Evaluaties van beveiligingsproblemen voor Azure met Microsoft Defender Vulnerability Management
Evaluatie van beveiligingsproblemen voor Azure, mogelijk gemaakt door Microsoft Defender Vulnerability Management, is een out-of-box-oplossing waarmee beveiligingsteams beveiligingsteams eenvoudig beveiligingsproblemen in containerinstallatiekopieën kunnen detecteren en oplossen, met nul configuratie voor onboarding en zonder implementatie van agents.
Notitie
Deze functie biedt alleen ondersteuning voor het scannen van installatiekopieën in azure Container Registry (ACR). Installatiekopieën die zijn opgeslagen in andere containerregisters, moeten worden geïmporteerd in ACR voor dekking. Meer informatie over het importeren van containerinstallatiekopieën in een containerregister.
In elk abonnement waarvoor deze mogelijkheid is ingeschakeld, worden alle installatiekopieën die zijn opgeslagen in ACR die voldoen aan de criteria voor scantriggers gescand op beveiligingsproblemen zonder extra configuratie van gebruikers of registers. Aanbevelingen met rapporten over beveiligingsproblemen worden geleverd voor alle installatiekopieën in ACR en installatiekopieën die momenteel worden uitgevoerd in AKS die zijn opgehaald uit een ACR-register of een ander Defender voor Cloud ondersteund register (ECR, GCR of GAR). Installatiekopieën worden kort na het toevoegen aan een register gescand en elke 24 uur opnieuw gescand op nieuwe beveiligingsproblemen.
Evaluatie van beveiligingsproblemen van containers mogelijk gemaakt door Microsoft Defender Vulnerability Management heeft de volgende mogelijkheden:
- Het scannen van besturingssysteempakketten: evaluatie van beveiligingsproblemen in containers heeft de mogelijkheid om beveiligingsproblemen te scannen in pakketten die zijn geïnstalleerd door het besturingssysteempakketbeheer in Linux en Het Windows-besturingssysteem. Bekijk de volledige lijst met het ondersteunde besturingssysteem en de bijbehorende versies.
- Taalspecifieke pakketten , alleen Linux - ondersteuning voor taalspecifieke pakketten en bestanden, en hun afhankelijkheden die zijn geïnstalleerd of gekopieerd zonder besturingssysteempakketbeheer. Bekijk de volledige lijst met ondersteunde talen.
- Scannen van installatiekopieën in Azure Private Link : evaluatie van beveiligingsproblemen in Azure-containers biedt de mogelijkheid om installatiekopieën te scannen in containerregisters die toegankelijk zijn via Azure Private Links. Deze mogelijkheid vereist toegang tot vertrouwde services en verificatie met het register. Meer informatie over het toestaan van toegang door vertrouwde services.
- Exploitabiliteitsinformatie : elk rapport over beveiligingsproblemen wordt doorzocht via exploitabiliteitsdatabases om onze klanten te helpen bij het bepalen van het werkelijke risico dat is gekoppeld aan elk gerapporteerd beveiligingsprobleem.
- Rapportage : evaluatie van containerproblemen voor Azure, mogelijk gemaakt door Microsoft Defender Vulnerability Management, biedt rapporten over beveiligingsproblemen met behulp van de volgende aanbevelingen:
Dit zijn de nieuwe aanbevelingen die rapporteren over beveiligingsproblemen in runtimecontainers en beveiligingsproblemen met registerinstallatiekopieën. Ze zijn momenteel in preview, maar zijn bedoeld om de oude aanbevelingen te vervangen. Deze nieuwe aanbevelingen tellen niet mee voor een veilige score in de preview-fase. De scanengine voor beide sets aanbevelingen is hetzelfde.
