Oceny luk w zabezpieczeniach dla platformy GCP z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
Ocena luk w zabezpieczeniach dla platformy GCP obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender to gotowe rozwiązanie, które umożliwia zespołom ds. zabezpieczeń łatwe odnajdywanie i korygowanie luk w zabezpieczeniach obrazów kontenerów systemu Linux z zerową konfiguracją dołączania i bez wdrażania żadnych czujników.
Na każdym koncie, na którym włączono tę funkcję, wszystkie obrazy przechowywane w rejestrach Google (GAR i GCR), które spełniają kryteria wyzwalaczy skanowania, są skanowane pod kątem luk w zabezpieczeniach bez dodatkowej konfiguracji użytkowników lub rejestrów. Rekomendacje z raportami luk w zabezpieczeniach są udostępniane dla wszystkich obrazów w rejestrach Google (GAR i GCR), obrazach, które są obecnie uruchomione w GKE, które zostały pobrane z rejestrów Google (GAR i GCR) lub innych Defender dla Chmury obsługiwanych rejestrów (ACR lub ECR). Obrazy są skanowane wkrótce po dodaniu do rejestru i przeskanowane ponownie pod kątem nowych luk w zabezpieczeniach co 24 godziny.
Ocena luk w zabezpieczeniach kontenerów obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender ma następujące możliwości:
Skanowanie pakietów systemu operacyjnego — ocena luk w zabezpieczeniach kontenera umożliwia skanowanie luk w zabezpieczeniach pakietów zainstalowanych przez menedżera pakietów systemu operacyjnego w systemach operacyjnych Linux i Windows. Zobacz pełną listę obsługiwanych systemów operacyjnych i ich wersji.
Pakiety specyficzne dla języka — tylko system Linux — obsługa pakietów i plików specyficznych dla języka oraz ich zależności zainstalowanych lub kopiowanych bez menedżera pakietów systemu operacyjnego. Zobacz pełną listę obsługiwanych języków.
Informacje o możliwości wykorzystania — każdy raport o lukach w zabezpieczeniach jest przeszukiwany za pośrednictwem baz danych możliwości wykorzystania, aby pomóc naszym klientom w ustaleniu rzeczywistego ryzyka związanego z każdą zgłoszoną luką w zabezpieczeniach.
Raportowanie — ocena luk w zabezpieczeniach kontenera dla platformy GCP obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender udostępnia raporty luk w zabezpieczeniach, korzystając z następujących zaleceń:
Są to nowe zalecenia, które zgłaszają luki w zabezpieczeniach kontenera środowiska uruchomieniowego i luki w zabezpieczeniach obrazu rejestru. Są one obecnie dostępne w wersji zapoznawczej, ale mają zastąpić stare zalecenia. Te nowe rekomendacje nie są wliczane do wskaźnika bezpieczeństwa podczas pracy w wersji zapoznawczej. Aparat skanowania dla obu zestawów zaleceń jest taki sam.
| Zalecenie | opis | Klucz oceny |
|---|---|---|
| [Wersja zapoznawcza] Obrazy kontenerów w rejestrze GCP powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Defender dla Chmury skanuje obrazy rejestru pod kątem znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowe wyniki dla każdego zeskanowanego obrazu. Skanowanie i korygowanie luk w zabezpieczeniach obrazów kontenerów w rejestrze pomaga zachować bezpieczny i niezawodny łańcuch dostaw oprogramowania, zmniejsza ryzyko zdarzeń związanych z bezpieczeństwem i zapewnia zgodność ze standardami branżowymi. | 24e37609-dcf5-4a3b-b2b0-b7d76f2e4e04 |
| [Wersja zapoznawcza] Kontenery uruchomione na platformie GCP powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Defender dla Chmury tworzy spis wszystkich obciążeń kontenerów aktualnie uruchomionych w klastrach Kubernetes i udostępnia raporty luk w zabezpieczeniach dla tych obciążeń, pasując do używanych obrazów i raportów luk w zabezpieczeniach utworzonych dla obrazów rejestru. Skanowanie i korygowanie luk w zabezpieczeniach obciążeń kontenerów ma kluczowe znaczenie dla zapewnienia niezawodnego i bezpiecznego łańcucha dostaw oprogramowania, zmniejszenia ryzyka zdarzeń bezpieczeństwa i zapewnienia zgodności ze standardami branżowymi. | c7c1d31d-a604-4b86-96df-63448618e165 |
Są to starsze zalecenia, które są obecnie na ścieżce wycofania:
| Zalecenie | opis | Klucz oceny |
|---|---|---|
| Obrazy kontenerów rejestru GCP powinny mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) — Microsoft Azure | Skanuje obrazy kontenerów rejestru GCP pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. Rozwiązywanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń, zapewniając bezpieczeństwo obrazów przed wdrożeniem. | c27441ae-775c-45be-8ffa-655de37362ce |
| Narzędzie GCP z uruchomionymi obrazami kontenerów powinno mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) — Microsoft Azure | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. To zalecenie zapewnia widoczność narażonych obrazów działających obecnie w klastrach Google Kubernetes. Korygowanie luk w zabezpieczeniach obrazów kontenerów, które są aktualnie uruchomione, ma kluczowe znaczenie dla poprawy stanu zabezpieczeń, co znacznie zmniejsza obszar ataków dla konteneryzowanych obciążeń. | 5cc3a2c1-8397-456f-8792-fe9d0d4c9145 |
Wykonywanie zapytań o informacje o lukach w zabezpieczeniach za pośrednictwem usługi Azure Resource Graph — możliwość wykonywania zapytań o informacje o lukach w zabezpieczeniach za pośrednictwem usługi Azure Resource Graph. Dowiedz się, jak wykonywać zapytania dotyczące zaleceń za pośrednictwem usługi ARG.
