Прочитать на английском

Поделиться через


Оценки уязвимостей для Azure с Управление уязвимостями Microsoft Defender

Оценка уязвимостей для Azure, на основе Управление уязвимостями Microsoft Defender, — это встроенное решение, которое позволяет командам безопасности легко обнаруживать и устранять уязвимости в образах контейнеров с нулевой конфигурацией для подключения и без развертывания каких-либо агентов.

Примечание

Эта функция поддерживает только сканирование изображений в Реестр контейнеров Azure (ACR). Изображения, хранящиеся в других реестрах контейнеров, должны быть импортированы в ACR для покрытия. Узнайте, как импортировать образы контейнеров в реестр контейнеров.

В каждой подписке, в которой эта возможность включена, все образы, хранящиеся в ACR, которые соответствуют критериям триггеров сканирования, проверяются на наличие уязвимостей без дополнительной настройки пользователей или реестров. Рекомендации с отчетами об уязвимостях предоставляются для всех образов в ACR, а также образов, которые в настоящее время выполняются в AKS, которые были извлечены из реестра ACR или любого другого Defender для облака поддерживаемого реестра (ECR, GCR или GAR). Образы сканируются вскоре после добавления в реестр и повторно сканируются для новых уязвимостей каждые 24 часа.

Оценка уязвимостей контейнера, реализованная Управление уязвимостями Microsoft Defender, имеет следующие возможности:

  • Сканирование пакетов ОС — оценка уязвимостей контейнера имеет возможность сканировать уязвимости в пакетах, установленных диспетчером пакетов ОС в Linux и Ос Windows. Полный список поддерживаемых ОС и их версий.
  • Языковые пакеты — только Linux — поддержка языковых пакетов и файлов, а также их зависимостей, установленных или скопированных без диспетчера пакетов ОС. Полный список поддерживаемых языков.
  • Сканирование изображений в Приватный канал Azure . Оценка уязвимостей контейнера Azure обеспечивает возможность сканирования образов в реестрах контейнеров, доступных через Приватный канал Azure. Для этой возможности требуется доступ к доверенным службам и проверке подлинности с помощью реестра. Узнайте, как разрешить доступ доверенным службам.
  • Сведения об эксплойтируемости. Каждый отчет об уязвимостях выполняется поиск по базам данных эксплойтируемости, чтобы помочь нашим клиентам определить фактический риск, связанный с каждой сообщаемой уязвимостью.
  • Отчеты. Оценка уязвимостей контейнеров для Azure с помощью Управление уязвимостями Microsoft Defender предоставляет отчеты об уязвимостях с помощью следующих рекомендаций:

Это новые рекомендации предварительной версии, которые сообщают об уязвимостях контейнера среды выполнения и уязвимостях образа реестра. Эти новые рекомендации не учитываются в отношении оценки безопасности во время предварительной версии. Модуль сканирования для этих новых рекомендаций совпадает с текущими рекомендациями по общедоступной версии и предоставляет те же результаты. Эти рекомендации лучше всего подходят для клиентов, использующих новое представление на основе рисков для рекомендаций и включенный план CSPM Defender.

Рекомендация Description Ключ оценки
[предварительная версия] Образы контейнеров в реестре Azure должны быть устранены с результатами уязвимостей. Defender для облака проверяет образы реестра на наличие известных уязвимостей (CVEs) и предоставляет подробные результаты для каждого сканированного образа. Сканирование и устранение уязвимостей для образов контейнеров в реестре помогает поддерживать безопасную и надежную цепочку поставок программного обеспечения, снижает риск инцидентов безопасности и обеспечивает соответствие отраслевым стандартам. 33422d8f-ab1e-42be-bc9a-38685bb567b9
[предварительная версия] Контейнеры, работающие в Azure, должны иметь устраненные результаты уязвимостей   Defender для облака создает инвентаризацию всех рабочих нагрузок контейнеров, работающих в кластерах Kubernetes, и предоставляет отчеты об уязвимостях для этих рабочих нагрузок, сопоставляя используемые образы и отчеты об уязвимостях, созданные для образов реестра. Сканирование и устранение уязвимостей рабочих нагрузок контейнеров критически важно для обеспечения надежной и безопасной цепочки поставок программного обеспечения, снижения риска инцидентов безопасности и обеспечения соответствия отраслевым стандартам. c5045ea3-afc6-4006-ab8f-86c8574dbf3d

Эти текущие рекомендации по общедоступной версии сообщают об уязвимостях в контейнерах, содержащихся в кластере Kubernetes, и на образах контейнеров, содержащихся в реестре контейнеров. Эти рекомендации лучше всего подходят для клиентов, использующих классическое представление рекомендаций и не включающих план CSPM Defender.

Рекомендация Description Ключ оценки
Образы контейнеров реестра Azure должны иметь устраненные уязвимости (на базе Управление уязвимостями Microsoft Defender) Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Устранение уязвимостей может значительно повысить уровень безопасности, обеспечивая безопасность образов, безопасных для использования до развертывания. c0b7cfc6-3172-465a-b378-53c7ff2cc0d5
У запущенных образов контейнеров Azure должны быть устранены уязвимости (на базе Управление уязвимостями Microsoft Defender)   Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация обеспечивает видимость уязвимых образов, работающих в настоящее время в кластерах Kubernetes. Исправление уязвимостей в образах контейнеров, которые в настоящее время выполняются, является ключом к улучшению состояния безопасности, значительно уменьшая область атаки для контейнерных рабочих нагрузок. c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

Триггеры сканирования

Триггеры для сканирования изображений:

  • Одноразовая активация:

    • Каждый образ, отправленный или импортированный в реестр контейнеров, активируется для проверки. В большинстве случаев сканирование завершается в течение нескольких минут, но в редких случаях может потребоваться до часа.
    • Каждый образ, извлекаемый из реестра, активируется для проверки в течение 24 часов.
  • Активация непрерывного повторного сканирования — для обеспечения повторного сканирования образов, которые ранее были проверены на наличие уязвимостей, повторно сканируются, чтобы обновить отчеты об уязвимостях в случае публикации новой уязвимости.

    • Повторная проверка выполняется один раз в день:
      • Изображения, отправленные за последние 90 дней.
      • Изображения извлеклись за последние 30 дней.
      • Образы, работающие в кластерах Kubernetes, отслеживаемые Defender для облака (с помощью обнаружения без агента для Kubernetes или датчика Defender).

Как работает сканирование изображений?

Подробное описание процесса сканирования описано следующим образом:

Примечание

Для Defender для реестров контейнеров (не рекомендуется) изображения сканируются один раз при отправке, на вытягивании и повторно сканируются только один раз в неделю.

Если удалить образ из реестра, как долго до того, как будут удалены отчеты об уязвимостях на этом образе?

Реестры контейнеров Azure уведомляют Defender для облака при удалении образов и удаляют оценку уязвимостей для удаленных образов в течение одного часа. В некоторых редких случаях Defender для облака могут не получать уведомления об удалении и удалении связанных уязвимостей в таких случаях может занять до трех дней.

Следующие шаги