -machtigingen |
| Clouds: |  Commerciële cloudsNationaal (Azure Government, Azure China 21Vianet) |
Wat zijn de voordelen van Microsoft Defender voor containerregisters?
Defender for Cloud identificeert ACR-registers op basis van Azure Resource Manager in uw abonnement en biedt naadloos Azure-systeemeigen evaluatie en beheer van beveiligingsproblemen voor de installatiekopieën van uw register.
Microsoft Defender voor containerregisters bevat een scanner voor beveiligingsproblemen om de installatiekopieën in uw op Azure Resource Manager gebaseerde Azure Container Registry registers te scannen en meer inzicht te geven in de beveiligingsproblemen van uw installatiekopieën. De geïntegreerde scanner wordt aangestuurd door Qualys, de toonaangevende leverancier voor het scannen op beveiligingsproblemen.
Wanneer er problemen worden gevonden, door Qualys of Defender for Cloud, krijgt u een melding in het dashboard voor workloadbeveiliging. Voor elk beveiligingsprobleem biedt Defender voor Cloud bruikbare aanbevelingen, samen met een ernstclassificatie en richtlijnen voor het oplossen van het probleem. Zie de referentielijst met aanbevelingen voor meer informatie over de aanbevelingen van Defender for Cloud voor containers.
Defender for Cloud filtert en classificeert bevindingen van de scanner. Wanneer een afbeelding in orde is, markeert Defender voor Cloud deze als zodanig. Defender voor Cloud genereert alleen beveiligingsaanbeveling voor installatiekopieën waarvoor problemen moeten worden opgelost. Defender voor Cloud biedt details van elk gemeld beveiligingsprobleem en een ernstclassificatie. Daarnaast geeft het richtlijnen voor het herstellen van de specifieke beveiligingsproblemen die in elke installatiekopie worden gevonden.
Door alleen te waarschuwen wanneer er problemen zijn, vermindert Defender voor Cloud de kans op ongewenste informatieve waarschuwingen.
Wanneer worden installatiekopieën gescand?
Er zijn drie triggers voor het scannen van installatiekopieën:
Bij push : wanneer een installatiekopieën naar het register worden gepusht, scant Defender voor containerregisters die installatiekopieën automatisch. U kunt het scannen van een installatiekopie activeren door deze naar uw opslagplaats te pushen.
Recent opgehaald: omdat er elke dag nieuwe beveiligingsproblemen worden gedetecteerd, scant Microsoft Defender voor containerregisters ook wekelijks elke installatiekopie die in de afgelopen 30 dagen is opgehaald. Er worden geen extra kosten in rekening gebracht voor deze nieuwe scan; Zoals hierboven vermeld, wordt u één keer per afbeelding gefactureerd.
Bij import: Azure Container Registry heeft functies voor het importeren van installatiekopieën in uw register vanuit Docker Hub, Microsoft-containerregister of een ander Azure-containerregister. Microsoft Defender voor containerregisters scant alle ondersteunde installatiekopieën die u importeert. Zie Containerinstallatiekopieën importeren in een containerregister voor meer informatie.
De scan wordt doorgaans binnen 2 minuten voltooid, maar het kan maximaal 40 minuten duren. Bevindingen worden beschikbaar gesteld als beveiligingsaanbevelingen zoals deze:
Hoe werkt Defender for Cloud met Azure Container Registry
Hieronder ziet u een diagram op hoog niveau van de onderdelen en voordelen van het beveiligen van uw registers met Defender for Cloud.
Veelgestelde vragen - scannen van Azure Container Registry-installatiekopieën
Hoe scant Defender voor Cloud een afbeelding?
Defender voor Cloud haalt de installatiekopie op uit het register en voert deze uit in een geïsoleerde sandbox met de Qualys-scanner. De scanner extraheert een lijst met bekende beveiligingsproblemen.
Defender for Cloud filtert en classificeert bevindingen van de scanner. Wanneer een afbeelding in orde is, markeert Defender voor Cloud deze als zodanig. Defender voor Cloud genereert alleen beveiligingsaanbeveling voor installatiekopieën waarvoor problemen moeten worden opgelost. Door u alleen op de hoogte te stellen wanneer er problemen zijn, vermindert Defender voor Cloud de kans op ongewenste informatieve waarschuwingen.
Kan ik de scanresultaten verkrijgen via REST API?
Ja. De resultaten bevinden zich onder Sub-evaluaties REST API. U kunt ook gebruikmaken van Azure Resource Graph (ARG), de Kusto-achtige API voor al uw resources: een query kan een specifieke scan ophalen.
Welke registertypen worden gescand? Welke typen worden gefactureerd?
Zie Beschikbaarheid voor een lijst met de typen containerregisters die worden ondersteund door Microsoft Defender voor containerregisters.
Als u niet-ondersteunde registers koppelt aan uw Azure-abonnement, scant Defender voor Cloud deze niet en factureren ze niet.
Kan ik de bevindingen van de kwetsbaarheidsscanner aanpassen?
Ja. Als u een organisatorische behoefte hebt om een resultaat te negeren in plaats van dit te herstellen, kunt u het eventueel uitschakelen. Uitgeschakelde resultaten hebben geen invloed op uw beveiligingsscore en genereren geen ongewenste ruis.
Waarom waarschuwt Defender voor Cloud mij voor beveiligingsproblemen over een installatiekopieën die niet in mijn register staan?
Defender voor Cloud biedt evaluaties van beveiligingsproblemen voor elke installatiekopie die in een register wordt gepusht of opgehaald. Het kan zijn dat sommige installatiekopieën tags gebruiken van een installatiekopie die al is gescand. U kunt bijvoorbeeld de tag 'Meest recent' telkens opnieuw toewijzen wanneer u een installatiekopie aan een samenvatting toevoegt. In dergelijke gevallen is de 'oude' installatiekopie nog steeds aanwezig in het register en kan deze nog steeds worden opgehaald door de samenvatting. Als er beveiligingsresultaten voor deze installatiekopie zijn en deze wordt opgehaald, worden er beveiligingsproblemen vastgesteld.