Wyniki skanowania zapytań za pośrednictwem interfejsu API REST — dowiedz się, jak wykonywać zapytania dotyczące wyników skanowania za pośrednictwem interfejsu API REST.
Wyzwalacze skanowania
Wyzwalacze skanowania obrazów to:
Wyzwalanie jednorazowe:
- Każdy obraz wypychany do rejestru kontenerów jest wyzwalany do skanowania. W większości przypadków skanowanie jest wykonywane w ciągu kilku godzin, ale w rzadkich przypadkach może upłynąć do 24 godzin.
- Każdy obraz pobrany z rejestru jest wyzwalany do skanowania w ciągu 24 godzin.
Wyzwalanie ciągłego ponownego skanowania — ciągłe ponowne skanowanie jest wymagane, aby upewnić się, że obrazy, które zostały wcześniej zeskanowane pod kątem luk w zabezpieczeniach, są ponownie skanowane w celu zaktualizowania raportów luk w zabezpieczeniach na wypadek opublikowania nowej luki w zabezpieczeniach.
- Ponowne skanowanie jest wykonywane raz dziennie dla:
- Obrazy wypchnięte w ciągu ostatnich 90 dni.
- Obrazy pobierane w ciągu ostatnich 30 dni.
- Obrazy aktualnie uruchomione w klastrach Kubernetes monitorowanych przez Defender dla Chmury (za pośrednictwem odnajdywania bez agenta dla platformy Kubernetes lub czujnika usługi Defender).
- Ponowne skanowanie jest wykonywane raz dziennie dla:
Jak działa skanowanie obrazów?
Szczegółowy opis procesu skanowania jest opisany w następujący sposób:
Po włączeniu oceny luk w zabezpieczeniach kontenera dla platformy GCP obsługiwanej przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender autoryzujesz Defender dla Chmury do skanowania obrazów kontenerów w rejestrach kontenerów elastycznych.
Defender dla Chmury automatycznie odnajduje wszystkie rejestry kontenerów, repozytoria i obrazy (utworzone przed włączeniem tej funkcji lub po jej włączeniu).
Raz dziennie i w przypadku nowych obrazów wypchniętych do rejestru:
- Wszystkie nowo odnalezione obrazy są ściągane, a dla każdego obrazu jest tworzony spis. Spis obrazów jest zachowywany, aby uniknąć dalszych ściągnięcia obrazów, chyba że są wymagane przez nowe możliwości skanera.
- Korzystając ze spisu, raporty luk w zabezpieczeniach są generowane dla nowych obrazów i aktualizowane pod kątem obrazów, które zostały wcześniej przeskanowane w ciągu ostatnich 90 dni do rejestru lub są obecnie uruchomione. Aby określić, czy obraz jest aktualnie uruchomiony, Defender dla Chmury używa odnajdywania bez agenta dla platformy Kubernetes i spisu zebranego za pośrednictwem czujnika usługi Defender uruchomionego w węzłach GKE
- Raporty dotyczące luk w zabezpieczeniach dla obrazów kontenerów rejestru są udostępniane jako zalecenie.
W przypadku klientów korzystających z odnajdywania bez agenta dla platformy Kubernetes lub spisu zebranych za pośrednictwem czujnika usługi Defender działającego w węzłach GKE, Defender dla Chmury również tworzy zalecenie dotyczące korygowania luk w zabezpieczeniach dla obrazów podatnych na zagrożenia uruchomionych w klastrze GKE. W przypadku klientów korzystających tylko z odnajdywania bez agenta dla platformy Kubernetes czas odświeżania spisu w tym rekomendacji jest co siedem godzin. Klastry z uruchomionym czujnikiem usługi Defender korzystają z dwugodzinnej częstotliwości odświeżania spisu. Wyniki skanowania obrazów są aktualizowane na podstawie skanowania rejestru w obu przypadkach i dlatego są odświeżane tylko co 24 godziny.
Uwaga
W przypadku rejestrów kontenerów usługi Defender dla kontenerów (przestarzałych) obrazy są skanowane raz po wypchnięciu, przy ściąganiu i ponownie skanowane tylko raz w tygodniu.
Jeśli usuniem obraz z rejestru, jak długo przed usunięciem raportów o lukach w zabezpieczeniach na tym obrazie zostanie usunięty?
Usunięcie obrazu z rejestrów Google (GAR i GCR) trwa 30 godzin przed usunięciem raportów.
Następne kroki
- Dowiedz się więcej o planach usługi Defender dla Chmury Defender.
- Zapoznaj się z typowymi pytaniami dotyczącymi usługi Defender for Containers.