Microsoft Defender Güvenlik Açığı Yönetimi ile AWS için güvenlik açığı değerlendirmeleri
Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenen AWS için güvenlik açığı değerlendirmesi, güvenlik ekiplerinin Linux kapsayıcı görüntülerindeki güvenlik açıklarını kolayca keşfetmesini ve düzeltmesini sağlayan, ekleme için sıfır yapılandırmaya sahip ve hiçbir algılayıcı dağıtmadan kullanıma hazır bir çözümdür.
Not
Bu özellik yalnızca ECR'de görüntülerin taranmasını destekler. Diğer kapsayıcı kayıt defterlerinde depolanan görüntülerin kapsama için ECR'ye aktarılması gerekir. Kapsayıcı görüntülerini kapsayıcı kayıt defterine aktarmayı öğrenin.
Bu özelliğin etkinleştirilmesinin tamamlandığı her hesapta, ecr'de depolanan ve tarama tetikleyicileri ölçütlerine uyan tüm görüntüler, ek kullanıcı veya kayıt defteri yapılandırması olmadan güvenlik açıklarına karşı taranır. Güvenlik açığı raporlarına sahip Öneriler, ECR kayıt defterinden veya desteklenen diğer Bulut için Defender kayıt defterinden (ACR, GCR veya GAR) çekilen EKS'de çalışmakta olan görüntülerin yanı sıra ECR'deki tüm görüntüler için sağlanır. Görüntüler kayıt defterine eklendikten kısa süre sonra taranır ve 24 saatte bir yeni güvenlik açıkları için yeniden taranır.
Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenen kapsayıcı güvenlik açığı değerlendirmesi aşağıdaki özelliklere sahiptir:
İşletim sistemi paketlerini tarama - kapsayıcı güvenlik açığı değerlendirmesi, Linux ve Windows işletim sistemlerinde işletim sistemi paket yöneticisi tarafından yüklenen paketlerdeki güvenlik açıklarını tarama özelliğine sahiptir. Desteklenen işletim sisteminin ve sürümlerinin tam listesine bakın.
Dile özgü paketler – yalnızca Linux - dile özgü paketler ve dosyalar ve bağımlılıkları işletim sistemi paket yöneticisi olmadan yüklenir veya kopyalanır. Desteklenen dillerin tam listesine bakın.
Sömürü bilgileri - Her güvenlik açığı raporu, müşterilerimizin bildirilen her güvenlik açığıyla ilişkili gerçek riski belirlemesine yardımcı olmak için sömürülebilirlik veritabanlarında aranmaktadır.
Raporlama - Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenen AWS için Kapsayıcı Güvenlik Açığı Değerlendirmesi aşağıdaki önerileri kullanarak güvenlik açığı raporları sağlar:
Bunlar, çalışma zamanı kapsayıcısı güvenlik açıklarını ve kayıt defteri görüntüsü güvenlik açıklarını bildiren yeni önerilerdir. Bunlar şu anda önizleme aşamasındadır ancak eski önerilerin yerini alacak şekilde tasarlanmıştır. Bu yeni öneriler, önizleme aşamasındayken güvenli puana doğru sayılmaz. Her iki öneri kümesi için de tarama altyapısı aynıdır.
| Öneri | Açıklama | Değerlendirme Anahtarı |
|---|---|---|
| [Önizleme] AWS kayıt defterindeki kapsayıcı görüntülerinde güvenlik açığı bulguları çözümlenmelidir | Bulut için Defender, kayıt defteri görüntülerinizi bilinen güvenlik açıklarına (CVE) karşı tarar ve taranan her görüntü için ayrıntılı bulgular sağlar. Kayıt defterindeki kapsayıcı görüntüleri için güvenlik açıklarının taranması ve düzeltilmesi, güvenli ve güvenilir bir yazılım tedarik zincirinin korunmasına yardımcı olur, güvenlik olayı riskini azaltır ve sektör standartlarına uyumluluğu sağlar. | 2a139383-ec7e-462a-90ac-b1b60e87d576 |
| [Önizleme] AWS'de çalışan kapsayıcıların güvenlik açığı bulguları çözümlenmelidir | Bulut için Defender, Kubernetes kümelerinizde çalışmakta olan tüm kapsayıcı iş yüklerinin envanterini oluşturur ve kullanılan görüntülerle kayıt defteri görüntüleri için oluşturulan güvenlik açığı raporlarını eşleştirerek bu iş yükleri için güvenlik açığı raporları sağlar. Kapsayıcı iş yüklerinin güvenlik açıklarının taranması ve düzeltilmesi, sağlam ve güvenli bir yazılım tedarik zincirinin sağlanması, güvenlik olayı riskinin azaltılması ve sektör standartlarıyla uyumluluğun sağlanması açısından kritik öneme sahiptir. | d5d1e526-363a-4223-b860-f4b6e710859f |
Şu anda kullanımdan kaldırma yolunda olan eski öneriler şunlardır:
| Öneri | Açıklama | Değerlendirme Anahtarı |
|---|---|---|
| AWS kayıt defteri kapsayıcı görüntülerinin güvenlik açığı bulguları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir) | YAYGıN olarak bilinen güvenlik açıkları (CVE) için AWS kayıt defterleri kapsayıcı görüntülerinizi tarar ve her görüntü için ayrıntılı bir güvenlik açığı raporu sağlar. Güvenlik açıklarını çözmek, güvenlik duruşunuzu büyük ölçüde geliştirerek dağıtım öncesinde görüntülerin güvenli bir şekilde kullanılmasını sağlayabilir. | c27441ae-775c-45be-8ffa-655de37362ce |
| Kapsayıcı görüntülerini çalıştıran AWS'de güvenlik açığı bulguları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir) | Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, kayıt defterinizde yaygın olarak bilinen güvenlik açıklarını (CVE) tarar ve her görüntü için ayrıntılı bir güvenlik açığı raporu sağlar. Bu öneri, Elastik Kubernetes kümelerinizde çalışmakta olan güvenlik açığı olan görüntülere görünürlük sağlar. Şu anda çalışmakta olan kapsayıcı görüntülerindeki güvenlik açıklarını düzeltmek, güvenlik duruşunuzu geliştirmek ve kapsayıcılı iş yüklerinizin saldırı yüzeyini önemli ölçüde azaltmak için önemlidir. | 682b2595-d045-4cff-b5aa-46624eb2dd8f |
Azure Kaynak Grafı aracılığıyla güvenlik açığı bilgilerini sorgulama - Azure Kaynak Grafı aracılığıyla güvenlik açığı bilgilerini sorgulama olanağı. ARG aracılığıyla önerileri sorgulamayı öğrenin.