| Aanbeveling | Beschrijving | Evaluatiesleutel |
|---|---|---|
| [Preview] Containerinstallatiekopieën in Het Azure-register moeten gevonden beveiligingsproblemen hebben opgelost | Defender voor Cloud scant uw registerinstallatiekopieën op bekende beveiligingsproblemen (CVE's) en biedt gedetailleerde bevindingen voor elke gescande installatiekopieën. Door beveiligingsproblemen voor containerinstallatiekopieën in het register te scannen en op te lossen, kunt u een veilige en betrouwbare softwareleveringsketen onderhouden, het risico op beveiligingsincidenten verminderen en naleving van industriestandaarden garanderen. | 33422d8f-ab1e-42be-bc9a-38685bb567b9 |
| [Preview] Containers die worden uitgevoerd in Azure, moeten gevonden beveiligingsproblemen hebben opgelost | Defender voor Cloud maakt een inventaris van alle containerworkloads die momenteel worden uitgevoerd in uw Kubernetes-clusters en biedt beveiligingsrapporten voor deze workloads door de gebruikte installatiekopieën en de rapporten over beveiligingsproblemen die zijn gemaakt voor de registerinstallatiekopieën te koppelen. Het scannen en oplossen van beveiligingsproblemen van containerworkloads is essentieel om een robuuste en veilige software-toeleveringsketen te garanderen, het risico op beveiligingsincidenten te verminderen en ervoor te zorgen dat de industriestandaarden voldoen. | e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 |
Dit zijn de oudere aanbevelingen die momenteel op een buitengebruikstellingspad staan:
| Aanbeveling | Beschrijving | Evaluatiesleutel |
|---|---|---|
| Azure Registry-containerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) | Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Het oplossen van beveiligingsproblemen kan uw beveiligingspostuur aanzienlijk verbeteren, zodat installatiekopieën veilig kunnen worden gebruikt vóór de implementatie. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) | Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare installatiekopieën die momenteel worden uitgevoerd in uw Kubernetes-clusters. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën die momenteel worden uitgevoerd, is essentieel voor het verbeteren van uw beveiligingspostuur, waardoor de kwetsbaarheid voor aanvallen voor uw in containers geplaatste workloads aanzienlijk wordt verminderd. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
- Query's uitvoeren op informatie over beveiligingsproblemen via Azure Resource Graph : mogelijkheid om informatie over beveiligingsproblemen op te vragen via Azure Resource Graph. Meer informatie over het opvragen van aanbevelingen via ARG.
- Queryscanresultaten via REST API : informatie over het opvragen van scanresultaten via REST API.
- Ondersteuning voor uitzonderingen : informatie over het maken van uitzonderingsregels voor een beheergroep, resourcegroep of abonnement.
- Ondersteuning voor het uitschakelen van beveiligingsproblemen - Meer informatie over het uitschakelen van beveiligingsproblemen op installatiekopieën.
Scantriggers
De triggers voor een afbeeldingsscan zijn:
Eenmalige triggering:
- Elke installatiekopieën die naar een containerregister zijn gepusht of geïmporteerd, worden geactiveerd om te worden gescand. In de meeste gevallen wordt de scan binnen een paar minuten voltooid, maar in zeldzame gevallen kan het een uur duren.
- Elke installatiekopie die uit een register wordt opgehaald, wordt binnen 24 uur gescand.
Continue herscantriggers : doorlopend opnieuw scannen is vereist om ervoor te zorgen dat installatiekopieën die eerder zijn gescand op beveiligingsproblemen opnieuw worden gescand om hun beveiligingsrapporten bij te werken voor het geval er een nieuw beveiligingsprobleem wordt gepubliceerd.
- Opnieuw scannen wordt eenmaal per dag uitgevoerd voor:
- Afbeeldingen die in de afgelopen 90 dagen zijn gepusht.
- Afbeeldingen die de afgelopen 30 dagen zijn opgehaald.
- Installatiekopieën die momenteel worden uitgevoerd op de Kubernetes-clusters die worden bewaakt door Defender voor Cloud (via detectie zonder agent voor Kubernetes of de Defender-sensor).
