Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Interfejs API danych o podatnościach w AKS zapewnia programistyczny dostęp tylko do odczytu do danych Common Vulnerabilities and Exposures (CVE) wykrytych w składnikach platformy zarządzanych przez AKS. Jest ona przeznaczona dla zespołów ds. zabezpieczeń, zespołów ds. zgodności i właścicieli platformy, którzy potrzebują autorytatywnych informacji o lukach w zabezpieczeniach składników zarządzanych przez usługę AKS, w tym, która wersja usługi AKS zawiera poprawkę dla każdego CVE. Aby uzyskać ogólne informacje o tym, jak te składniki są zorganizowane i aktualizowane, zobacz Wersjonowanie składników usługi AKS.
W tym artykule przeglądowym wyjaśniono przeznaczenie interfejsu API danych o lukach w zabezpieczeniach w AKS, rodzaje danych CVE, które udostępnia, oraz sposób, w jaki można z niego korzystać, aby zrozumieć poziom zabezpieczeń składników zarządzanych przez usługę AKS na przestrzeni czasu.
Note
Ten interfejs API nie udostępnia widoku luk w zabezpieczeniach specyficznych dla klastra. Śledzi luki CVE w odniesieniu do wersji usługi AKS, wersji platformy Kubernetes i obrazów węzłów oraz identyfikuje wersję usługi AKS zawierającą poprawkę dla każdej luki CVE. Ze względu na planowane okna obsługi i etapowe wdrażanie wydań usługi AKS różne klastry mogą znajdować się w różnych wersjach usługi AKS w danym momencie.
Struktura interfejsu API danych o lukach w zabezpieczeniach usługi AKS
Interfejs API przedstawia dane luk w zabezpieczeniach uporządkowane według trzech kategorii składników usługi AKS:
- Wydania platformy AKS: luki CVE, które dotyczą określonej wersji wydania usługi AKS, oraz wydanie usługi AKS zawierające poprawkę dla każdej luki CVE. Obejmuje to komponenty płaszczyzny sterowania Kubernetes oraz obrazy kontenerów dla zarządzanych przez usługę AKS funkcji, dodatków i rozszerzeń powiązanych z tym wydaniem.
- Wersje platformy Kubernetes: podatności CVE wpływające na obrazy składników Kubernetes oraz obrazy kontenerów dla zarządzanych przez usługę AKS funkcji, dodatków i rozszerzeń skojarzonych z określoną wersją platformy Kubernetes.
- Obrazy węzłów (wirtualne dyski twarde lub VHD): identyfikatory CVE wpływające na pakiety systemu operacyjnego (OS) i buforowane obrazy kontenerów zawarte w określonym obrazie węzła AKS.
Dane są generowane na podstawie wstępnie zeskanowanych, zweryfikowanych raportów i odzwierciedlają stan zabezpieczeń składników zarządzanych przez usługę AKS w określonych punktach wydania w czasie.
Ważna
Interfejs API danych o lukach w zabezpieczeniach usługi AKS ma wyłącznie charakter informacyjny i raportuje luki w zabezpieczeniach zidentyfikowane w artefaktach zarządzanych przez usługę AKS, a nie luki w zabezpieczeniach występujące w obciążeniach zarządzanych przez klienta.
Interfejs API nie obsługuje:
- Skanowanie klastrów klientów
- Analizuj narażenie w czasie działania
- Ustal, czy podatność CVE może zostać wykorzystana w Twoim środowisku. Możliwość wykorzystania zależy od charakterystyki obciążenia roboczego, ekspozycji sieciowej i mechanizmów kontroli dostępu, w które interfejs API nie ma wglądu.
- Wskazuje, czy poprawione wydanie usługi AKS zostało wdrożone w określonym klastrze. Dostępność poprawek w danym klastrze zależy od bieżącej wersji AKS klastra, etapu wdrażania w regionie oraz okien planowanej konserwacji.
W przypadku oceny luk w zabezpieczeniach uruchomionych klastrów i obciążeń klientów użyj narzędzi, takich jak Microsoft Defender dla kontenerów lub skanerów zabezpieczeń kontenerów innych firm.
Możesz użyć danych o lukach w zabezpieczeniach, aby określić, które wersje AKS zawierają poprawki dla konkretnych identyfikatorów CVE, a następnie sprawdzić, czy wersje te oczekują na wdrożenie w Twoich klastrach z powodu zaplanowanych okien konserwacji.
Uzyskiwanie dostępu do interfejsu API
Dostęp do interfejsu API danych o lukach w zabezpieczeniach usługi AKS można uzyskać, korzystając z jednej z następujących metod:
- Podstawowy adres URL interfejsu API REST: https://cve-api.prod-aks.azure.com
- Przeglądarka interaktywna: https://cve-api.prod-aks.azure.com/viewer/index.html
Wszystkie punkty końcowe są publicznie dostępne i tylko do odczytu. Nie ujawniają informacji specyficznych dla klienta. Użyj przeglądarki interaktywnej do eksploracji ad hoc i ręcznego przeglądu. Użyj interfejsu API REST do automatyzacji, raportowania i analizy na dużą skalę.
