Wprowadzenie do usługi Microsoft Defender dla rejestrów kontenerów (przestarzałe)
Ważne
Rozpoczęliśmy publiczną wersję zapoznawcza oceny luk w zabezpieczeniach platformy Azure obsługiwaną przez rozwiązanie MDVM. Aby uzyskać więcej informacji, zobacz Oceny luk w zabezpieczeniach dla platformy Azure z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
Usługa Azure Container Registry (ACR) to zarządzana, prywatna usługa rejestru platformy Docker, która przechowuje obrazy kontenerów dla wdrożeń platformy Azure i zarządza nimi w rejestrze centralnym. Jest on oparty na rejestrze platformy Docker typu open source 2.0.
Aby chronić rejestry oparte na usłudze Azure Resource Manager w ramach subskrypcji, włącz usługę Microsoft Defender dla rejestrów kontenerów na poziomie subskrypcji. Defender dla Chmury następnie przeskanuje wszystkie obrazy po wypchnięciu ich do rejestru, zaimportowaniu do rejestru lub ściągnięciu w ciągu ostatnich 30 dni. Opłata zostanie naliczona za każdy skanowany obraz — raz na obraz.
Dostępność
Ważne
Usługa Microsoft Defender dla rejestrów kontenerów została zastąpiona usługą Microsoft Defender for Containers. Jeśli włączono już usługę Defender dla rejestrów kontenerów w ramach subskrypcji, możesz nadal z niej korzystać. Nie uzyskasz jednak ulepszeń i nowych funkcji usługi Defender for Containers.
Ten plan nie jest już dostępny dla subskrypcji, w których nie została jeszcze włączona.
Aby przeprowadzić uaktualnienie do usługi Microsoft Defender for Containers, otwórz stronę Planów usługi Defender w portalu i włącz nowy plan:
Dowiedz się więcej o tej zmianie w uwagach o wersji.
| Aspekt | Szczegóły |
|---|---|
| Stan wydania: | Przestarzałe (użyj usługi Microsoft Defender dla kontenerów) |
| Obsługiwane rejestry i obrazy: | Obrazy systemu Linux w rejestrach usługi ACR dostępne z publicznego Internetu z dostępem do powłoki Rejestry usługi ACR chronione za pomocą usługi Azure Private Link |
| Nieobsługiwane rejestry i obrazy: | Obrazy systemu Windows Rejestry "Prywatne" (chyba że udzielono dostępu do zaufanych usług) Bardzo minimalistyczne obrazy, takie jak obrazy tymczasowe platformy Docker lub obrazy "bez dystrybucji", które zawierają tylko aplikację i jej zależności środowiska uruchomieniowego bez menedżera pakietów, powłoki lub systemu operacyjnego Obrazy ze specyfikacją formatu obrazu Open Container Initiative (OCI) |
| Wymagane role i uprawnienia: | Czytelnik zabezpieczeń i role i uprawnienia usługi Azure Container Registry |
| Chmury: |  Chmury komercyjne National (Azure Government, Microsoft Azure obsługiwane przez firmę 21Vianet) |
Jakie są zalety usługi Microsoft Defender dla rejestrów kontenerów?
Defender dla Chmury identyfikuje rejestry usługi ACR oparte na usłudze Azure Resource Manager w ramach subskrypcji i bezproblemowo udostępnia natywną ocenę luk w zabezpieczeniach platformy Azure i zarządzanie obrazami rejestru.
Usługa Microsoft Defender dla rejestrów kontenerów zawiera skaner luk w zabezpieczeniach do skanowania obrazów w rejestrach usługi Azure Container Registry opartych na usłudze Azure Resource Manager i zapewnia lepszy wgląd w luki w zabezpieczeniach obrazów.
Po znalezieniu problemów otrzymasz powiadomienie na pulpicie nawigacyjnym ochrony obciążenia. W przypadku każdej luki w zabezpieczeniach Defender dla Chmury udostępnia zalecenia umożliwiające podejmowanie działań oraz klasyfikację ważności oraz wskazówki dotyczące rozwiązywania problemu. Aby uzyskać szczegółowe informacje o zaleceniach Defender dla Chmury dotyczących kontenerów, zobacz listę zaleceń referencyjnych.
Defender dla Chmury filtruje i klasyfikuje wyniki ze skanera. Gdy obraz jest w dobrej kondycji, Defender dla Chmury tak go oznacza. Defender dla Chmury generuje zalecenia dotyczące zabezpieczeń tylko dla obrazów, które mają problemy do rozwiązania. Defender dla Chmury zawiera szczegółowe informacje na temat każdej zgłoszonej luki w zabezpieczeniach i klasyfikacji ważności. Ponadto zawiera wskazówki dotyczące korygowania określonych luk w zabezpieczeniach znalezionych na każdym obrazie.
