Delen via


Inleiding tot Microsoft Defender voor containerregisters (afgeschaft)

Belangrijk

We zijn begonnen met een openbare preview van Azure Vulnerability Assessment, mogelijk gemaakt door MDVM. Zie Evaluaties van beveiligingsproblemen voor Azure met Microsoft Defender Vulnerability Management voor meer informatie.

Azure Container Registry (ACR) is een beheerde, privé-Docker-registerservice die uw containerinstallatiekopieën voor Azure-implementaties in een centraal register opslaat en beheert. Het is gebaseerd op het opensource Docker Registry 2.0.

Als u de op Azure Resource Manager gebaseerde registers in uw abonnement wilt beveiligen, schakelt u Microsoft Defender in voor containerregisters op abonnementsniveau. Defender voor Cloud scant vervolgens alle installatiekopieën wanneer ze naar het register worden gepusht, geïmporteerd in het register of binnen de afgelopen 30 dagen worden opgehaald. Er worden kosten in rekening gebracht voor elke afbeelding die wordt gescand, één keer per afbeelding.

Beschikbaarheid

Belangrijk

Microsoft Defender voor containerregisters is vervangen door Microsoft Defender for Containers. Als u Defender al hebt ingeschakeld voor containerregisters in een abonnement, kunt u deze blijven gebruiken. U krijgt echter geen verbeteringen en nieuwe functies van Defender for Containers.

Dit abonnement is niet meer beschikbaar voor abonnementen waarvoor dit nog niet is ingeschakeld.

Als u een upgrade wilt uitvoeren naar Microsoft Defender for Containers, opent u de pagina Defender-abonnementen in de portal en schakelt u het nieuwe abonnement in:

Schakel Microsoft Defender for Containers in vanaf de pagina Defender-abonnementen.

Meer informatie over deze wijziging vindt u in de releasenotitie.

Aspect DETAILS
Releasestatus: Afgeschaft (Microsoft Defender for Containers gebruiken)
Ondersteunde registers en installatiekopieën: Linux-installatiekopieën in ACR-registers die toegankelijk zijn via het internet en shell-toegang hebben
ACR-registers die zijn beveiligd met Azure Private Link
Niet-ondersteunde registers en installatiekopieën: Windows-installatiekopieën
Privéregisters (tenzij toegang wordt verleend aan Vertrouwde services)
Superminimalistische installatiekopieën als Docker scratch of 'Distroless-installatiekopieën' die alleen een toepassing bevatten en de runtime-afhankelijkheden ervan, zonder pakketbeheerder, shell of besturingssysteem
Installatiekopieën met OCI-indelingsspecificatie (Open Container Initiative)
Vereiste rollen en machtigingen: Beveiligingslezer en Azure Container Registry-rollen en -machtigingen
Clouds: Commerciële clouds
National (Azure Government, Microsoft Azure beheerd door 21Vianet)

Wat zijn de voordelen van Microsoft Defender voor containerregisters?

Defender voor Cloud identificeert ACR-registers op basis van Azure Resource Manager in uw abonnement en biedt naadloos azure-systeemeigen evaluatie en beheer van beveiligingsproblemen voor de installatiekopieën van uw register.

Microsoft Defender voor containerregisters bevat een scanner voor beveiligingsproblemen om de installatiekopieën in uw Azure Resource Manager-gebaseerde Azure Container Registry-registers te scannen en meer inzicht te bieden in de beveiligingsproblemen van uw installatiekopieën.

Wanneer er problemen worden gevonden, krijgt u een melding in het dashboard voor workloadbeveiliging. Voor elk beveiligingsprobleem biedt Defender voor Cloud bruikbare aanbevelingen, samen met een ernstclassificatie en richtlijnen voor het oplossen van het probleem. Meer informatie over aanbevelingen voor containers.

Defender voor Cloud filtert en classificeert bevindingen van de scanner. Wanneer een afbeelding in orde is, markeert Defender voor Cloud deze als zodanig. Defender voor Cloud genereert alleen aanbevelingen voor de beveiliging ten aanzien van installatiekopieën waarvoor problemen moeten worden opgelost. Defender voor Cloud bevat details van elk gerapporteerd beveiligingsprobleem en een classificatie van ernst. Daarnaast geeft het richtlijnen voor het herstellen van de specifieke beveiligingsproblemen die in elke installatiekopie worden gevonden.

Door alleen te melden wanneer er problemen zijn, vermindert Defender voor Cloud het potentieel voor ongewenste informatieve waarschuwingen.

Wanneer worden installatiekopieën gescand?

