Azure 漏洞评估
由 Microsoft Defender 漏洞管理提供支持的 Azure 漏洞评估是一种现成的解决方案,使安全团队能够轻松发现和修复容器映像中的漏洞,零配置启动,无需部署任何代理。
注意
此功能仅支持扫描 Azure 容器注册表 (ACR) 中的图像。 应将存储在其他容器注册表中的映像导入到 ACR 中以实现覆盖。 了解如何将容器映像导入容器注册表。
在启用此功能的每个订阅中,ACR 中存储的满足扫描触发器标准的所有映像都会被扫描以查找漏洞,而无需任何额外的用户或注册表配置。 为 ACR 中的所有映像,以及当前在 AKS 中运行的、从 ACR 注册表或任何其他 Defender for Cloud 支持的注册表(ECR、GCR 或 GAR)中拉取的映像提供了漏洞报告建议。 将映像添加到注册表后,将会立即对其进行扫描,并每隔 24 小时重新扫描一次新的漏洞。
由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估具有以下功能:
- 扫描 OS 包 - 容器漏洞评估能够扫描 Linux 和 Windows OS 中 OS 包管理器安装的包中的漏洞。
- 特定于语言的包 - 仅限 Linux - 支持特定于语言的包和文件及其依赖项,无需 OS 包管理器即可安装或复制。
- Azure 专用链接中的映像扫描 - Azure 容器漏洞评估提供扫描可通过 Azure 专用链接访问的容器注册表中的映像的功能。 此功能需要访问受信任的服务并使用注册表进行身份验证。 了解如何允许受信任的服务进行访问。
- 可利用性信息 - 通过可利用性数据库搜索每个漏洞报告,以帮助客户确定与每个报告的漏洞关联的实际风险。
- 报告 - 由 Microsoft Defender 漏洞管理提供支持的 Azure 容器漏洞评估使用以下建议提供漏洞报告:
| 建议 | 描述 |
|---|---|
| Azure 注册表容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 |
| Azure 运行容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 |
扫描触发器
映像扫描的触发器为:
一次性触发:
- 每个推送或导入到容器注册表的映像都会被触发进行扫描。 在大多数情况下,扫描将在几分钟内完成,但在极少数情况下可能需要长达一个小时。
- 从注册表提取的每个映像将在 24 小时内触发扫描。
- 每个推送或导入到容器注册表的映像都会被触发进行扫描。 在大多数情况下,扫描将在几分钟内完成,但在极少数情况下可能需要长达一个小时。
连续重新扫描触发 - 需要连续重新扫描,以确保重新扫描以前扫描过漏洞的映像,以便在发布新漏洞时更新其漏洞报告。
每天对以下内容执行一次重新扫描:
- 过去 90 天内推送的图像。
- 过去 30 天内拉取的图像。
- 当前运行在由 Defender for Cloud 监视的 Kubernetes 群集上的映像(通过 Kubernetes 的无代理发现或 Defender 代理)。
映像扫描的工作原理是什么?
扫描过程的详细说明如下所述:
启用由 Microsoft Defender 漏洞管理提供支持的 Azure 容器漏洞评估时,授权 Defender for Cloud 扫描 Azure 容器注册表中的容器映像。
Defender for Cloud 会自动发现所有容器注册表、存储库和映像(在启用此功能之前或之后创建)。
每当将新映像推送到 Azure 容器注册表时,Defender for Cloud 将会收到通知。 然后,新映像会立即添加到由 Defender for Cloud 维护的映像目录中,并理解将操作排队以扫描映像。
每天一次,对于推送到注册表的新映像:
- 拉取所有新发现的映像,并为每个映像创建一个清单。 除非新的扫描程序功能需要,否则将保留图像清单以避免进一步拉取映像。
- 使用清单时,会为新映像生成漏洞报告,并更新以前扫描的映像的漏洞报告,这些映像或者在最近 90 天内被推送到注册表,或者当前正在运行。 为了确定映像当前是否正在运行,Defender for Cloud 会同时使用 Kubernetes 的无代理发现和通过 AKS 节点上运行的 Defender 代理收集的清单
- 注册表容器映像的漏洞报告是作为建议提供的。
- 拉取所有新发现的映像,并为每个映像创建一个清单。 除非新的扫描程序功能需要,否则将保留图像清单以避免进一步拉取映像。
对于使用 Kubernetes 的无代理发现或通过 AKS 节点上运行的 Defender 代理收集的清单的客户,Defender for Cloud 还会创建一个建议,用于修正 AKS 群集上运行的易受攻击的映像的漏洞。 对于仅使用 Kubernetes 的无代理发现的客户,此建议中的清单刷新时间为每七小时一次。 同时运行 Defender 代理的群集的清单刷新时间为每两小时一次。 将基于这两种情况下的注册表扫描来更新映像扫描结果,因此每 24 小时仅刷新一次。
注意
对于 Defender for Container Registries(已弃用),将在推送、拉取映像时扫描一次映像,并且每周仅重新扫描一次。
如果我从注册表中移除某个映像,多久之后会移除有关该映像的漏洞报告?
删除映像时,Azure 容器注册表会通知 Defender for Cloud,并在一小时内移除已删除映像的漏洞评估。 在极少数情况下,Defender for Cloud 可能不会收到有关删除的通知,这时可能需要最多三天的时间才能删除关联的漏洞。