Microsoft Defender Güvenlik Açığı Yönetimi ile Azure için güvenlik açığı değerlendirmeleri
Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenen Azure için güvenlik açığı değerlendirmesi, güvenlik ekiplerinin kapsayıcı görüntülerindeki güvenlik açıklarını kolayca keşfetmesini ve düzeltmesini sağlayan, ekleme için sıfır yapılandırmaya sahip ve hiçbir aracı dağıtmadan kullanıma hazır bir çözümdür.
Not
Bu özellik yalnızca Azure Container Registry'de (ACR) görüntüleri taramayı destekler. Diğer kapsayıcı kayıt defterlerinde depolanan görüntülerin kapsama için ACR'ye aktarılması gerekir. Kapsayıcı görüntülerini kapsayıcı kayıt defterine aktarmayı öğrenin.
Bu özelliğin etkinleştirildiği her abonelikte, tarama tetikleyicileri ölçütlerini karşılayan ACR'de depolanan tüm görüntüler, ek kullanıcı veya kayıt defteri yapılandırması olmadan güvenlik açıklarına karşı taranır. Güvenlik açığı raporlarıyla Öneriler, ACR'deki tüm görüntülerin yanı sıra ACR kayıt defterinden veya desteklenen diğer Bulut için Defender kayıt defterinden (ECR, GCR veya GAR) çekilen AKS'de çalışmakta olan görüntüler için sağlanır. Görüntüler kayıt defterine eklendikten kısa süre sonra taranır ve 24 saatte bir yeni güvenlik açıkları için yeniden taranır.
Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenen kapsayıcı güvenlik açığı değerlendirmesi aşağıdaki özelliklere sahiptir:
- İşletim sistemi paketlerini tarama - kapsayıcı güvenlik açığı değerlendirmesi, Linux ve Windows işletim sisteminde işletim sistemi paket yöneticisi tarafından yüklenen paketlerde güvenlik açıklarını tarama özelliğine sahiptir. Desteklenen işletim sisteminin ve sürümlerinin tam listesine bakın.
- Dile özgü paketler – yalnızca Linux - dile özgü paketler ve dosyalar ve bağımlılıkları işletim sistemi paket yöneticisi olmadan yüklenir veya kopyalanır. Desteklenen dillerin tam listesine bakın.
- Azure Özel Bağlantı görüntü tarama - Azure kapsayıcı güvenlik açığı değerlendirmesi, Azure Özel Bağlantı'ler aracılığıyla erişilebilen kapsayıcı kayıt defterlerindeki görüntüleri tarama olanağı sağlar. Bu özellik, güvenilir hizmetlere erişim ve kayıt defteriyle kimlik doğrulaması gerektirir. Güvenilen hizmetler tarafından erişime izin verme hakkında bilgi edinin.
- Sömürü bilgileri - Her güvenlik açığı raporu, müşterilerimizin bildirilen her güvenlik açığıyla ilişkili gerçek riski belirlemesine yardımcı olmak için sömürülebilirlik veritabanlarında aranmaktadır.
- Raporlama - Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenen Azure için Kapsayıcı Güvenlik Açığı Değerlendirmesi, aşağıdaki önerileri kullanarak güvenlik açığı raporları sağlar:
Bunlar, çalışma zamanı kapsayıcısı güvenlik açıklarını ve kayıt defteri görüntüsü güvenlik açıklarını bildiren yeni önerilerdir. Bunlar şu anda önizleme aşamasındadır ancak eski önerilerin yerini alacak şekilde tasarlanmıştır. Bu yeni öneriler, önizleme aşamasındayken güvenli puana doğru sayılmaz. Her iki öneri kümesi için de tarama altyapısı aynıdır.
