Avaliações de vulnerabilidade para o Azure com o Microsoft Defender Vulnerability Management

  • Artigo

A avaliação de vulnerabilidades para o Azure, fornecida pelo Microsoft Defender Vulnerability Management, é uma solução pronta para uso que permite que as equipes de segurança descubram e corrijam facilmente vulnerabilidades em imagens de contêiner, com configuração zero para integração e sem implantação de agentes.

Nota

Esta funcionalidade suporta apenas a análise de imagens no Azure Container Registry (ACR). As imagens armazenadas em outros registros de contêiner devem ser importadas para o ACR para cobertura. Saiba como importar imagens de contêiner para um registro de contêiner.

Em todas as assinaturas em que esse recurso está habilitado, todas as imagens armazenadas no ACR que atendem aos critérios para gatilhos de verificação são verificadas em busca de vulnerabilidades sem qualquer configuração extra de usuários ou registros. São fornecidas recomendações com relatórios de vulnerabilidade para todas as imagens no ACR, bem como para as imagens atualmente em execução no AKS que foram extraídas de um registo ACR ou de qualquer outro registo suportado pelo Defender for Cloud (ECR, GCR ou GAR). As imagens são verificadas logo após serem adicionadas a um registro e verificadas novamente em busca de novas vulnerabilidades a cada 24 horas.

A avaliação de vulnerabilidade de contêiner fornecida pelo Microsoft Defender Vulnerability Management tem os seguintes recursos:

  • Verificação de pacotes do sistema operacional - a avaliação de vulnerabilidade do contêiner tem a capacidade de verificar vulnerabilidades em pacotes instalados pelo gerenciador de pacotes do sistema operacional no sistema operacional Linux e no sistema operacional Windows. Veja a lista completa do sistema operacional suportado e suas versões.
  • Pacotes específicos de idioma – somente Linux – suporte para pacotes e arquivos específicos de idioma e suas dependências instaladas ou copiadas sem o gerenciador de pacotes do sistema operacional. Consulte a lista completa de idiomas suportados.
  • Análise de imagens no Azure Private Link - A avaliação de vulnerabilidade de contêiner do Azure fornece a capacidade de digitalizar imagens em registros de contêiner que são acessíveis por meio de Links Privados do Azure. Esse recurso requer acesso a serviços confiáveis e autenticação com o registro. Saiba como permitir o acesso por serviços confiáveis.
  • Informações de exploração - Cada relatório de vulnerabilidade é pesquisado através de bancos de dados de exploração para ajudar nossos clientes a determinar o risco real associado a cada vulnerabilidade relatada.
  • Reporting - Container Vulnerability Assessment for Azure powered by Microsoft Defender Vulnerability Management fornece relatórios de vulnerabilidade usando as seguintes recomendações:

Estas são as novas recomendações que relatam vulnerabilidades de contêiner de tempo de execução e vulnerabilidades de imagem do Registro. Estão atualmente em fase de pré-visualização, mas destinam-se a substituir as recomendações antigas. Essas novas recomendações não contam para uma pontuação segura durante a visualização. O mecanismo de verificação para ambos os conjuntos de recomendações é o mesmo.

Recomendação Description Chave de avaliação
[Pré-visualização] As imagens de contêiner no registro do Azure devem ter as descobertas de vulnerabilidade resolvidas O Defender for Cloud verifica as imagens do Registro em busca de vulnerabilidades conhecidas (CVEs) e fornece descobertas detalhadas para cada imagem digitalizada. A verificação e correção de vulnerabilidades para imagens de contêiner no registro ajuda a manter uma cadeia de suprimentos de software segura e confiável, reduz o risco de incidentes de segurança e garante a conformidade com os padrões do setor. 33422d8f-ab1e-42be-bc9a-38685bb567b9
[Pré-visualização] Os contêineres em execução no Azure devem ter as descobertas de vulnerabilidade resolvidas   O Defender for Cloud cria um inventário de todas as cargas de trabalho de contêiner atualmente em execução em seus clusters Kubernetes e fornece relatórios de vulnerabilidade para essas cargas de trabalho combinando as imagens que estão sendo usadas e os relatórios de vulnerabilidade criados para as imagens do Registro. A verificação e correção de vulnerabilidades de cargas de trabalho de contêineres é fundamental para garantir uma cadeia de suprimentos de software robusta e segura, reduzir o risco de incidentes de segurança e garantir a conformidade com os padrões do setor. E9ACAF48-D2CF-45A3-A6E7-3CAA2EF769E0