Er zijn drie triggers voor het scannen van installatiekopieën:

  • Bij push : wanneer een installatiekopieën naar uw register worden gepusht, scant Defender voor containerregisters die installatiekopieën automatisch. U kunt het scannen van een installatiekopie activeren door deze naar uw opslagplaats te pushen.

  • Onlangs opgehaald : omdat er elke dag nieuwe beveiligingsproblemen worden gedetecteerd, scant Microsoft Defender voor containerregisters ook wekelijks alle installatiekopieën die in de afgelopen 30 dagen zijn opgehaald. Er worden geen extra kosten in rekening gebracht voor deze herscans; zoals hierboven vermeld, wordt u eenmaal per afbeelding gefactureerd.

  • Bij import: Azure Container Registry heeft functies voor het importeren van installatiekopieën in uw register vanuit Docker Hub, Microsoft-containerregister of een ander Azure-containerregister. Microsoft Defender voor containerregisters scant alle ondersteunde installatiekopieën die u importeert. Zie Containerinstallatiekopieën importeren in een containerregister voor meer informatie.

De scan wordt doorgaans binnen 2 minuten voltooid, maar het kan tot 40 minuten duren. Bevindingen worden beschikbaar gesteld als beveiligingsaankopen zoals deze:

Voorbeeld van Microsoft Defender voor Cloud aanbeveling over beveiligingsproblemen die zijn gedetecteerd in een door Azure Container Registry (ACR) gehoste installatiekopie.

Hoe werkt Defender voor Cloud met Azure Container Registry?

Hieronder ziet u een diagram op hoog niveau van de onderdelen en voordelen van het beveiligen van uw registers met Defender voor Cloud.

overzicht van Microsoft Defender voor Cloud en Azure Container Registry (ACR).

Veelgestelde vragen - Scannen van installatiekopieën in Azure Container Registry

Hoe scant Defender voor Cloud een afbeelding?

Defender voor Cloud haalt de installatiekopie op uit het register en voert deze uit in een geïsoleerde sandbox met de scanner. De scanner extraheert een lijst met bekende beveiligingsproblemen.

Defender voor Cloud filtert en classificeert bevindingen van de scanner. Wanneer een afbeelding in orde is, markeert Defender voor Cloud deze als zodanig. Defender voor Cloud genereert alleen aanbevelingen voor de beveiliging ten aanzien van installatiekopieën waarvoor problemen moeten worden opgelost. Door alleen u een melding te geven als er problemen zijn, vermindert Defender voor Cloud het potentieel voor ongewenste informatieve waarschuwingen.

Kan ik de scanresultaten verkrijgen via REST API?

Ja. De resultaten bevinden zich onder de REST API voor subevaluaties. U kunt ook gebruikmaken van Azure Resource Graph (ARG), de Kusto-achtige API voor al uw resources: een query kan een specifieke scan ophalen.

Welke registertypen worden gescand? Welke typen worden gefactureerd?

Zie Beschikbaarheid voor een lijst met de typen containerregisters die worden ondersteund door Microsoft Defender voor containerregisters.

Als u niet-ondersteunde registers verbindt met uw Azure-abonnement, scant Defender voor Cloud deze niet en wordt u er geen factuur voor in rekening gebracht.

Kan ik de bevindingen van de kwetsbaarheidsscanner aanpassen?

Ja. Als u een organisatorische behoefte hebt om een resultaat te negeren in plaats van dit te herstellen, kunt u het eventueel uitschakelen. Uitgeschakelde resultaten hebben geen invloed op uw beveiligingsscore en genereren geen ongewenste ruis.

Meer informatie over het maken van rollen om bevindingen uit te schakelen uit het geïntegreerde evaluatiehulpprogramma voor beveiligingsproblemen.

Waarom waarschuwt Defender voor Cloud mij voor beveiligingsproblemen over een installatiekopieën die zich niet in mijn register bevindt?

Defender voor Cloud biedt evaluaties van beveiligingsproblemen voor elke installatiekopie die in een register is gepusht of opgehaald. Sommige afbeeldingen kunnen tags hergebruiken van een installatiekopieën die al zijn gescand. U kunt bijvoorbeeld de tag 'Laatste' telkens opnieuw toewijzen wanneer u een afbeelding aan een samenvatting toevoegt. In dergelijke gevallen bestaat de 'oude' installatiekopie nog steeds in het register en kan deze nog steeds worden opgehaald door de digest. Als er beveiligingsresultaten voor deze installatiekopie zijn en deze wordt opgehaald, worden er beveiligingsproblemen vastgesteld.

Volgende stappen