Оценки уязвимостей для GCP с Управление уязвимостями Microsoft Defender
Оценка уязвимостей для GCP, на основе Управление уязвимостями Microsoft Defender, — это встроенное решение, которое позволяет командам безопасности легко обнаруживать и устранять уязвимости в образах контейнеров Linux с нулевой конфигурацией для подключения и без развертывания датчиков.
В каждой учетной записи, где включена эта возможность, все изображения, хранящиеся в реестрах Google (GAR и GCR), которые соответствуют критериям триггеров сканирования, проверяются на наличие уязвимостей без дополнительной настройки пользователей или реестров. Рекомендации с отчетами об уязвимостях предоставляются для всех изображений в реестрах Google (GAR и GCR), изображения, которые в настоящее время выполняются в GKE, которые были извлечены из реестров Google (GAR и GCR) или любого другого Defender для облака поддерживаемого реестра (ACR или ECR). Образы сканируются вскоре после добавления в реестр и повторно сканируются для новых уязвимостей каждые 24 часа.
Оценка уязвимостей контейнера, реализованная Управление уязвимостями Microsoft Defender, имеет следующие возможности:
Сканирование пакетов ОС — оценка уязвимостей контейнера имеет возможность проверять уязвимости в пакетах, установленных диспетчером пакетов ОС в операционных системах Linux и Windows. Полный список поддерживаемых ОС и их версий.
Языковые пакеты — только Linux — поддержка языковых пакетов и файлов, а также их зависимостей, установленных или скопированных без диспетчера пакетов ОС. Полный список поддерживаемых языков.
Сведения об эксплойтируемости. Каждый отчет об уязвимостях выполняется поиск по базам данных эксплойтируемости, чтобы помочь нашим клиентам определить фактический риск, связанный с каждой сообщаемой уязвимостью.
Отчеты. Оценка уязвимостей контейнеров для GCP с помощью Управление уязвимостями Microsoft Defender предоставляет отчеты об уязвимостях с помощью следующих рекомендаций:
Это новые рекомендации, которые сообщают об уязвимостях контейнера среды выполнения и уязвимостях образа реестра. В настоящее время они находятся в предварительной версии, но предназначены для замены старых рекомендаций. Эти новые рекомендации не учитываются в отношении оценки безопасности во время предварительной версии. Подсистема сканирования для обоих наборов рекомендаций одинакова.
| Рекомендация | Description | Ключ оценки |
|---|---|---|
| [предварительная версия] Образы контейнеров в реестре GCP должны иметь устраненные результаты уязвимостей | Defender для облака проверяет образы реестра на наличие известных уязвимостей (CVEs) и предоставляет подробные результаты для каждого сканированного образа. Сканирование и устранение уязвимостей для образов контейнеров в реестре помогает поддерживать безопасную и надежную цепочку поставок программного обеспечения, снижает риск инцидентов безопасности и обеспечивает соответствие отраслевым стандартам. | 24e37609-dcf5-4a3b-b2b0-b7d76f2e4e04 |
| [предварительная версия] Контейнеры, работающие в GCP, должны иметь устраненные результаты уязвимостей | Defender для облака создает инвентаризацию всех рабочих нагрузок контейнеров, работающих в кластерах Kubernetes, и предоставляет отчеты об уязвимостях для этих рабочих нагрузок, сопоставляя используемые образы и отчеты об уязвимостях, созданные для образов реестра. Сканирование и устранение уязвимостей рабочих нагрузок контейнеров критически важно для обеспечения надежной и безопасной цепочки поставок программного обеспечения, снижения риска инцидентов безопасности и обеспечения соответствия отраслевым стандартам. | c7c1d31d-a604-4b86-96df-63448618e18e165 |
Это старые рекомендации, которые в настоящее время находятся на пути выхода на пенсию:
| Рекомендация | Description | Ключ оценки |
|---|---|---|
| Образы контейнеров реестра GCP должны иметь устраненные результаты уязвимостей (на основе Управление уязвимостями Microsoft Defender) — Microsoft Azure | Сканирует образы контейнеров реестров GCP для известных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Устранение уязвимостей может значительно повысить уровень безопасности, обеспечивая безопасность образов, безопасных для использования до развертывания. | c27441ae-775c-45be-8ffa-655de37362ce |
| GCP, на которых выполняются образы контейнеров, должны быть устранены результаты уязвимостей (на основе Управление уязвимостями Microsoft Defender) — Microsoft Azure | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация обеспечивает видимость уязвимых изображений, работающих в настоящее время в кластерах Google Kubernetes. Исправление уязвимостей в образах контейнеров, которые в настоящее время выполняются, является ключом к улучшению состояния безопасности, значительно уменьшая область атаки для контейнерных рабочих нагрузок. | 5cc3a2c1-8397-456f-8792-fe9d0d4c9145 |
Запрос сведений об уязвимостях с помощью Графа ресурсов Azure — возможность запрашивать сведения об уязвимостях с помощью Azure Resource Graph. Узнайте, как запрашивать рекомендации с помощью ARG.
