分享方式:


適用於容器登錄的 Microsoft Defender 簡介 (已被取代)

重要

我們已開始公開預覽由 MDVM 提供技術支援的 Azure 弱點評估。 如需詳細資訊,請參閱使用 Microsoft Defender 弱點管理進行 Azure 的弱點評估 (英文)。

Azure Container Registry (ACR) 是受控的私人 Docker 登錄服務,可在中央登錄中儲存及管理您 Azure 部署的容器映像。 此服務以開放原始碼的 Docker Registry 2.0 為基礎。

若要保護您訂閱中以 Azure Resource Manager 為基礎的登錄,請在訂閱層級上啟用適用於容器登錄的 Microsoft Defender。 適用於雲端的 Defender 接著將會掃描推送至登錄的所有映像、匯入登錄中的映像,或過去 30 天內提取的映像。 我們會對每個掃描的映像向您收取費用 - 每個映像一筆。

可用性

重要

適用於容器的 Microsoft Defender 登錄已被適用於容器的 Defender 取代。 如果您已在訂用帳戶上啟用適用於容器登錄的 Defender,您可以繼續加以使用。 不過,您不會取得適用於容器的 Defender 改善和新功能。

此方案已無法再供尚未啟用的訂用帳戶使用。

若要升級至適用於容器的 Microsoft Defender,請在入口網站中開啟 Defender 方案頁面,並啟用新的方案:

在 Defender 方案頁面啟用適用於容器的 Microsoft Defender。

版本資訊中深入了解這項變更。

層面 詳細資料
版本狀態: 已取代 (使用適用於容器的 Microsoft Defender)
支援的登錄和映像: ACR 登錄中的 Linux 映像可透過殼層存取從公用網際網路來存取
受 Azure Private Link 保護的 ACR 登錄
不支援的登錄和映像: Windows 映像
「私人」登錄 (除非已授與受信任的服務存取權)
極簡映像,例如 Docker scratch 映像,或只包含應用程式及其執行階段相依性,但不含套件管理員、shell 或 OS 的「Distroless」映像
Open Container Initiative (OCI) 映像格式規格的映像
必要的角色和權限: 安全性讀取者Azure Container Registry 角色和權限
雲端: 商業雲端
國家 (Azure Government、由 21Vianet 營運的 Microsoft Azure)

適用於容器登錄的 Microsoft Defender 有哪些優點?

適用於雲端的 Defender 可識別您的訂閱中以 Azure Resource Manager 為基礎的 ACR 登錄,並順暢地為您的登錄映像提供 Azure 原生弱點評定和管理。

適用於容器登錄的 Microsoft Defender 包含弱點掃描器,可在您以 Azure Resource Manager 為基礎的 Azure Container Registry 登錄中掃描映像,並且讓您更深入地檢視映像的弱點。

發現問題時,您會在工作負載保護儀表板中收到通知。 針對每個弱點,適用於雲端的 Defender 都會提供可採取動作的建議及嚴重性分類,以及如何補救問題的指引。 深入了解容器建議。

適用於雲端的 Defender 會篩選並分類掃描器得出的結果。 當映像檔案狀況良好時,適用於雲端的 Defender 會對其進行標記。 適用於雲端的 Defender 只會針對有待解決問題的映像檔案產生安全性建議。 適用於雲端的 Defender 會提供每個回報的弱點和嚴重性分類的詳細資料。 此外也會提供如何對在每個映像上發現的特定弱點進行補救的指引。

適用於雲端的 Defender 只會在發生問題時發出通知,藉以減少非必要的資訊警示。

何時會掃描映像?

映像掃描有三個觸發程序:

  • 推送時 - 每當映像推送至您的登錄時,適用於容器登錄的 Defender 就會自動掃描該映像。 若要觸發映像的掃描,請將其推送至您的存放庫。

  • 最近提取的 - 由於每天都會發現新的弱點,適用於容器登錄的 Microsoft Defender 也會每週掃描過去 30 天內提取的任何映像。 重新掃描不會額外收費;如前所述,您需按映像付費。

  • 匯入時 - Azure Container Registry 具有匯入工具,可將映像從 Docker Hub、Microsoft Container Registry 或另一個 Azure Container Registry 導入您的登錄中。 適用於容器登錄的 Microsoft Defender 會掃描您匯入的任何支援映像。 深入了解如何將容器映像匯入至容器登錄

掃描通常會在 2 分鐘內完成,但最多可能需要 40 分鐘。 結果會以安全性建議的形式提供,如下所示:

適用於雲端的 Microsoft Defender 針對在 Azure Container Registry (ACR) 裝載映像中探索到的弱點提供的建議範例。

適用於雲端的 Defender 如何與 Azure Container Registry 搭配運作

以下是使用適用於雲端的 Defender 保護登錄的所需元件和優點的高階圖表。

適用於雲端的 Microsoft Defender 和 Azure Container Registry (ACR) 高階概觀。

常見問題集 - Azure Container Registry 映像掃描

適用於雲端的 Defender 掃描映像的方式為何?

適用於雲端的 Defender 會從登錄提取映像,並使用掃描器在隔離的沙箱中執行動作。 掃描器會擷取已知弱點的清單。

適用於雲端的 Defender 會篩選並分類掃描器得出的結果。 當映像檔案狀況良好時,適用於雲端的 Defender 會對其進行標記。 適用於雲端的 Defender 只會針對有待解決問題的映像檔案產生安全性建議。 透過僅在發生問題時通知您,適用於雲端的 Defender 減少出現不必要資訊警示的可能性。

是否可透過 REST API 取得掃描結果?

是。 結果會存放在子評定 REST API 下。 此外,您可以使用 Azure Resource Graph (ARG),這是適用於所有資源的類 Kusto API:查詢可以擷取特定的掃描。

掃描的登錄類型為何? 哪些類型需計費?

如需適用於容器登錄的 Microsoft Defender 所支援的容器登錄類型清單,請參閱可用性

如果您將不支援的登錄連接到您的 Azure 訂閱,則適用於雲端的 Defender 不會掃描這些登錄,也不會向您收取費用。

我可以自訂來自弱點掃描器的結果嗎?

是。 如果您的組織需要忽略某個結果,而不是將其修復,您可以選擇性地停用該結果。 停用的結果不會影響您的安全分數或產生不想要的雜訊。

深入了解建立規則以停用來自整合式弱點評估工具的結果

為什麼適用於雲端的 Defender 會向我發出並非我登錄中映像的弱點警示?

適用於雲端的 Defender 會針對在登錄中推送或提取的每個映像提供弱點評定。 有些映像可能會重複使用已掃描映像中的標籤。 例如,您可能會在每次將映像新增至摘要時,重新指派「最新」標籤。 在這種情況下,「舊」映像仍然存在於登錄中,而且可能仍會由其摘要提取。 如果映像具有安全性問題,並且已提取,則會暴露安全性弱點。

下一步