Оценки уязвимостей для Azure с Управление уязвимостями Microsoft Defender
Оценка уязвимостей для Azure, на основе Управление уязвимостями Microsoft Defender, — это встроенное решение, которое позволяет командам безопасности легко обнаруживать и устранять уязвимости в образах контейнеров с нулевой конфигурацией для подключения и без развертывания каких-либо агентов.
Примечание.
Эта функция поддерживает только сканирование изображений в Реестр контейнеров Azure (ACR). Изображения, хранящиеся в других реестрах контейнеров, должны быть импортированы в ACR для покрытия. Узнайте, как импортировать образы контейнеров в реестр контейнеров.
В каждой подписке, в которой эта возможность включена, все образы, хранящиеся в ACR, которые соответствуют критериям триггеров сканирования, проверяются на наличие уязвимостей без дополнительной настройки пользователей или реестров. Рекомендации с отчетами об уязвимостях предоставляются для всех образов в ACR, а также образов, которые в настоящее время выполняются в AKS, которые были извлечены из реестра ACR или любого другого Defender для облака поддерживаемого реестра (ECR, GCR или GAR). Образы сканируются вскоре после добавления в реестр и повторно сканируются для новых уязвимостей каждые 24 часа.
Оценка уязвимостей контейнера, реализованная Управление уязвимостями Microsoft Defender, имеет следующие возможности:
- Сканирование пакетов ОС — оценка уязвимостей контейнера имеет возможность сканировать уязвимости в пакетах, установленных диспетчером пакетов ОС в Linux и Ос Windows. Полный список поддерживаемых ОС и их версий.
- Языковые пакеты — только Linux — поддержка языковых пакетов и файлов, а также их зависимостей, установленных или скопированных без диспетчера пакетов ОС. Полный список поддерживаемых языков.
- Сканирование изображений в Приватный канал Azure . Оценка уязвимостей контейнера Azure обеспечивает возможность сканирования образов в реестрах контейнеров, доступных через Приватный канал Azure. Для этой возможности требуется доступ к доверенным службам и проверке подлинности с помощью реестра. Узнайте, как разрешить доступ доверенным службам.
- Сведения об эксплойтируемости. Каждый отчет об уязвимостях выполняется поиск по базам данных эксплойтируемости, чтобы помочь нашим клиентам определить фактический риск, связанный с каждой сообщаемой уязвимостью.
- Отчеты. Оценка уязвимостей контейнеров для Azure с помощью Управление уязвимостями Microsoft Defender предоставляет отчеты об уязвимостях с помощью следующих рекомендаций:
Это новые рекомендации, которые сообщают об уязвимостях контейнера среды выполнения и уязвимостях образа реестра. В настоящее время они находятся в предварительной версии, но предназначены для замены старых рекомендаций. Эти новые рекомендации не учитываются в отношении оценки безопасности во время предварительной версии. Подсистема сканирования для обоих наборов рекомендаций одинакова.
| Рекомендация | Description | Ключ оценки |
|---|---|---|
| [предварительная версия] Образы контейнеров в реестре Azure должны быть устранены с результатами уязвимостей. | Defender для облака проверяет образы реестра на наличие известных уязвимостей (CVEs) и предоставляет подробные результаты для каждого сканированного образа. Сканирование и устранение уязвимостей для образов контейнеров в реестре помогает поддерживать безопасную и надежную цепочку поставок программного обеспечения, снижает риск инцидентов безопасности и обеспечивает соответствие отраслевым стандартам. | 33422d8f-ab1e-42be-bc9a-38685bb567b9 |
| [предварительная версия] Контейнеры, работающие в Azure, должны иметь устраненные результаты уязвимостей | Defender для облака создает инвентаризацию всех рабочих нагрузок контейнеров, работающих в кластерах Kubernetes, и предоставляет отчеты об уязвимостях для этих рабочих нагрузок, сопоставляя используемые образы и отчеты об уязвимостях, созданные для образов реестра. Сканирование и устранение уязвимостей рабочих нагрузок контейнеров критически важно для обеспечения надежной и безопасной цепочки поставок программного обеспечения, снижения риска инцидентов безопасности и обеспечения соответствия отраслевым стандартам. | e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 |
Это старые рекомендации, которые в настоящее время находятся на пути выхода на пенсию:
| Рекомендация | Description | Ключ оценки |
|---|---|---|
| Образы контейнеров реестра Azure должны иметь устраненные уязвимости (на базе Управление уязвимостями Microsoft Defender) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Устранение уязвимостей может значительно повысить уровень безопасности, обеспечивая безопасность образов, безопасных для использования до развертывания. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| У запущенных образов контейнеров Azure должны быть устранены уязвимости (на базе Управление уязвимостями Microsoft Defender) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация обеспечивает видимость уязвимых образов, работающих в настоящее время в кластерах Kubernetes. Исправление уязвимостей в образах контейнеров, которые в настоящее время выполняются, является ключом к улучшению состояния безопасности, значительно уменьшая область атаки для контейнерных рабочих нагрузок. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
- Запрос сведений об уязвимостях с помощью Графа ресурсов Azure — возможность запрашивать сведения об уязвимостях с помощью Azure Resource Graph. Узнайте, как запрашивать рекомендации с помощью ARG.
