Поделиться через


Общие сведения о Microsoft Defender для реестров контейнеров (не рекомендуется)

Внимание

Мы начали общедоступную предварительную версию оценки уязвимостей Azure на базе MDVM. Дополнительные сведения см. в статье об оценках уязвимостей для Azure с Управление уязвимостями Microsoft Defender.

Реестр контейнеров Azure (ACR) — это управляемая служба частного реестра контейнеров Docker, которая сохраняет образы контейнеров для развертываний Azure в центральном реестре и управляет ими. Она основана на решении Docker Registry 2.0 с открытым кодом.

Для защиты реестров на основе Azure Resource Manager в своей подписке включите Microsoft Defender для реестров контейнеров на уровне подписки. После этого Defender для облака будет проверять все образы, отправляемые в реестр, импортируемые в реестр или извлеченные за последние 30 дней. Оплата будет взиматься единоразово за каждый проверенный образ.

Availability

Внимание

Microsoft Defender для реестров контейнеров заменен на Microsoft Defender для контейнеров. Если вы уже включили Defender для реестров контейнеров в подписке, то можете продолжать его использовать. Но вы не будете получать улучшения и новые возможности для Defender для контейнеров.

Этот план больше не доступен для подписок, если он еще не включен.

Чтобы выполнить обновление до Microsoft Defender для контейнеров, откройте страницу планов Defender на портале и включите новый план:

Включение Microsoft Defender для контейнеров на странице планов Defender.

Дополнительные сведения об этом изменении см. в заметке о выпуске.

Аспект Сведения
Состояние выпуска: не рекомендуется (используйте Microsoft Defender для контейнеров)
Поддерживаемые реестры и образы: Образы Linux в реестрах ACR, доступные из общедоступного Интернета через оболочку.
Реестры ACR, защищенные с помощью Приватного канала Azure
Неподдерживаемые реестры и образы: Образы Windows
Закрытые реестры (если только доступ не предоставлен доверенным службам)
Сверхминималистические образы, например временные образы Docker или "бездистрибутивные" образы, которые содержат только приложение и его зависимости для среды выполнения без диспетчера пакетов, оболочки или ОС.
Образы, соответствующие спецификации формата образа Open Container Initiative (OCI).
Требуемые роли и разрешения Читатель сведений о безопасности, а также роли и разрешения Реестра контейнеров Azure.
Облако. Коммерческие облака
National (Azure для государственных организаций, Microsoft Azure, управляемый 21Vianet)

Каковы преимущества Microsoft Defender для реестров контейнеров?

Defender для облака идентифицирует реестры ACR на основе Azure Resource Manager в вашей подписке и обеспечивает эффективную оценку уязвимостей в образах реестров и управление ими.

Microsoft Defender для реестров контейнеров включает средство проверки уязвимостей для сканирования образов в реестрах ACR на основе Azure Resource Manager и позволяет больше узнать об уязвимостях образов.

При обнаружении проблем вы получите уведомление на панели мониторинга защиты рабочей нагрузки. По каждой обнаруженной уязвимости Defender для облака предоставляет практические рекомендации, а также классификацию серьезности и инструкции по исправлению проблемы. Дополнительные сведения о рекомендациях по контейнерам.

Defender для облака фильтрует и классифицирует результаты работы средства проверки. Если образ работоспособен, Defender для облака отмечает его соответствующим образом. Defender для облака создает рекомендации по безопасности только для тех образов, в которых есть требующие решения проблемы. Defender для облака предоставляет сведения о каждой зарегистрированной уязвимости, а также классификации серьезности. Кроме того, он создает рекомендации по устранению определенных уязвимостей, обнаруженных в каждом образе.

Благодаря тому, что Defender для облака извещает только о наличии проблем, снижается вероятность нежелательных информационных оповещений.

Когда проверяются образы?

Проверка образов запускается по трем триггерам:

  • При отправке. Defender для реестров контейнеров автоматически проверяет образ при его отправке в реестр. Чтобы запустить проверку, выполните операцию отправки образа в репозиторий.

  • Недавно извлеченные. Так как новые уязвимости обнаруживаются каждый день, Microsoft Defender для реестров контейнеров также еженедельно проверяет все образы, которые были извлечены за последние 30 дней. Дополнительная плата за такие повторные проверки не взимается. Как сказано выше, счет выставляется за образ.

  • При импорте. Реестр контейнеров Azure включает средства импорта, позволяющие переносить в реестр образы из Docker Hub, Реестра контейнеров Майкрософт и других реестров контейнеров Azure. Microsoft Defender для реестров контейнеров проверяет все импортируемые поддерживаемые образы. Подробные сведения см. в статье Импорт образов контейнеров в реестр контейнеров.

Обычно проверка выполняется за 2 минуты, но в некоторых случаях может длиться до 40 минут. Результаты предоставляются в виде рекомендаций по обеспечению безопасности, например такой:

Пример рекомендации Microsoft Defender для облака об уязвимостях, которые были обнаружены в образе, размещенном в Реестре контейнеров Azure (ACR).

Как Defender для облака взаимодействует с Реестром контейнеров Azure

Ниже приведена подробная схема компонентов для защиты реестров с помощью Defender для облака и преимущества такой защиты.

Общий обзор Microsoft Defender для облака и Реестра контейнеров Azure (ACR).

Вопросы и ответы: проверка образов в Реестре контейнеров Azure

Как Defender для облака проверяет образ?

Defender для облака извлекает образ из реестра и запускает его в изолированной песочнице с помощью сканера. Средство проверки извлекает список известных уязвимостей.

Defender для облака фильтрует и классифицирует результаты работы средства проверки. Если образ работоспособен, Defender для облака отмечает его соответствующим образом. Defender для облака создает рекомендации по безопасности только для тех образов, в которых есть требующие решения проблемы. Благодаря тому, что Defender для облака извещает только о наличии проблем, снижается вероятность нежелательных информационных оповещений.

Можно ли получить результаты проверки через REST API?

Да. Результаты предоставляются через REST API дополнительных оценок. Кроме того, вы можете использовать Azure Resource Graph (работающий по принципу Kusto API) для всех ресурсов: запрос может получать данные об определенной проверке.

Какие типы реестра проверяются? За какие типы взимается плата?

Список типов реестров контейнеров, поддерживаемых Microsoft Defender, см. в разделе Доступность.

Если вы подключите к подписке Azure неподдерживаемые реестры, Defender для облака не будет проверять их и выставлять за них счета.

Можно ли настроить результаты проверки уязвимостей?

Да. Если правила вашей организации требуют игнорировать обнаруженную проблему, а не исправлять ее, вы можете исключить ее из результатов поиска. Отключенные результаты не учитываются в оценке безопасности и не создают нежелательный шум.

См. сведения о создании правил для отключения результатов из встроенного средства оценки уязвимостей.

Почему Defender для облака предупреждает об уязвимостях образа, которого нет в моем реестре?

Defender для облака выполняет оценку уязвимостей для каждого образа, отправляемого в реестр или извлекаемого из него. Некоторые изображения могут повторно использовать теги из уже отсканированного изображения. Например, при каждом добавлении изображения в дайджест можно переназначить тег "Последняя версия". В таких случаях образ "старый" по-прежнему существует в реестре и может по-прежнему быть извлечен его дайджестом. Если образ содержит проблемы безопасности, при извлечении он представляет собой уязвимость для системы безопасности.

Следующие шаги