| Öneri | Açıklama | Değerlendirme Anahtarı |
|---|---|---|
| [Önizleme] Azure kayıt defterindeki kapsayıcı görüntülerinde güvenlik açığı bulguları çözümlenmelidir | Bulut için Defender, kayıt defteri görüntülerinizi bilinen güvenlik açıklarına (CVE) karşı tarar ve taranan her görüntü için ayrıntılı bulgular sağlar. Kayıt defterindeki kapsayıcı görüntüleri için güvenlik açıklarının taranması ve düzeltilmesi, güvenli ve güvenilir bir yazılım tedarik zincirinin korunmasına yardımcı olur, güvenlik olayı riskini azaltır ve sektör standartlarına uyumluluğu sağlar. | 33422d8f-ab1e-42be-bc9a-38685bb567b9 |
| [Önizleme] Azure'da çalışan kapsayıcılarda güvenlik açığı bulguları çözümlenmelidir | Bulut için Defender, Kubernetes kümelerinizde çalışmakta olan tüm kapsayıcı iş yüklerinin envanterini oluşturur ve kullanılan görüntülerle kayıt defteri görüntüleri için oluşturulan güvenlik açığı raporlarını eşleştirerek bu iş yükleri için güvenlik açığı raporları sağlar. Kapsayıcı iş yüklerinin güvenlik açıklarının taranması ve düzeltilmesi, sağlam ve güvenli bir yazılım tedarik zincirinin sağlanması, güvenlik olayı riskinin azaltılması ve sektör standartlarıyla uyumluluğun sağlanması açısından kritik öneme sahiptir. | e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 |
Şu anda kullanımdan kaldırma yolunda olan eski öneriler şunlardır:
| Öneri | Açıklama | Değerlendirme Anahtarı |
|---|---|---|
| Azure kayıt defteri kapsayıcı görüntülerinin güvenlik açıkları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir) | Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, kayıt defterinizde yaygın olarak bilinen güvenlik açıklarını (CVE) tarar ve her görüntü için ayrıntılı bir güvenlik açığı raporu sağlar. Güvenlik açıklarını çözmek, güvenlik duruşunuzu büyük ölçüde geliştirerek dağıtım öncesinde görüntülerin güvenli bir şekilde kullanılmasını sağlayabilir. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Kapsayıcı görüntülerini çalıştıran Azure'da güvenlik açıkları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir) | Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, kayıt defterinizde yaygın olarak bilinen güvenlik açıklarını (CVE) tarar ve her görüntü için ayrıntılı bir güvenlik açığı raporu sağlar. Bu öneri, Kubernetes kümelerinizde çalışmakta olan güvenlik açığı olan görüntülere görünürlük sağlar. Şu anda çalışmakta olan kapsayıcı görüntülerindeki güvenlik açıklarını düzeltmek, güvenlik duruşunuzu geliştirmek ve kapsayıcılı iş yüklerinizin saldırı yüzeyini önemli ölçüde azaltmak için önemlidir. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
- Azure Kaynak Grafı aracılığıyla güvenlik açığı bilgilerini sorgulama - Azure Kaynak Grafı aracılığıyla güvenlik açığı bilgilerini sorgulama olanağı. ARG aracılığıyla önerileri sorgulamayı öğrenin.
- REST API aracılığıyla tarama sonuçlarını sorgulama - REST API aracılığıyla tarama sonuçlarını sorgulamayı öğrenin.
- Muafiyet desteği - Yönetim grubu, kaynak grubu veya abonelik için muafiyet kuralları oluşturmayı öğrenin.
- Güvenlik açıklarını devre dışı bırakma desteği - Görüntülerdeki güvenlik açıklarını devre dışı bırakmayı öğrenin.
Tarama tetikleyicileri
Görüntü taraması için tetikleyiciler şunlardır:
Tek seferlik tetikleyici:
- Kapsayıcı kayıt defterine gönderilen veya içeri aktarılan her görüntü taranmak üzere tetikleniyor. Çoğu durumda tarama birkaç dakika içinde tamamlanır, ancak nadir durumlarda bir saate kadar sürebilir.
- Kayıt defterinden çekilen her görüntü 24 saat içinde taranacak şekilde tetikleniyor.
Sürekli yeniden tarama tetikleme – Daha önce güvenlik açıklarına karşı taranmış görüntülerin, yeni bir güvenlik açığı yayımlanması durumunda güvenlik açığı raporlarını güncelleştirmek üzere yeniden taranmasını sağlamak için sürekli yeniden tarama gerekir.