- Результаты сканирования запросов с помощью REST API — узнайте, как запрашивать результаты сканирования с помощью REST API.
- Поддержка исключений . Узнайте, как создавать правила исключения для группы управления, группы ресурсов или подписки.
- Поддержка отключения уязвимостей — узнайте, как отключить уязвимости на образах.
Триггеры сканирования
Триггеры для сканирования изображений:
Одноразовая активация:
- Каждый образ, отправленный или импортированный в реестр контейнеров, активируется для проверки. В большинстве случаев сканирование завершается в течение нескольких минут, но в редких случаях может потребоваться до часа.
- Каждый образ, извлекаемый из реестра, активируется для проверки в течение 24 часов.
Активация непрерывного повторного сканирования — для обеспечения повторного сканирования образов, которые ранее были проверены на наличие уязвимостей, повторно сканируются, чтобы обновить отчеты об уязвимостях в случае публикации новой уязвимости.
- Повторная проверка выполняется один раз в день:
- Изображения, отправленные за последние 90 дней.
- Изображения извлеклись за последние 30 дней.
- Образы, работающие в кластерах Kubernetes, отслеживаемые Defender для облака (с помощью обнаружения без агента для Kubernetes или датчика Defender).
- Повторная проверка выполняется один раз в день:
Как работает сканирование изображений?
Подробное описание процесса сканирования описано следующим образом:
При включении оценки уязвимостей контейнера для Azure на базе Управление уязвимостями Microsoft Defender вы авторизуете Defender для облака для проверки образов контейнеров в реестрах контейнеров Azure.
Defender для облака автоматически обнаруживает все реестры контейнеров, репозитории и образы (созданные до или после включения этой возможности).
Defender для облака получает уведомления при отправке нового образа в Реестр контейнеров Azure. Затем новый образ сразу же добавляется в каталог образов, Defender для облака поддерживается, и выполняется очередь действия для немедленного сканирования изображения.
Один раз в день и для новых образов, отправленных в реестр:
- Все недавно обнаруженные изображения извлекаются, и для каждого образа создается инвентаризация. Инвентаризация изображений сохраняется, чтобы избежать дальнейшего извлечения изображений, если не требуется новых возможностей сканера.
- С помощью инвентаризации отчеты об уязвимостях создаются для новых образов и обновляются для ранее сканированных образов, которые были отправлены за последние 90 дней в реестр или в настоящее время выполняются. Чтобы определить, запущен ли образ, Defender для облака использует обнаружение без агента для Kubernetes и инвентаризации, собранные с помощью датчика Defender, работающего на узлах AKS.
- Отчеты об уязвимостях для образов контейнеров реестра предоставляются в качестве рекомендации.
Для клиентов, использующих обнаружение без агента для Kubernetes или инвентаризации, собранных с помощью датчика Defender, работающего на узлах AKS, Defender для облака также создает рекомендацию по устранению уязвимостей для уязвимых образов, работающих в кластере AKS. Для клиентов, использующих только обнаружение без агента для Kubernetes, время обновления для инвентаризации в этой рекомендации составляет каждые семь часов. Кластеры, которые также работают с датчиком Defender, получают преимущества от двухчасовой частоты обновления инвентаризации. Результаты сканирования изображений обновляются на основе сканирования реестра в обоих случаях и поэтому обновляются только каждые 24 часа.
Примечание.
Для Defender для реестров контейнеров (не рекомендуется) изображения сканируются один раз при отправке, на вытягивании и повторно сканируются только один раз в неделю.
Если удалить образ из реестра, как долго до того, как будут удалены отчеты об уязвимостях на этом образе?
Реестры контейнеров Azure уведомляют Defender для облака при удалении образов и удаляют оценку уязвимостей для удаленных образов в течение одного часа. В некоторых редких случаях Defender для облака могут не получать уведомления об удалении и удалении связанных уязвимостей в таких случаях может занять до трех дней.
Следующие шаги
- Дополнительные сведения о планах Defender для облака Defender.
- Ознакомьтесь с общими вопросами о Defender для контейнеров.