Результаты сканирования запросов с помощью REST API — узнайте, как запрашивать результаты сканирования с помощью REST API.
Триггеры сканирования
Триггеры для сканирования изображений:
Одноразовая активация:
- Каждый образ, отправленный в реестр контейнеров, активируется для проверки. В большинстве случаев сканирование завершается в течение нескольких часов, но в редких случаях может занять до 24 часов.
- Каждый образ, извлекаемый из реестра, активируется для проверки в течение 24 часов.
Активация непрерывного повторного сканирования — для обеспечения повторного сканирования образов, которые ранее были проверены на наличие уязвимостей, повторно сканируются, чтобы обновить отчеты об уязвимостях в случае публикации новой уязвимости.
- Повторная проверка выполняется один раз в день:
- Изображения, отправленные за последние 90 дней.
- Изображения извлеклись за последние 30 дней.
- Образы, работающие в кластерах Kubernetes, отслеживаемые Defender для облака (с помощью обнаружения без агента для Kubernetes или датчика Defender).
- Повторная проверка выполняется один раз в день:
Как работает сканирование изображений?
Подробное описание процесса сканирования описано следующим образом:
При включении оценки уязвимостей контейнера для GCP на базе Управление уязвимостями Microsoft Defender вы авторизуете Defender для облака для проверки образов контейнеров в реестрах эластичных контейнеров.
Defender для облака автоматически обнаруживает все реестры контейнеров, репозитории и образы (созданные до или после включения этой возможности).
Один раз в день и для новых образов, отправленных в реестр:
- Все недавно обнаруженные изображения извлекаются, и для каждого образа создается инвентаризация. Инвентаризация изображений сохраняется, чтобы избежать дальнейшего извлечения изображений, если не требуется новых возможностей сканера.
- С помощью инвентаризации отчеты об уязвимостях создаются для новых образов и обновляются для ранее сканированных образов, которые были отправлены за последние 90 дней в реестр или в настоящее время выполняются. Чтобы определить, запущен ли образ, Defender для облака использует обнаружение без агента для Kubernetes и инвентаризацию, собираемую с помощью датчика Defender, работающего на узлах GKE.
- Отчеты об уязвимостях для образов контейнеров реестра предоставляются в качестве рекомендации.
Для клиентов, использующих обнаружение без агента для Kubernetes или инвентаризации, собранных с помощью датчика Defender, работающего на узлах GKE, Defender для облака также создает рекомендацию по устранению уязвимостей для уязвимых образов, работающих в кластере GKE. Для клиентов, использующих только обнаружение без агента для Kubernetes, время обновления для инвентаризации в этой рекомендации составляет каждые семь часов. Кластеры, которые также работают с датчиком Defender, получают преимущества от двухчасовой частоты обновления инвентаризации. Результаты сканирования изображений обновляются на основе сканирования реестра в обоих случаях и поэтому обновляются только каждые 24 часа.
Примечание.
Для Defender для реестров контейнеров (не рекомендуется) изображения сканируются один раз при отправке, на вытягивании и повторно сканируются только один раз в неделю.
Если удалить образ из реестра, как долго до того, как будут удалены отчеты об уязвимостях на этом образе?
До удаления отчетов требуется 30 часов после удаления изображения из реестров Google (GAR и GCR).
Следующие шаги
- Дополнительные сведения о планах Defender для облака Defender.
- Ознакомьтесь с общими вопросами о Defender для контейнеров.