Estas são as recomendações mais antigas que estão atualmente em um caminho de aposentadoria:

Recomendação Description Chave de avaliação
As imagens de contêiner do Registro do Azure devem ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management) A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. C0B7CFC6-3172-465A-B378-53C7FF2CC0D5
O Azure executando imagens de contêiner deve ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management)   A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. Essa recomendação fornece visibilidade para imagens vulneráveis atualmente em execução em seus clusters Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente a superfície de ataque para suas cargas de trabalho conteinerizadas. C609CF0F-71AB-41E9-A3C6-9A1F7FE1B8D5

Gatilhos de varredura

Os gatilhos para uma verificação de imagem são:

  • Acionamento único:

    • Cada imagem enviada ou importada para um registro de contêiner é acionada para ser verificada. Na maioria dos casos, a verificação é concluída em poucos minutos, mas em casos raros pode levar até uma hora.
    • Cada imagem extraída de um registro é acionada para ser digitalizada dentro de 24 horas.

  • Acionamento contínuo de nova varredura – a nova verificação contínua é necessária para garantir que as imagens que foram verificadas anteriormente em busca de vulnerabilidades sejam verificadas novamente para atualizar seus relatórios de vulnerabilidade caso uma nova vulnerabilidade seja publicada.

    • A nova varredura é realizada uma vez por dia para:
      • Imagens divulgadas nos últimos 90 dias.
      • Imagens extraídas nos últimos 30 dias.
      • Imagens atualmente em execução nos clusters do Kubernetes monitorados pelo Defender for Cloud (via descoberta sem agente para Kubernetes ou o sensor Defender).

Como funciona a digitalização de imagens?

Uma descrição detalhada do processo de digitalização é descrita da seguinte forma:

  • Ao habilitar a avaliação de vulnerabilidade de contêiner para o Azure com tecnologia Microsoft Defender Vulnerability Management, você autoriza o Defender for Cloud a verificar imagens de contêiner em seus registros de contêiner do Azure.

  • O Defender for Cloud descobre automaticamente todos os registros, repositórios e imagens de contêineres (criados antes ou depois de ativar esse recurso).

  • O Defender for Cloud recebe notificações sempre que uma nova imagem é enviada por push para um Registro de Contêiner do Azure. A nova imagem é então imediatamente adicionada ao catálogo de imagens que o Defender for Cloud mantém e enfileira uma ação para digitalizar a imagem imediatamente.

  • Uma vez por dia, e para novas imagens enviadas para um registo:

    • Todas as imagens recém-descobertas são extraídas e um inventário é criado para cada imagem. O inventário de imagens é mantido para evitar mais extrações de imagem, a menos que seja exigido pelos novos recursos do scanner.
    • Usando o inventário, os relatórios de vulnerabilidade são gerados para novas imagens e atualizados para imagens verificadas anteriormente que foram enviadas por push nos últimos 90 dias para um registro ou estão em execução no momento. Para determinar se uma imagem está em execução no momento, o Defender for Cloud usa a descoberta sem agente para Kubernetes e o inventário coletado por meio do sensor Defender em execução em nós AKS
    • Os relatórios de vulnerabilidade para imagens de contêiner do Registro são fornecidos como recomendação.

  • Para clientes que usam a descoberta sem agente para Kubernetes ou o inventário coletado por meio do sensor Defender em execução em nós AKS, o Defender for Cloud também cria uma recomendação para corrigir vulnerabilidades para imagens vulneráveis em execução em um cluster AKS. Para clientes que usam apenas a descoberta sem agente para Kubernetes, o tempo de atualização do inventário nesta recomendação é uma vez a cada sete horas. Os clusters que também executam o sensor Defender se beneficiam de uma taxa de atualização de inventário de duas horas. Os resultados da verificação de imagens são atualizados com base na verificação do registro em ambos os casos e, portanto, só são atualizados a cada 24 horas.

Nota

Para o Defender for Container Registries (preterido), as imagens são digitalizadas uma vez por push, on pull e redigitalizadas apenas uma vez por semana.

Se eu remover uma imagem do meu registo, quanto tempo antes de os relatórios de vulnerabilidades sobre essa imagem serem removidos?

Os Registros de Contêiner do Azure notificam o Defender for Cloud quando as imagens são excluídas e removem a avaliação de vulnerabilidade para imagens excluídas em uma hora. Em alguns casos raros, o Defender for Cloud pode não ser notificado sobre a exclusão, e a exclusão de vulnerabilidades associadas nesses casos pode levar até três dias.

Próximos passos