Oceny luk w zabezpieczeniach dla platformy AWS z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
Ocena luk w zabezpieczeniach dla platformy AWS obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender to gotowe rozwiązanie, które umożliwia zespołom ds. zabezpieczeń łatwe odnajdywanie i korygowanie luk w zabezpieczeniach obrazów kontenerów systemu Linux z zerową konfiguracją dołączania i bez wdrażania żadnych czujników.
Uwaga
Ta funkcja obsługuje tylko skanowanie obrazów w ECR. Obrazy przechowywane w innych rejestrach kontenerów powinny być importowane do usługi ECR w celu pokrycia. Dowiedz się, jak zaimportować obrazy kontenerów do rejestru kontenerów.
Na każdym koncie, na którym włączono tę funkcję, wszystkie obrazy przechowywane w ecR spełniające kryteria wyzwalaczy skanowania są skanowane pod kątem luk w zabezpieczeniach bez dodatkowej konfiguracji użytkowników lub rejestrów. Rekomendacje z raportami luk w zabezpieczeniach są udostępniane dla wszystkich obrazów w ECR, a także obrazów, które są obecnie uruchomione w eks, które zostały pobrane z rejestru ECR lub innych Defender dla Chmury obsługiwanych rejestrów (ACR, GCR lub GAR). Obrazy są skanowane wkrótce po dodaniu do rejestru i przeskanowane ponownie pod kątem nowych luk w zabezpieczeniach co 24 godziny.
Ocena luk w zabezpieczeniach kontenerów obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender ma następujące możliwości:
Skanowanie pakietów systemu operacyjnego — ocena luk w zabezpieczeniach kontenera umożliwia skanowanie luk w zabezpieczeniach pakietów zainstalowanych przez menedżera pakietów systemu operacyjnego w systemach operacyjnych Linux i Windows. Zobacz pełną listę obsługiwanych systemów operacyjnych i ich wersji.
Pakiety specyficzne dla języka — tylko system Linux — obsługa pakietów i plików specyficznych dla języka oraz ich zależności zainstalowanych lub kopiowanych bez menedżera pakietów systemu operacyjnego. Zobacz pełną listę obsługiwanych języków.
Informacje o możliwości wykorzystania — każdy raport o lukach w zabezpieczeniach jest przeszukiwany za pośrednictwem baz danych możliwości wykorzystania, aby pomóc naszym klientom w ustaleniu rzeczywistego ryzyka związanego z każdą zgłoszoną luką w zabezpieczeniach.
Raportowanie — ocena luk w zabezpieczeniach kontenera dla platformy AWS obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender udostępnia raporty o lukach w zabezpieczeniach, korzystając z następujących zaleceń:
Są to nowe zalecenia, które zgłaszają luki w zabezpieczeniach kontenera środowiska uruchomieniowego i luki w zabezpieczeniach obrazu rejestru. Są one obecnie dostępne w wersji zapoznawczej, ale mają zastąpić stare zalecenia. Te nowe rekomendacje nie są wliczane do wskaźnika bezpieczeństwa podczas pracy w wersji zapoznawczej. Aparat skanowania dla obu zestawów zaleceń jest taki sam.
| Zalecenie | opis | Klucz oceny |
|---|---|---|
| [Wersja zapoznawcza] Obrazy kontenerów w rejestrze platformy AWS powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Defender dla Chmury skanuje obrazy rejestru pod kątem znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowe wyniki dla każdego zeskanowanego obrazu. Skanowanie i korygowanie luk w zabezpieczeniach obrazów kontenerów w rejestrze pomaga zachować bezpieczny i niezawodny łańcuch dostaw oprogramowania, zmniejsza ryzyko zdarzeń związanych z bezpieczeństwem i zapewnia zgodność ze standardami branżowymi. | 2a139383-ec7e-462a-90ac-b1b60e87d576 |
| [Wersja zapoznawcza] Kontenery uruchomione na platformie AWS powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Defender dla Chmury tworzy spis wszystkich obciążeń kontenerów aktualnie uruchomionych w klastrach Kubernetes i udostępnia raporty luk w zabezpieczeniach dla tych obciążeń, pasując do używanych obrazów i raportów luk w zabezpieczeniach utworzonych dla obrazów rejestru. Skanowanie i korygowanie luk w zabezpieczeniach obciążeń kontenerów ma kluczowe znaczenie dla zapewnienia niezawodnego i bezpiecznego łańcucha dostaw oprogramowania, zmniejszenia ryzyka zdarzeń bezpieczeństwa i zapewnienia zgodności ze standardami branżowymi. | d5d1e526-363a-4223-b860-f4b6e710859f |
Są to starsze zalecenia, które są obecnie na ścieżce wycofania:
| Zalecenie | opis | Klucz oceny |
|---|---|---|
| Obrazy kontenerów rejestru platformy AWS powinny mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | Skanuje obrazy kontenerów rejestru platformy AWS pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. Rozwiązywanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń, zapewniając bezpieczeństwo obrazów przed wdrożeniem. | c27441ae-775c-45be-8ffa-655de37362ce |
| Usługa AWS z uruchomionymi obrazami kontenerów powinna mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. To zalecenie zapewnia widoczność narażonych obrazów działających obecnie w klastrach Elastic Kubernetes. Korygowanie luk w zabezpieczeniach obrazów kontenerów, które są aktualnie uruchomione, ma kluczowe znaczenie dla poprawy stanu zabezpieczeń, co znacznie zmniejsza obszar ataków dla konteneryzowanych obciążeń. | 682b2595-d045-4cff-b5aa-46624eb2dd8f |
Wykonywanie zapytań o informacje o lukach w zabezpieczeniach za pośrednictwem usługi Azure Resource Graph — możliwość wykonywania zapytań o informacje o lukach w zabezpieczeniach za pośrednictwem usługi Azure Resource Graph. Dowiedz się, jak wykonywać zapytania dotyczące zaleceń za pośrednictwem usługi ARG.
