Kapsayıcı kayıt defterleri için Microsoft Defender'a giriş (kullanım dışı)
Önemli
MDVM tarafından desteklenen Azure Güvenlik Açığı Değerlendirmesinin genel önizlemesini başlattık. Daha fazla bilgi için bkz. Microsoft Defender Güvenlik Açığı Yönetimi ile Azure için güvenlik açığı değerlendirmeleri.
Azure Container Registry (ACR), Azure dağıtımları için kapsayıcı görüntülerinizi merkezi bir kayıt defterinde depolayan ve yöneten yönetilen, özel bir Docker kayıt defteri hizmetidir. Açık kaynak Docker Registry 2.0'a dayanır.
Aboneliğinizdeki Azure Resource Manager tabanlı kayıt defterlerini korumak için kapsayıcı kayıt defterleri için Microsoft Defender'ı abonelik düzeyinde etkinleştirin. Bulut için Defender kayıt defterine gönderildiğinde, kayıt defterine aktarıldığında veya son 30 gün içinde çekildiğinde tüm görüntüleri tarar. Taranan her görüntü için ( görüntü başına bir kez) ücretlendirilirsiniz.
Kullanılabilirlik
Önemli
Kapsayıcı kayıt defterleri için Microsoft Defender, Kapsayıcılar için Microsoft Defender ile değiştirildi. Bir abonelikte kapsayıcı kayıt defterleri için Defender'ı zaten etkinleştirdiyseniz kullanmaya devam edebilirsiniz. Ancak Kapsayıcılar için Defender'ın iyileştirmelerini ve yeni özelliklerini almazsınız.
Bu plan, henüz etkinleştirilmemiş abonelikler için artık kullanılamaz.
Kapsayıcılar için Microsoft Defender'a yükseltmek için portalda Defender planları sayfasını açın ve yeni planı etkinleştirin:
Sürüm notunda bu değişiklik hakkında daha fazla bilgi edinin.
| Görünüş | Ayrıntılar |
|---|---|
| Sürüm durumu: | Kullanım dışı bırakıldı (Kapsayıcılar için Microsoft Defender'ı kullanma) |
| Desteklenen kayıt defterleri ve görüntüler: | Genel İnternet'ten kabuk erişimiyle erişilebilen ACR kayıt defterlerindeki Linux görüntüleri Azure Özel Bağlantı ile korunan ACR kayıt defterleri |
| Desteklenmeyen kayıt defterleri ve görüntüler: | Windows görüntüleri 'Özel' kayıt defterleri (Güvenilen Hizmetlere erişim verilmediği sürece) Docker karalama görüntüleri gibi süper minimalist görüntüler veya paket yöneticisi, kabuk veya işletim sistemi olmadan yalnızca bir uygulamayı ve çalışma zamanı bağımlılıklarını içeren "Distroless" görüntüleri Open Container Initiative (OCI) Görüntü Biçimi Belirtimi olan görüntüler |
| Gerekli roller ve izinler: | Güvenlik okuyucusu ve Azure Container Registry rolleri ve izinleri |
| Bulut: |  Ticari bulutlarNational (Azure Kamu, 21Vianet tarafından sağlanan Microsoft Azure) |
Kapsayıcı kayıt defterleri için Microsoft Defender'ın avantajları nelerdir?
Bulut için Defender aboneliğinizdeki Azure Resource Manager tabanlı ACR kayıt defterlerini tanımlar ve kayıt defterinizin görüntüleri için Azure'a özel güvenlik açığı değerlendirmesi ve yönetimi sağlar.
Kapsayıcı kayıt defterleri için Microsoft Defender, Azure Resource Manager tabanlı Azure Container Registry kayıt defterlerinizdeki görüntüleri taramak ve görüntülerinizin güvenlik açıklarına daha derin görünürlük sağlamak için bir güvenlik açığı tarayıcısı içerir.
Sorunlar bulunduğunda iş yükü koruma panosunda bildirim alırsınız. Bulut için Defender, her güvenlik açığı için eyleme dönüştürülebilir öneriler ve önem derecesi sınıflandırması ve sorunun nasıl düzeltilmeye yönelik yönergelerini sağlar. kapsayıcılar için Bulut için Defender önerilerinin ayrıntıları için önerilerin başvuru listesine bakın.
Bulut için Defender tarayıcıdaki bulguları filtreler ve sınıflandırır. Görüntü iyi durumdayken Bulut için Defender, bunu bu şekilde işaretler. Bulut için Defender yalnızca çözülmesi gereken sorunları olan görüntüler için güvenlik önerileri oluşturur. Bulut için Defender bildirilen her güvenlik açığı ve önem derecesi sınıflandırmasının ayrıntılarını sağlar. Ayrıca, her görüntüde bulunan belirli güvenlik açıklarını düzeltmeye yönelik yönergeler sağlar.