- Yeniden tarama günde bir kez şu işlemler için gerçekleştirilir:
- Son 90 gün içinde gönderilen görüntüler.
- Son 30 günde çekilen görüntüler.
- Şu anda Bulut için Defender tarafından izlenen Kubernetes kümelerinde çalışan görüntüler (Kubernetes için Aracısız bulma veya Defender algılayıcısı aracılığıyla).
- Yeniden tarama günde bir kez şu işlemler için gerçekleştirilir:
Görüntü tarama nasıl çalışır?
Tarama işleminin ayrıntılı açıklaması aşağıdaki gibi açıklanmıştır:
Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenen Azure için kapsayıcı güvenlik açığı değerlendirmesini etkinleştirdiğinizde, Bulut için Defender Azure Container kayıt defterlerinizdeki kapsayıcı görüntülerini tarama yetkisi alırsınız.
Bulut için Defender tüm kapsayıcı kayıt defterlerini, depoları ve görüntüleri otomatik olarak bulur (bu özellik etkinleştirilmeden önce veya sonra oluşturulur).
Bulut için Defender, Azure Container Registry'ye her yeni görüntü gönderildiğinde bildirim alır. Ardından yeni görüntü, görüntü kataloğuna hemen eklenir Bulut için Defender görüntüyü hemen taramak için bir eylem kuyruğa alır.
Günde bir kez ve kayıt defterine gönderilen yeni görüntüler için:
- Yeni bulunan tüm görüntüler çekilir ve her görüntü için bir envanter oluşturulur. Yeni tarayıcı özellikleri gerekmediği sürece daha fazla görüntü çekmeyi önlemek için görüntü envanteri tutulur.
- Envanter kullanılarak yeni görüntüler için güvenlik açığı raporları oluşturulur ve daha önce taranmış olan ve son 90 gün içinde kayıt defterine gönderilen veya çalışmakta olan görüntüler için güncelleştirilir. Bir görüntünün şu anda çalışıp çalışmadığını belirlemek için Bulut için Defender hem Kubernetes için Aracısız bulma hem de AKS düğümlerinde çalışan Defender algılayıcısı aracılığıyla toplanan envanteri kullanır
- Kayıt defteri kapsayıcı görüntüleri için güvenlik açığı raporları öneri olarak sağlanır.
Kubernetes için Aracısız bulma veya AKS düğümlerinde çalışan Defender algılayıcısı aracılığıyla toplanan envanter kullanan müşteriler için Bulut için Defender aks kümesinde çalışan güvenlik açıklarına yönelik güvenlik açıklarını düzeltmeye yönelik bir öneri de oluşturur. Kubernetes için yalnızca Aracısız bulma kullanan müşteriler için bu öneride envanter yenileme süresi yedi saatte bir olur. Defender algılayıcısını da çalıştıran kümeler, iki saatlik envanter yenileme hızından yararlanıyor. Görüntü tarama sonuçları her iki durumda da kayıt defteri taramasına göre güncelleştirilir ve bu nedenle yalnızca 24 saatte bir yenilenir.
Not
Kapsayıcı Kayıt Defterleri için Defender 'da (kullanım dışı) görüntüler anında, çekmede bir kez taranır ve haftada yalnızca bir kez yeniden taranır.
Kayıt defterimden bir görüntüyü kaldırırsam, bu görüntüdeki güvenlik açıkları raporlarının kaldırılması ne kadar sürer?
Azure Container Registries, görüntüler silindiğinde Bulut için Defender bildirir ve silinen görüntüler için güvenlik açığı değerlendirmesini bir saat içinde kaldırır. Bazı nadir durumlarda silme işlemi Bulut için Defender bildirilmeyebilir ve bu gibi durumlarda ilişkili güvenlik açıklarının silinmesi üç güne kadar sürebilir.
Sonraki adımlar
- Bulut için Defender Defender planları hakkında daha fazla bilgi edinin.
- Kapsayıcılar için Defender hakkında sık sorulan sorulara göz atın.