Wyniki skanowania zapytań za pośrednictwem interfejsu API REST — dowiedz się, jak wykonywać zapytania dotyczące wyników skanowania za pośrednictwem interfejsu API REST.
Wyzwalacze skanowania
Wyzwalacze skanowania obrazów to:
Wyzwalanie jednorazowe:
- Każdy obraz wypychany do rejestru kontenerów jest wyzwalany do skanowania. W większości przypadków skanowanie jest wykonywane w ciągu kilku godzin, ale w rzadkich przypadkach może upłynąć do 24 godzin.
- Każdy obraz pobrany z rejestru jest wyzwalany do skanowania w ciągu 24 godzin.
Wyzwalanie ciągłego ponownego skanowania — ciągłe ponowne skanowanie jest wymagane, aby upewnić się, że obrazy, które zostały wcześniej zeskanowane pod kątem luk w zabezpieczeniach, są ponownie skanowane w celu zaktualizowania raportów luk w zabezpieczeniach na wypadek opublikowania nowej luki w zabezpieczeniach.
- Ponowne skanowanie jest wykonywane raz dziennie dla:
- Obrazy wypchnięte w ciągu ostatnich 90 dni.
- Obrazy pobierane w ciągu ostatnich 30 dni.
- Obrazy aktualnie uruchomione w klastrach Kubernetes monitorowanych przez Defender dla Chmury (za pośrednictwem odnajdywania bez agenta dla platformy Kubernetes lub czujnika usługi Defender).
- Ponowne skanowanie jest wykonywane raz dziennie dla:
Jak działa skanowanie obrazów?
Szczegółowy opis procesu skanowania jest opisany w następujący sposób:
Po włączeniu oceny luk w zabezpieczeniach kontenera dla platformy AWS obsługiwanej przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender autoryzujesz Defender dla Chmury do skanowania obrazów kontenerów w rejestrach elastic Container.
Defender dla Chmury automatycznie odnajduje wszystkie rejestry kontenerów, repozytoria i obrazy (utworzone przed włączeniem tej funkcji lub po jej włączeniu).
Raz dziennie i w przypadku nowych obrazów wypchniętych do rejestru:
- Wszystkie nowo odnalezione obrazy są ściągane, a dla każdego obrazu jest tworzony spis. Spis obrazów jest zachowywany, aby uniknąć dalszych ściągnięcia obrazów, chyba że są wymagane przez nowe możliwości skanera.
- Korzystając ze spisu, raporty luk w zabezpieczeniach są generowane dla nowych obrazów i aktualizowane pod kątem obrazów, które zostały wcześniej przeskanowane w ciągu ostatnich 90 dni do rejestru lub są obecnie uruchomione. Aby określić, czy obraz jest aktualnie uruchomiony, Defender dla Chmury używa odnajdywania bez agenta dla platformy Kubernetes i spisu zebranego za pośrednictwem czujnika usługi Defender uruchomionego w węzłach EKS
- Raporty dotyczące luk w zabezpieczeniach dla obrazów kontenerów rejestru są udostępniane jako zalecenie.
W przypadku klientów korzystających z odnajdywania bez agenta dla platformy Kubernetes lub spisu zebranych za pośrednictwem czujnika usługi Defender działającego w węzłach EKS Defender dla Chmury również tworzy zalecenie dotyczące korygowania luk w zabezpieczeniach dla obrazów podatnych na zagrożenia uruchomionych w klastrze EKS. W przypadku klientów korzystających tylko z odnajdywania bez agenta dla platformy Kubernetes czas odświeżania spisu w tym rekomendacji jest co siedem godzin. Klastry z uruchomionym czujnikiem usługi Defender korzystają z dwugodzinnej częstotliwości odświeżania spisu. Wyniki skanowania obrazów są aktualizowane na podstawie skanowania rejestru w obu przypadkach i dlatego są odświeżane tylko co 24 godziny.
Uwaga
W przypadku rejestrów kontenerów usługi Defender dla kontenerów (przestarzałych) obrazy są skanowane raz po wypchnięciu, przy ściąganiu i ponownie skanowane tylko raz w tygodniu.
Jeśli usuniem obraz z rejestru, jak długo przed usunięciem raportów o lukach w zabezpieczeniach na tym obrazie zostanie usunięty?
Usunięcie obrazu z ECR trwa 30 godzin przed usunięciem raportów.
Następne kroki
- Dowiedz się więcej o planach usługi Defender dla Chmury Defender.
- Zapoznaj się z typowymi pytaniami dotyczącymi usługi Defender for Containers.