分享方式:


使用 Microsoft Defender 弱點管理進行 Azure 的弱點評量

由 Microsoft Defender 弱點管理所提供 Azure 的弱點評量是立即可用的解決方案,可讓安全性小組輕鬆地探索和補救容器映像中的弱點,不需要設定上線,且不需要部署任何代理程式。

注意

此功能僅支援掃描 Azure Container Registry (ACR) 中的映像。 儲存在其他容器登錄中的映像應匯入 ACR 以進入涵蓋範圍。 了解如何將容器映像匯入至容器登錄

在啟用此功能的每個訂用帳戶中,儲存在 ACR 中符合掃描觸發程序準則的所有映像都會掃描是否有弱點,而不需要任何額外的使用者或登錄設定。 針對 ACR 中的所有映像,以及目前在 AKS 中執行的映像,以及從 ACR 登錄或任何其他適用於雲端的 Defender 支援登錄 (ECR、GCR 或 GAR) 提取的映像,提供弱點報告的建議。 映像會在新增至登錄後不久掃描,並每隔 24 小時重新掃描一次新的弱點。

由 Microsoft Defender 弱點管理所提供的容器弱點評量具有下列功能:

  • 掃描 OS 套件 - 容器弱點評量能夠掃描 Linux 和 Windows OS 中 OS 套件管理員所安裝套件中的弱點。 請參閱支援 OS 及其版本的完整清單
  • 語言特定套件僅限 Linux - 支援語言特定套件和檔案,及其安裝或複製的相依性,而不需要作業系統套件管理員。 請參閱支援語言的完整清單
  • Azure Private Link 中的映像掃描 - Azure 容器弱點評量可讓您在可透過 Azure Private Link 存取的容器登錄中掃描映像。 此功能需要存取受信任的服務,並使用登錄進行驗證。 了解如何允許受信任的服務存取
  • 惡意探索資訊 - 每個弱點報告都是透過惡意探索資料庫來搜尋,以協助我們的客戶判斷與每個報告弱點相關聯的實際風險。
  • 報告 - 由 Microsoft Defender 弱點管理所提供的 Azure 容器弱點評量會使用下列建議提供弱點報告:

這些是報告運行時間容器弱點和登錄映像弱點的新預覽建議。 在預覽期間,這些新建議不會計入安全分數。 這些新建議的掃描引擎與目前的 GA 建議相同,並提供相同的結果。 這些建議最適合使用以風險為基礎的新檢視進行建議的客戶,並啟用Defender CSPM方案。

建議 描述 評量金鑰
[預覽] Azure 登錄中的容器映像應該已解決了弱點發現問題 適用於雲端的 Defender 會掃描您的登錄映像是否有已知的弱點 (CVE),並提供每個已掃描映像的詳細結果。 掃描和補救登錄中容器映射的弱點有助於維護安全且可靠的軟體供應鏈、降低安全性事件的風險,並確保符合業界標準。 33422d8f-ab1e-42be-bc9a-38685bb567b9
[預覽] 在 Azure 中執行的容器應該已解決了弱點發現問題   適用於雲端的 Defender 會針對目前在 Kubernetes 叢集中執行的所有容器工作負載建立詳細目錄,並比對所使用的映像和針對登錄映像建立的弱點報告,為這些工作負載提供弱點報告。 掃描和補救容器工作負載的弱點,對於確保健全且安全的軟體供應鏈、降低安全性事件的風險,並確保符合業界標準至關重要。 c5045ea3-afc6-4006-ab8f-86c8574dbf3d

這些目前的 GA 建議會報告 Kubernetes 叢集內所含容器中的弱點,以及容器登錄中包含的容器映射上的弱點。 這些建議最適合使用傳統檢視進行建議的客戶,且未啟用Defender CSPM方案。

建議 描述 評量金鑰
Azure 登錄容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 解決弱點可大幅改善您的安全性態勢,確保映像可安全使用再進行部署。 c0b7cfc6-3172-465a-b378-53c7ff2cc0d5
Azure 執行中的容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援)   容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在 Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵,可大幅降低容器化工作負載的受攻擊面。 c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

掃描觸發程序

映像掃描的觸發程序如下:

  • 單次觸發

    • 每個推送或匯入至容器登錄的映像都會觸發掃描。 在大部分情況下,掃描會在幾分鐘內完成,但在極少數情況下,最多可能需要一小時的時間。
    • 從登錄提取的每個映像都會在 24 小時內觸發掃描。
  • 持續重新掃描觸發 – 需要持續重新掃描,以確保先前掃描過弱點的映像會重新掃描,以在發佈新的弱點時更新其弱點報告。

映像掃描如何運作?

掃描流程的詳細描述如下:

注意

針對適用於容器登錄的 Defender (已淘汰),映像會在推送、提取時掃描一次,並每週僅重新掃描一次。

如果我從我的登錄中移除映像,該映像的弱點報告多久才會移除?

Azure Container Registries 會在刪除映像時通知適用於雲端的 Defender,並在一小時內移除已刪除映像的弱點評量。 在某些罕見情況下,適用於雲端的 Defender 可能不會在刪除時收到通知,而在這種情況下刪除相關聯的弱點最多可能需要三天的時間。

下一步