- Opnieuw scannen wordt eenmaal per dag uitgevoerd voor:
Hoe werkt het scannen van afbeeldingen?
Een gedetailleerde beschrijving van het scanproces wordt als volgt beschreven:
Wanneer u de evaluatie van beveiligingsproblemen van containers inschakelt voor Azure, mogelijk gemaakt door Microsoft Defender Vulnerability Management, autoriseert u Defender voor Cloud om containerinstallatiekopieën in uw Azure Container-registers te scannen.
Defender voor Cloud detecteert automatisch alle containersregisters, opslagplaatsen en installatiekopieën (gemaakt vóór of na het inschakelen van deze mogelijkheid).
Defender voor Cloud ontvangt meldingen wanneer een nieuwe installatiekopieën naar een Azure Container Registry worden gepusht. De nieuwe installatiekopieën worden vervolgens onmiddellijk toegevoegd aan de catalogus met afbeeldingen Defender voor Cloud onderhoudt en een actie in de wachtrij plaatsen om de afbeelding onmiddellijk te scannen.
Eenmaal per dag en voor nieuwe installatiekopieën naar een register gepusht:
- Alle nieuw gedetecteerde installatiekopieën worden opgehaald en er wordt een inventaris gemaakt voor elke installatiekopie. Inventaris van installatiekopieën wordt bewaard om verdere pulls van installatiekopieën te voorkomen, tenzij dit vereist is voor nieuwe scannermogelijkheden.
- Met behulp van de inventaris worden beveiligingsrapporten gegenereerd voor nieuwe installatiekopieën en bijgewerkt voor installatiekopieën die de afgelopen 90 dagen naar een register zijn gepusht of die momenteel worden uitgevoerd. Om te bepalen of er momenteel een installatiekopieën worden uitgevoerd, gebruikt Defender voor Cloud zowel detectie zonder agent voor Kubernetes als inventaris die wordt verzameld via de Defender-sensor die wordt uitgevoerd op AKS-knooppunten
- Rapporten over beveiligingsproblemen voor registercontainerinstallatiekopieën worden als aanbeveling gegeven.
Klanten die gebruikmaken van detectie zonder agent voor Kubernetes of inventaris die zijn verzameld via de Defender-sensor die wordt uitgevoerd op AKS-knooppunten, Defender voor Cloud ook een aanbeveling maken voor het oplossen van beveiligingsproblemen voor kwetsbare installatiekopieën die worden uitgevoerd op een AKS-cluster. Voor klanten die alleen detectie zonder agent voor Kubernetes gebruiken, is de vernieuwingstijd voor de inventarisatie in deze aanbeveling eenmaal per zeven uur. Clusters waarop de Defender-sensor wordt uitgevoerd, profiteren van een vernieuwingsfrequentie van twee uur. Scanresultaten van installatiekopieën worden in beide gevallen bijgewerkt op basis van registerscan en worden daarom slechts elke 24 uur vernieuwd.
Notitie
Voor Defender voor containerregisters (afgeschaft) worden installatiekopieën eenmaal gescand op push, pull en opnieuw gescand slechts één keer per week.
Als ik een installatiekopieën uit mijn register verwijder, hoe lang voordat beveiligingsproblemen op die installatiekopieën worden verwijderd?
Azure ContainerRegistries meldt Defender voor Cloud wanneer installatiekopieën worden verwijderd en verwijdert de evaluatie van beveiligingsproblemen voor verwijderde installatiekopieën binnen één uur. In sommige zeldzame gevallen wordt Defender voor Cloud mogelijk niet op de hoogte gesteld van het verwijderen en kan het verwijderen van gekoppelde beveiligingsproblemen in dergelijke gevallen tot drie dagen duren.
Volgende stappen
- Meer informatie over de Defender voor Cloud Defender-abonnementen.
- Bekijk veelgestelde vragen over Defender for Containers.