使用 Microsoft Defender 弱點管理進行 GCP 弱點評評量
GCP 的弱點評量 (由 Microsoft Defender 弱點管理提供) 是立即可用的解決方案,可讓安全性小組輕鬆地探索和補救 Linux 容器映像中的弱點,不需要設定上線,且不需要部署任何感應器。
在完成啟用此功能的每個帳戶中,系統會掃描儲存在 Google Registries (GAR 和 GCR) 中符合掃描觸發程序準則的所有映像,確定是否有弱點,而不需要任何額外的使用者或登錄設定。 會針對 Google Registries (GAR 和 GCR) 中的所有映像,以及目前在 GKE 中執行的映像 (這些映像是從 Google Registries (GAR 和 GCR) 或任何其他適用於雲端的 Defender 支援登錄 (ACR 或 ECR) 提取的),提供弱點報告的建議。 映像會在新增至登錄後不久掃描,並每隔 24 小時重新掃描一次是否有新的弱點。
由 Microsoft Defender 弱點管理所提供的容器弱點評量具有下列功能:
掃描作業系統套件 - 容器弱點評量能夠掃描 Linux 和 Windows 作業系統中作業系統套件管理員所安裝套件中的弱點。 請參閱支援的作業系統及其版本的完整清單 (部分機器翻譯)。
語言特定套件 – 僅限 Linux - 支援語言特定套件和檔案,及其安裝或複製的相依性,而不需要作業系統套件管理員。 請參閱支援語言的完整清單 (部分機器翻譯)。
惡意探索資訊 - 每個弱點報告都是透過惡意探索資料庫來搜尋,以協助我們的客戶判斷與每個報告弱點相關聯的實際風險。
報告 - 由 Microsoft Defender 弱點管理所提供的 GCP 容器弱點評量會使用下列建議提供弱點報告:
這些是報告運行時間容器弱點和登錄映像弱點的新預覽建議。 在預覽期間,這些新建議不會計入安全分數。 這些新建議的掃描引擎與目前的 GA 建議相同,並提供相同的結果。 這些建議最適合使用以風險為基礎的新檢視進行建議的客戶,並啟用Defender CSPM方案。
| 建議 | 描述 | 評量金鑰 |
|---|---|---|
| [預覽] GCP 登錄容器應該已解決發現的弱點 | 適用於雲端的 Defender 會掃描您的登錄映像是否有已知的弱點 (CVE),並提供每個已掃描映像的詳細結果。 掃描和補救登錄中容器映射的弱點有助於維護安全且可靠的軟體供應鏈、降低安全性事件的風險,並確保符合業界標準。 | 24e37609-dcf5-4a3b-b2b0-b7d76f2e4e04 |
| [預覽] 在 GCP 中執行的容器映像應該已解決發現的弱點 | 適用於雲端的 Defender 會針對目前在 Kubernetes 叢集中執行的所有容器工作負載建立詳細目錄,並比對所使用的映像和針對登錄映像建立的弱點報告,為這些工作負載提供弱點報告。 掃描和補救容器工作負載的弱點,對於確保健全且安全的軟體供應鏈、降低安全性事件的風險,並確保符合業界標準至關重要。 | 1b3abfa4-9e53-46f1-9627-51f2957f8bba |
這些目前的 GA 建議會報告 Kubernetes 叢集內所含容器中的弱點,以及容器登錄中包含的容器映射上的弱點。 這些建議最適合使用傳統檢視進行建議的客戶,且未啟用Defender CSPM方案。
| 建議 | 描述 | 評量金鑰 |
|---|---|---|
| GCP 登錄容器映像應已解決發現的弱點 (由 Microsoft Defender 弱點管理提供支援) - Microsoft Azure | 掃描 GCP 登錄容器映像中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 解決弱點可大幅改善您的安全性態勢,並在部署前確保映像可安全使用。 | c27441ae-775c-45be-8ffa-655de37362ce |
| GCP 執行中容器映像應已解決發現的弱點 (由 Microsoft Defender 弱點管理提供支援) - Microsoft Azure | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在您 Google Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵,可大幅降低容器化工作負載的受攻擊面。 | 5cc3a2c1-8397-456f-8792-fe9d0d4c9145 |
透過 Azure Resource Graph 查詢弱點資訊 - 能夠透過 Azure Resource Graph 查詢弱點資訊。 了解如何透過 ARG 查詢建議。
透過 REST API 查詢掃描結果 - 了解如何透過 REST API 查詢掃描結果。
掃描觸發程序
映像掃描的觸發程序如下:
單次觸發:
- 每個推送至容器登錄的映像都會觸發掃描。 在大部分情況下,掃描會在幾小時內完成,但在極少數情況下,最多可能需要 24 小時的時間。
- 從登錄提取的每個映像都會在 24 小時內觸發掃描。
持續重新掃描觸發 – 需要持續重新掃描,以確保先前掃描過弱點的映像會重新掃描,以在發佈新的弱點時更新其弱點報告。
- 每天執行一次重新掃描:
- 過去 90 天內推送的映像。
- 過去 30 天內提取的映像。
- 目前在適用於雲端的 Defender 所監視 Kubernetes 叢集上執行的映像 (透過 Kubernetes 的無代理程式探索或 Defender 感應器)。
- 每天執行一次重新掃描:
映像掃描如何運作?
掃描流程的詳細描述如下:
當您啟用由 Microsoft Defender 弱點管理所提供的 GCP 容器弱點評量時,您會授權適用於雲端的 Defender 掃描彈性容器登錄中的容器映像。
適用於雲端的 Defender 會自動探索所有容器登錄、存放庫和映像 (在啟用此功能之前或之後建立)。
一天一次,並針對推送至登錄的新映像:
- 系統會提取所有新探索到的映像,並針對每個映像建立詳細目錄。 除非新的掃描器功能需要,否則會保留映像詳細目錄以避免進一步的映像提取。
- 使用詳細目錄時,系統會針對新的映像產生弱點報告,並針對先前所掃描在過去 90 天內推送至登錄,或目前正在執行的映像進行更新。 若要判斷映像目前是否正在執行,適用於雲端的 Defender 會使用針對 Kubernetes 的無代理程式探索,以及透過在 GKE 節點上執行的 Defender 感應器收集的詳細目錄
- 登錄容器映像的弱點報告是作為建議提供的。
對於使用針對 Kubernetes 的無代理程式探索或透過在 GKE 節點上執行的 Defender 感應器收集的詳細目錄的客戶,適用於雲端的 Defender 也會針對在 GKE 叢集上執行的易受攻擊映像補救弱點建立建議。 對於僅使用針對 Kubernetes 的無代理程式探索的客戶,此建議中的詳細目錄重新整理時間是每 7 小時一次。 同時執行 Defender 感應器的叢集受益於兩小時的詳細目錄重新整理率。 映像掃描結果會根據這兩種情況下的登錄掃描進行更新,因此只會每隔 24 小時重新整理一次。
注意
針對適用於容器登錄的 Defender (已淘汰),映像會在推送、提取時掃描一次,並每週僅重新掃描一次。
如果我從我的登錄中移除映像,該映像的弱點報告多久才會移除?
從 Google Registries (GAR 和 GCR) 刪除映像之後,需要 30 小時的時間才能移除報告。
下一步
- 深入了解適用於雲端的 Defender Defender 方案。
- 請參閱適用於容器的 Defender 常見問題。