Bulut için Defender, yalnızca sorun olduğunda bildirimde bulunarak istenmeyen bilgilendirme uyarıları olasılığını azaltır.
Görüntüler ne zaman taranır?
Görüntü taraması için üç tetikleyici vardır:
Gönderme sırasında - Kayıt defterinize her görüntü gönderildiğinde, kapsayıcı kayıt defterleri için Defender bu görüntüyü otomatik olarak tarar. Bir görüntünün taranma işlemini tetikleyebilmek için bunu deponuza gönderin.
Yakın zamanda çekildi - Her gün yeni güvenlik açıkları bulunduğundan kapsayıcı kayıt defterleri için Microsoft Defender, son 30 gün içinde çekilen tüm görüntüleri haftalık olarak tarar. Bu yeniden taramalar için ek ücret alınmaz; yukarıda belirtildiği gibi, görüntü başına bir kez faturalandırılırsınız.
İçeri aktarmada - Azure Container Registry'de Docker Hub, Microsoft Container Registry veya başka bir Azure kapsayıcı kayıt defterinden kayıt defterinize görüntü getirmek için içeri aktarma araçları bulunur. Kapsayıcı kayıt defterleri için Microsoft Defender, içeri aktardığınız desteklenen görüntüleri tarar. Kapsayıcı görüntülerini kapsayıcı kayıt defterine aktarma bölümünde daha fazla bilgi edinin.
Tarama genellikle 2 dakika içinde tamamlar, ancak 40 dakikaya kadar sürebilir. Bulgular, aşağıdaki gibi güvenlik önerileri olarak kullanılabilir hale getirilir:
Bulut için Defender Azure Container Registry ile nasıl çalışır?
Aşağıda, Bulut için Defender ile kayıt defterlerinizi korumanın bileşenlerine ve avantajlarına ilişkin üst düzey bir diyagram yer almaktadır.
SSS - Azure Container Registry görüntü tarama
Bulut için Defender bir görüntüyü nasıl tarar?
Bulut için Defender görüntüyü kayıt defterinden çeker ve tarayıcıyla yalıtılmış bir korumalı alanda çalıştırır. Tarayıcı, bilinen güvenlik açıklarının listesini ayıklar.
Bulut için Defender tarayıcıdaki bulguları filtreler ve sınıflandırır. Görüntü iyi durumdayken Bulut için Defender, bunu bu şekilde işaretler. Bulut için Defender yalnızca çözülmesi gereken sorunları olan görüntüler için güvenlik önerileri oluşturur. Bulut için Defender, yalnızca sorun olduğunda sizi bilgilendirerek istenmeyen bilgilendirme uyarıları olasılığını azaltır.
Tarama sonuçlarını REST API aracılığıyla alabilir miyim?
Evet. Sonuçlar Alt Değerlendirmeler REST API'sinin altındadır. Ayrıca tüm kaynaklarınız için Kusto benzeri API olan Azure Kaynak Grafı (ARG) kullanabilirsiniz: sorgu belirli bir taramayı getirebilir.
Hangi kayıt defteri türleri taranır? Hangi türler faturalandırılır?
Kapsayıcı kayıt defterleri için Microsoft Defender tarafından desteklenen kapsayıcı kayıt defteri türlerinin listesi için bkz . Kullanılabilirlik.
Desteklenmeyen kayıt defterlerini Azure aboneliğinize bağlarsanız Bulut için Defender bunları taramaz ve bunlar için faturalandırılmaz.
Güvenlik açığı tarayıcısından bulguları özelleştirebilir miyim?
Evet. Kuruluşta bir bulguya düzeltme yapmak yerine yoksayma gereksiniminiz varsa, isteğe bağlı olarak devre dışı bırakabilirsiniz. Devre dışı bırakılan bulgular, güvenlik puanınızı etkilemez veya istenmeyen kirlilik oluşturmaz.
Tümleşik güvenlik açığı değerlendirme aracından bulguları devre dışı bırakmak için kurallar oluşturma hakkında bilgi edinin.
Bulut için Defender neden kayıt defterimde olmayan bir görüntüyle ilgili güvenlik açıklarına karşı beni uyarıyor?
Bulut için Defender, kayıt defterine gönderilen veya çekilen her görüntü için güvenlik açığı değerlendirmeleri sağlar. Bazı görüntüler, daha önce taranmış bir görüntüden etiketleri yeniden kullanabilir. Örneğin, özete her görüntü eklediğinizde "En Son" etiketini yeniden atayabilirsiniz. Bu gibi durumlarda , 'eski' görüntü kayıt defterinde hala mevcut ve hala özeti tarafından çekilebilir. Görüntüde güvenlik bulguları varsa ve çekilirse güvenlik açıkları ortaya çıkar.