Oceny luk w zabezpieczeniach dla platformy Azure z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender

  • Artykuł

Ocena luk w zabezpieczeniach dla platformy Azure obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender to gotowe rozwiązanie, które umożliwia zespołom ds. zabezpieczeń łatwe odnajdywanie i korygowanie luk w zabezpieczeniach obrazów kontenerów z zerową konfiguracją dołączania i bez wdrażania żadnych agentów.

Uwaga

Ta funkcja obsługuje skanowanie obrazów tylko w usłudze Azure Container Registry (ACR). Obrazy przechowywane w innych rejestrach kontenerów powinny być importowane do usługi ACR na potrzeby pokrycia. Dowiedz się, jak zaimportować obrazy kontenerów do rejestru kontenerów.

W każdej subskrypcji, w której ta funkcja jest włączona, wszystkie obrazy przechowywane w usłudze ACR spełniające kryteria wyzwalaczy skanowania są skanowane pod kątem luk w zabezpieczeniach bez dodatkowej konfiguracji użytkowników lub rejestrów. Rekomendacje z raportami luk w zabezpieczeniach są udostępniane dla wszystkich obrazów w usłudze ACR, a także obrazów, które są obecnie uruchomione w usłudze AKS, które zostały pobrane z rejestru usługi ACR lub dowolnego innego Defender dla Chmury obsługiwanego rejestru (ECR, GCR lub GAR). Obrazy są skanowane wkrótce po dodaniu do rejestru i przeskanowane ponownie pod kątem nowych luk w zabezpieczeniach co 24 godziny.

Ocena luk w zabezpieczeniach kontenerów obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender ma następujące możliwości:

  • Skanowanie pakietów systemu operacyjnego — ocena luk w zabezpieczeniach kontenera umożliwia skanowanie luk w zabezpieczeniach w pakietach zainstalowanych przez menedżera pakietów systemu operacyjnego w systemach operacyjnych Linux i Windows. Zobacz pełną listę obsługiwanych systemów operacyjnych i ich wersji.
  • Pakiety specyficzne dla języka — tylko system Linux — obsługa pakietów i plików specyficznych dla języka oraz ich zależności zainstalowanych lub kopiowanych bez menedżera pakietów systemu operacyjnego. Zobacz pełną listę obsługiwanych języków.
  • Skanowanie obrazów w usłudze Azure Private Link — ocena luk w zabezpieczeniach kontenerów platformy Azure umożliwia skanowanie obrazów w rejestrach kontenerów dostępnych za pośrednictwem usługi Azure Private Links. Ta funkcja wymaga dostępu do zaufanych usług i uwierzytelniania w rejestrze. Dowiedz się, jak zezwolić na dostęp przez zaufane usługi.
  • Informacje o możliwości wykorzystania — każdy raport o lukach w zabezpieczeniach jest przeszukiwany za pośrednictwem baz danych możliwości wykorzystania, aby pomóc naszym klientom w ustaleniu rzeczywistego ryzyka związanego z każdą zgłoszoną luką w zabezpieczeniach.
  • Raportowanie — ocena luk w zabezpieczeniach kontenerów dla platformy Azure obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender udostępnia raporty dotyczące luk w zabezpieczeniach, korzystając z następujących zaleceń:

Są to nowe zalecenia, które zgłaszają luki w zabezpieczeniach kontenera środowiska uruchomieniowego i luki w zabezpieczeniach obrazu rejestru. Są one obecnie dostępne w wersji zapoznawczej, ale mają zastąpić stare zalecenia. Te nowe rekomendacje nie są wliczane do wskaźnika bezpieczeństwa podczas pracy w wersji zapoznawczej. Aparat skanowania dla obu zestawów zaleceń jest taki sam.

Zalecenie opis Klucz oceny
[Wersja zapoznawcza] Obrazy kontenerów w rejestrze platformy Azure powinny mieć rozwiązane problemy z lukami w zabezpieczeniach Defender dla Chmury skanuje obrazy rejestru pod kątem znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowe wyniki dla każdego zeskanowanego obrazu. Skanowanie i korygowanie luk w zabezpieczeniach obrazów kontenerów w rejestrze pomaga zachować bezpieczny i niezawodny łańcuch dostaw oprogramowania, zmniejsza ryzyko zdarzeń związanych z bezpieczeństwem i zapewnia zgodność ze standardami branżowymi. 33422d8f-ab1e-42be-bc9a-38685bb567b9
[Wersja zapoznawcza] Kontenery uruchomione na platformie Azure powinny mieć rozwiązane problemy z lukami w zabezpieczeniach   Defender dla Chmury tworzy spis wszystkich obciążeń kontenerów aktualnie uruchomionych w klastrach Kubernetes i udostępnia raporty luk w zabezpieczeniach dla tych obciążeń, pasując do używanych obrazów i raportów luk w zabezpieczeniach utworzonych dla obrazów rejestru. Skanowanie i korygowanie luk w zabezpieczeniach obciążeń kontenerów ma kluczowe znaczenie dla zapewnienia niezawodnego i bezpiecznego łańcucha dostaw oprogramowania, zmniejszenia ryzyka zdarzeń bezpieczeństwa i zapewnienia zgodności ze standardami branżowymi. e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0

Są to starsze zalecenia, które są obecnie na ścieżce wycofania:

Zalecenie opis Klucz oceny
Obrazy kontenerów usługi Azure Registry powinny mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. Rozwiązywanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń, zapewniając bezpieczeństwo obrazów przed wdrożeniem. c0b7cfc6-3172-465a-b378-53c7ff2cc0d5
Platforma Azure z uruchomionymi obrazami kontenerów powinna mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender)   Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. To zalecenie zapewnia widoczność narażonych obrazów aktualnie uruchomionych w klastrach Kubernetes. Korygowanie luk w zabezpieczeniach obrazów kontenerów, które są aktualnie uruchomione, ma kluczowe znaczenie dla poprawy stanu zabezpieczeń, co znacznie zmniejsza obszar ataków dla konteneryzowanych obciążeń. c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

Wyzwalacze skanowania

Wyzwalacze skanowania obrazów to:

  • Wyzwalanie jednorazowe:

    • Każdy obraz wypchnięty lub zaimportowany do rejestru kontenerów jest wyzwalany do skanowania. W większości przypadków skanowanie jest wykonywane w ciągu kilku minut, ale w rzadkich przypadkach może upłynąć do godziny.
    • Każdy obraz pobrany z rejestru jest wyzwalany do skanowania w ciągu 24 godzin.

  • Wyzwalanie ciągłego ponownego skanowania — ciągłe ponowne skanowanie jest wymagane, aby upewnić się, że obrazy, które zostały wcześniej zeskanowane pod kątem luk w zabezpieczeniach, są ponownie skanowane w celu zaktualizowania raportów luk w zabezpieczeniach na wypadek opublikowania nowej luki w zabezpieczeniach.

    • Ponowne skanowanie jest wykonywane raz dziennie dla:
      • Obrazy wypchnięte w ciągu ostatnich 90 dni.
      • Obrazy pobierane w ciągu ostatnich 30 dni.
      • Obrazy aktualnie uruchomione w klastrach Kubernetes monitorowanych przez Defender dla Chmury (za pośrednictwem odnajdywania bez agenta dla platformy Kubernetes lub czujnika usługi Defender).

Jak działa skanowanie obrazów?

Szczegółowy opis procesu skanowania jest opisany w następujący sposób:

  • Po włączeniu oceny luk w zabezpieczeniach kontenera dla platformy Azure obsługiwanej przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender autoryzujesz Defender dla Chmury do skanowania obrazów kontenerów w rejestrach kontenerów platformy Azure.

  • Defender dla Chmury automatycznie odnajduje wszystkie rejestry kontenerów, repozytoria i obrazy (utworzone przed włączeniem tej funkcji lub po jej włączeniu).

  • Defender dla Chmury odbiera powiadomienia za każdym razem, gdy nowy obraz zostanie wypchnięty do usługi Azure Container Registry. Nowy obraz jest następnie natychmiast dodawany do katalogu obrazów, Defender dla Chmury utrzymuje, a następnie kolejkuje akcję w celu natychmiastowego skanowania obrazu.

  • Raz dziennie i w przypadku nowych obrazów wypchniętych do rejestru:

    • Wszystkie nowo odnalezione obrazy są ściągane, a dla każdego obrazu jest tworzony spis. Spis obrazów jest zachowywany, aby uniknąć dalszych ściągnięcia obrazów, chyba że są wymagane przez nowe możliwości skanera.
    • Korzystając ze spisu, raporty luk w zabezpieczeniach są generowane dla nowych obrazów i aktualizowane pod kątem obrazów, które zostały wcześniej przeskanowane w ciągu ostatnich 90 dni do rejestru lub są obecnie uruchomione. Aby określić, czy obraz jest aktualnie uruchomiony, Defender dla Chmury używa odnajdywania bez agenta dla platformy Kubernetes i spisu zebranego za pośrednictwem czujnika usługi Defender uruchomionego w węzłach usługi AKS
    • Raporty dotyczące luk w zabezpieczeniach dla obrazów kontenerów rejestru są udostępniane jako zalecenie.

  • W przypadku klientów korzystających z odnajdywania bez agenta dla platformy Kubernetes lub spisu zebranych za pośrednictwem czujnika usługi Defender działającego w węzłach usługi AKS Defender dla Chmury również tworzy zalecenie dotyczące korygowania luk w zabezpieczeniach obrazów działających w klastrze usługi AKS. W przypadku klientów korzystających tylko z odnajdywania bez agenta dla platformy Kubernetes czas odświeżania spisu w tym rekomendacji jest co siedem godzin. Klastry z uruchomionym czujnikiem usługi Defender korzystają z dwugodzinnej częstotliwości odświeżania spisu. Wyniki skanowania obrazów są aktualizowane na podstawie skanowania rejestru w obu przypadkach i dlatego są odświeżane tylko co 24 godziny.

Uwaga

W przypadku rejestrów kontenerów usługi Defender dla kontenerów (przestarzałych) obrazy są skanowane raz po wypchnięciu, przy ściąganiu i ponownie skanowane tylko raz w tygodniu.

Jeśli usuniem obraz z rejestru, jak długo przed usunięciem raportów o lukach w zabezpieczeniach na tym obrazie zostanie usunięty?

Rejestry kontenerów platformy Azure powiadamiają Defender dla Chmury o usunięciu obrazów i usuwa ocenę luk w zabezpieczeniach dla usuniętych obrazów w ciągu jednej godziny. W niektórych rzadkich przypadkach Defender dla Chmury mogą nie być powiadamiane o usunięciu, a usunięcie skojarzonych luk w zabezpieczeniach w takich przypadkach może potrwać do trzech dni.

Następne kroki