Powiadom tylko wtedy, gdy występują problemy, Defender dla Chmury zmniejsza potencjał niepożądanych alertów informacyjnych.
Kiedy obrazy są skanowane?
Istnieją trzy wyzwalacze skanowania obrazów:
Podczas wypychania — za każdym razem, gdy obraz jest wypychany do rejestru, usługa Defender dla rejestrów kontenerów automatycznie skanuje ten obraz. Aby wyzwolić skanowanie obrazu, wypchnij go do repozytorium.
Ostatnio ściągane — ponieważ nowe luki w zabezpieczeniach są wykrywane codziennie, usługa Microsoft Defender dla rejestrów kontenerów skanuje również co tydzień wszystkie obrazy, które zostały pobrane w ciągu ostatnich 30 dni. Za te operacje ponownego skanowania nie są naliczane dodatkowe opłaty; jak wspomniano powyżej, opłaty są naliczane raz na obraz.
Podczas importowania — usługa Azure Container Registry ma narzędzia do importowania obrazów do rejestru z usługi Docker Hub, Microsoft Container Registry lub innego rejestru kontenerów platformy Azure. Usługa Microsoft Defender dla rejestrów kontenerów skanuje wszystkie importowane obrazy obsługiwane. Dowiedz się więcej w temacie Importowanie obrazów kontenerów do rejestru kontenerów.
Skanowanie trwa zwykle w ciągu 2 minut, ale może upłynąć do 40 minut. Wyniki są udostępniane jako zalecenia dotyczące zabezpieczeń, takie jak te:
Jak działa Defender dla Chmury z usługą Azure Container Registry
Poniżej przedstawiono ogólny diagram składników i korzyści z ochrony rejestrów przy użyciu Defender dla Chmury.
Często zadawane pytania — skanowanie obrazów usługi Azure Container Registry
Jak Defender dla Chmury skanować obraz?
Defender dla Chmury ściąga obraz z rejestru i uruchamia go w izolowanej piaskownicy ze skanerem. Skaner wyodrębnia listę znanych luk w zabezpieczeniach.
Defender dla Chmury filtruje i klasyfikuje wyniki ze skanera. Gdy obraz jest w dobrej kondycji, Defender dla Chmury tak go oznacza. Defender dla Chmury generuje zalecenia dotyczące zabezpieczeń tylko dla obrazów, które mają problemy do rozwiązania. Powiadamiając tylko o problemach, Defender dla Chmury ogranicza ilość niepożądanych alertów z informacjami.
Czy mogę uzyskać wyniki skanowania za pośrednictwem interfejsu API REST?
Tak. Wyniki znajdują się w obszarze Interfejs API REST ocen podrzędnych. Ponadto możesz użyć usługi Azure Resource Graph (ARG), interfejsu API przypominającego usługę Kusto dla wszystkich zasobów: zapytanie może pobrać określone skanowanie.
Jakie typy rejestru są skanowane? Jakie typy są rozliczane?
Aby uzyskać listę typów rejestrów kontenerów obsługiwanych przez usługę Microsoft Defender dla rejestrów kontenerów, zobacz Dostępność.
Jeśli połączysz nieobsługiwane rejestry z subskrypcją platformy Azure, Defender dla Chmury nie będzie ich skanować i nie będą naliczane opłaty za nie.
Czy mogę dostosować wyniki ze skanera luk w zabezpieczeniach?
Tak. Jeśli masz organizacyjną potrzebę ignorowania znajdowania, a nie korygowania, możesz ją opcjonalnie wyłączyć. Wyłączone wyniki nie wpływają na wskaźnik bezpieczeństwa ani nie generują niechcianego szumu.
Dowiedz się więcej o tworzeniu reguł wyłączania wyników ze zintegrowanego narzędzia do oceny luk w zabezpieczeniach.
Dlaczego Defender dla Chmury wysyłać do mnie alerty o lukach w zabezpieczeniach dotyczących obrazu, który nie znajduje się w moim rejestrze?
Defender dla Chmury zapewnia oceny luk w zabezpieczeniach dla każdego obrazu wypychanego lub ściąganego w rejestrze. Niektóre obrazy mogą używać ponownie tagów z obrazu, który został już zeskanowany. Możesz na przykład ponownie przypisać tag "Latest" za każdym razem, gdy dodasz obraz do skrótu. W takich przypadkach obraz "stary" nadal istnieje w rejestrze i może być nadal ściągany przez jego skrót. Jeśli obraz zawiera wyniki zabezpieczeń i jest ściągany, uwidacznia luki w zabezpieczeniach.