REST API aracılığıyla tarama sonuçlarını sorgulama - REST API aracılığıyla tarama sonuçlarını sorgulamayı öğrenin.
Tarama tetikleyicileri
Görüntü taraması için tetikleyiciler şunlardır:
Tek seferlik tetikleyici:
- Kapsayıcı kayıt defterine gönderilen her görüntü taranmak üzere tetikleniyor. Çoğu durumda tarama birkaç saat içinde tamamlanır, ancak nadir durumlarda 24 saate kadar sürebilir.
- Kayıt defterinden çekilen her görüntü 24 saat içinde taranacak şekilde tetikleniyor.
Sürekli yeniden tarama tetikleme – Daha önce güvenlik açıklarına karşı taranmış görüntülerin, yeni bir güvenlik açığı yayımlanması durumunda güvenlik açığı raporlarını güncelleştirmek üzere yeniden taranmasını sağlamak için sürekli yeniden tarama gerekir.
- Yeniden tarama günde bir kez şu işlemler için gerçekleştirilir:
- Son 90 gün içinde gönderilen görüntüler.
- Son 30 günde çekilen görüntüler.
- Şu anda Bulut için Defender tarafından izlenen Kubernetes kümelerinde çalışan görüntüler (Kubernetes için Aracısız bulma veya Defender algılayıcısı aracılığıyla).
- Yeniden tarama günde bir kez şu işlemler için gerçekleştirilir:
Görüntü tarama nasıl çalışır?
Tarama işleminin ayrıntılı açıklaması aşağıdaki gibi açıklanmıştır:
Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenen AWS için kapsayıcı güvenlik açığı değerlendirmesini etkinleştirdiğinizde, Bulut için Defender Elastik Kapsayıcı kayıt defterlerinizdeki kapsayıcı görüntülerini tarama yetkisi verilir.
Bulut için Defender tüm kapsayıcı kayıt defterlerini, depoları ve görüntüleri otomatik olarak bulur (bu özellik etkinleştirilmeden önce veya sonra oluşturulur).
Günde bir kez ve kayıt defterine gönderilen yeni görüntüler için:
- Yeni bulunan tüm görüntüler çekilir ve her görüntü için bir envanter oluşturulur. Yeni tarayıcı özellikleri gerekmediği sürece daha fazla görüntü çekmeyi önlemek için görüntü envanteri tutulur.
- Envanter kullanılarak yeni görüntüler için güvenlik açığı raporları oluşturulur ve daha önce taranmış olan ve son 90 gün içinde kayıt defterine gönderilen veya çalışmakta olan görüntüler için güncelleştirilir. Bir görüntünün şu anda çalışıp çalışmadığını belirlemek için Bulut için Defender hem Kubernetes için Aracısız bulma hem de EKS düğümlerinde çalışan Defender algılayıcısı aracılığıyla toplanan envanteri kullanır
- Kayıt defteri kapsayıcı görüntüleri için güvenlik açığı raporları öneri olarak sağlanır.
Kubernetes için Aracısız bulma veya EKS düğümlerinde çalışan Defender algılayıcısı aracılığıyla toplanan envanter kullanan müşteriler için Bulut için Defender eks kümesinde çalıştırılan güvenlik açıklarına yönelik güvenlik açıklarını düzeltmeye yönelik bir öneri de oluşturur. Kubernetes için yalnızca Aracısız bulma kullanan müşteriler için bu öneride envanter yenileme süresi yedi saatte bir olur. Defender algılayıcısını da çalıştıran kümeler, iki saatlik envanter yenileme hızından yararlanıyor. Görüntü tarama sonuçları her iki durumda da kayıt defteri taramasına göre güncelleştirilir ve bu nedenle yalnızca 24 saatte bir yenilenir.
Not
Kapsayıcı Kayıt Defterleri için Defender 'da (kullanım dışı) görüntüler anında, çekmede bir kez taranır ve haftada yalnızca bir kez yeniden taranır.
Kayıt defterimden bir görüntüyü kaldırırsam, bu görüntüdeki güvenlik açıkları raporlarının kaldırılması ne kadar sürer?
Bir görüntünün ECR'den silinmesinin ardından raporların kaldırılması 30 saat sürer.
Sonraki adımlar
- Bulut için Defender Defender planları hakkında daha fazla bilgi edinin.
- Kapsayıcılar için Defender hakkında sık sorulan sorulara göz atın.