Jak interpretować dane CVE
Interfejs API danych o lukach w zabezpieczeniach usługi AKS raportuje luki CVE wykryte w artefaktach zarządzanych przez usługę AKS w określonych momentach. Każda luka CVE w raporcie jest klasyfikowana jako aktywna lub ograniczana:
- Aktywne CVE oznaczają luki w zabezpieczeniach wykryte w wersji artefaktu AKS, do której odnosi się raport, w momencie jego wygenerowania.
- Ograniczone CVE oznaczają podatności wykryte w poprzedniej wersji artefaktu AKS, do którego się odniesiono, ale już niewystępujące w bieżącej wersji, zazwyczaj dlatego, że komponent, którego dotyczył problem, lub pakiet systemu operacyjnego został uaktualniony.
Wybierz odpowiednie doświadczenie
Informacje o lukach w zabezpieczeniach usługi AKS są dostępne w wielu miejscach, w zależności od zakresu zadania:
| Scope | Zalecane doświadczenie |
|---|---|
| Jednorazowe wyszukiwanie CVE lub badanie ad hoc | Użyj stanu CVE w usłudze AKS i biuletynów zabezpieczeń lub interaktywnej przeglądarki. |
| Analiza CVE specyficzna dla klastra bez skanera luk w zabezpieczeniach | Skoreluj dane z tego interfejsu API z wersjami składników zarządzanych przez usługę AKS uruchomionymi w klastrze. Wersje składników wdrożone w klastrze można odnaleźć przy użyciu usługi AKS Component Insights. |
| Analiza CVE na dużą skalę lub automatyzacja | W scenariuszach, w których trzeba przetworzyć setki lub tysiące zgłoszonych przez skaner zabezpieczeń luk CVE, użyj bezpośrednio interfejsu API danych o lukach w zabezpieczeniach usługi AKS. Dzięki temu można programowo pobierać raporty o lukach w zabezpieczeniach dotyczące używanych artefaktów AKS, porównywać podatności CVE raportowane przez skanery z podatnościami CVE obecnymi w tych raportach artefaktów oraz identyfikować, które podatności CVE zostały usunięte w nowszych wersjach AKS, nowszych wersjach Kubernetes lub nowszych obrazach węzłów. |
Aby uzyskać wskazówki dotyczące korzystania z interfejsu API do analizy zbiorczej, przepływów pracy związanych z korelacją i scenariuszy automatyzacji, zobacz Korzystanie z interfejsu API danych o lukach w zabezpieczeniach usługi Azure Kubernetes Service (AKS).
Typowe przypadki użycia
W poniższych sekcjach opisano typowe scenariusze, w których interfejs API danych o lukach w zabezpieczeniach dla usługi AKS może być używany do wspierania działań związanych z bezpieczeństwem i zgodnością, w tym audytu luk CVE dla wydań usługi AKS, identyfikowania luk CVE, dla których zastosowano środki zaradcze między wydaniami, przeglądania luk CVE dla wersji Kubernetes oraz oceny luk w zabezpieczeniach obrazów węzłów.
Przeprowadź audyt luk CVE dla wersji AKS
Pobierz dane o lukach w zabezpieczeniach dla określonej wersji platformy AKS, aby przejrzeć identyfikatory CVE usunięte w zarządzanych przez AKS składnikach systemowych.
Identyfikować luki CVE załagodzone między wersjami usługi AKS
Raporty o wersji usługi AKS obejmują informacje różnicowe wskazujące, które CVE zostały złagodzone w porównaniu z poprzednią wersją. Przejrzyj Śledzenie wydań usługi AKS, aby określić, kiedy wdrażana wersja będzie dostępna w Twoim regionie, i upewnij się, że okno konserwacji umożliwia przeprowadzenie uaktualnienia.
Przejrzyj wersje CVEs dla rozwiązania Kubernetes
Pobierz informacje o lukach w zabezpieczeniach dla określonej wersji Kubernetes, w tym o numerach CVE mających wpływ na:
- Obrazy składników platformy Kubernetes.
- Funkcje zarządzane przez usługę AKS, dodatki i rozszerzenia skojarzone z tą wersją.
Jest to przydatne podczas oceniania uaktualnień platformy Kubernetes lub porównywania stanu luk w zabezpieczeniach w obsługiwanych wersjach. Przejrzyj monitor wersji usługi AKS , aby określić, kiedy wersja rozwiązania Kubernetes dociera do Twojego regionu, i upewnij się, że okno obsługi zezwala na uaktualnienie.
Przejrzyj luki obrazu węzła (VHD)
Raporty dotyczące obrazów węzłów zapewniają wgląd w luki w zabezpieczeniach wpływające na:
- Pakiety systemu operacyjnego zawarte w obrazie węzła.
- Obrazy kontenerów buforowane na obrazie węzła.
Te informacje są przydatne podczas planowania uaktualnień obrazu węzła. Przejrzyj narzędzie AKS Release Tracker, aby określić, kiedy wersja obrazu VHD stanie się dostępna w Twoim regionie, i upewnij się, że okno konserwacji umożliwia uaktualnienie.
Treści powiązane
- Aby uzyskać szczegółową dokumentację punktu końcowego, formaty żądań, schematy odpowiedzi i przykłady, zobacz
Use the Azure Kubernetes Service (AKS) Vulnerability Data API ( - W przypadku oceny podatności obciążeń i środowiska uruchomieniowego nadal używaj Microsoft Defender for Containers lub skanerów innych firm.