在支援的環境(Azure、AWS 或 GCP)中,Defender for Containers 可以在支援的容器註冊表和運行中的容器映像上執行無代理弱點評估。 系統會針對在容器登錄映像或執行中容器中偵測到的弱點產生相關建議。
當適用於雲端的 Defender 安全性態勢管理適用於容器的 Defender 方案中啟用登錄存取時,將對支援的容器登錄中的映像執行弱點評量。 無論容器映像的來源為何,只要在適用於雲端的 Defender 安全性態勢管理適用於容器的 Defender 方案中啟用機器的無代理程式掃描,就會對執行中的容器執行弱點評量。 相較於只掃描所支援容器登錄中的映像,執行容器的弱點評估提供更多價值,因為它也包含 Kubernetes 附加元件和叢集中執行的第三方工具。
備註
僅在 AKS 環境中執行、且由不受支援登錄映像所建立的容器,才會進行弱點評量掃描。
由 Microsoft Defender 弱點管理提供之容器映射的弱點評估具有下列功能:
掃描 OS 套件 - 容器弱點評量能夠掃描 Linux 和 Windows OS 中 OS 套件管理員所安裝套件中的弱點。 請參閱支援 OS 及其版本的完整清單。
語言特定套件 – 僅限 Linux - 支援語言特定套件和檔案,及其安裝或複製的相依性,而不需要作業系統套件管理員。 請參閱支援語言的完整清單。
Azure Private Link 中的映射掃描 - Azure 容器弱點評估可以掃描可透過 Azure Private Link 存取的容器登錄中的映射。 此功能需要存取受信任的服務,並使用登錄進行驗證。 了解如何允許受信任的服務存取。
惡意探索資訊 - 每個弱點報告都是透過惡意探索資料庫來搜尋,以協助我們的客戶判斷與每個報告弱點相關聯的實際風險。
報告 - 由 Microsoft Defender 弱點管理所提供的 Azure 容器弱點評量會使用下列建議提供弱點報告:
惡意探索資訊 - 每個弱點報告都是透過惡意探索資料庫來搜尋,以協助我們的客戶判斷與每個報告弱點相關聯的實際風險。
報告 - 由 Microsoft Defender 弱點管理所提供的容器弱點評量會使用下列建議提供弱點報告:
透過 Azure Resource Graph 查詢弱點資訊 - 能夠透過 Azure Resource Graph 查詢弱點資訊。 了解如何透過 ARG 查詢建議。
透過 REST API 查詢掃描結果 - 瞭解如何透過 REST API查詢掃描結果。
支援豁免 - 了解如何建立管理群組、資源群組或訂用帳戶的豁免規則。
支援停用弱點 - 了解如何停用映像上的弱點。
弱點發現工件簽署和驗證 - 每個影像的弱點發現工件都會以Microsoft憑證簽署,以確保完整性和真實性,並與註冊表中的容器影像相關聯,以滿足驗證需求。
弱點評估建議
下列新的預覽建議會報告執行期容器弱點和映像檔案庫弱點,而且在預覽期間不會計入安全評分。 新建議的掃描引擎與目前的 GA 建議相同,並提供相同的結果。 新建議最適合使用以風險為基礎的新檢視進行建議的客戶,並啟用Defender CSPM方案。
| 建議 | 描述 | 評量金鑰 |
|---|---|---|
| [預覽] Azure 登錄中的容器映像應該已解決了弱點發現問題 | 適用於雲端的 Defender 會掃描您的登錄映像是否有已知的弱點 (CVE),並提供每個已掃描映像的詳細結果。 掃描和補救登錄中容器映射的弱點有助於維護安全且可靠的軟體供應鏈、降低安全性事件的風險,並確保符合業界標準。 | 33422d8f-ab1e-42be-bc9a-38685bb567b9 |
| [預覽] 在 Azure 中執行的容器應該已解決了弱點發現問題 | 適用於雲端的 Defender 會針對目前在 Kubernetes 叢集中執行的所有容器工作負載建立詳細目錄,並比對所使用的映像和針對登錄映像建立的弱點報告,為這些工作負載提供弱點報告。 掃描和補救容器工作負載的弱點,對於確保健全且安全的軟體供應鏈、降低安全性事件的風險,並確保符合業界標準至關重要。 | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
下列目前的 GA 建議報告 Kubernetes 叢集中容器的弱點,以及容器登錄內容器映像的弱點。 這些建議最適合使用傳統檢視進行建議,且未啟用Defender CSPM方案的客戶。
| 建議 | 描述 | 評量金鑰 |
|---|---|---|
| Azure 登錄容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 解決弱點可大幅改善您的安全性態勢,確保映像可安全使用再進行部署。 | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Azure 執行中的容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在 Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵,可大幅降低容器化工作負載的受攻擊面。 | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
映像和容器的弱點評量如何運作
掃描適用於容器的 Defender 中支援的登錄映像
備註
必須啟用登錄存取延伸模組,才能對容器登錄中的映像進行弱點評量。
容器註冊表中映像的掃描會建立映像及其漏洞建議的清單。 支援的容器映射登錄包括:Azure Container Registry (ACR)、Amazon AWS Elastic Container Registry (ECR)、Google Artifact Registry (GAR)、Google Container Registry (GCR),以及 設定的外部登錄。 影像會在以下條件下被掃描:
- 新的映像檔會推送或匯入至容器映像檔庫。 影像在數小時內會被掃描。
- 持續重新掃描觸發 - 需要持續重新掃描,確保重新掃描先前已掃描弱點的映像,以在發佈新弱點時更新其掃描報告。
針對以下項目每天執行一次重新掃描:
- 過去 90 天內推送的影像。*
- 過去 30 天內提取的映像。
- 目前在適用於雲端的 Defender 所監視 Kubernetes 叢集上執行的映像 (透過 Kubernetes 的無代理程式探索 (部分內容可能是機器或 AI 翻譯) 或 Defender 感應器 (部分內容可能是機器或 AI 翻譯))。
* 針對過去 30 天內推送的影像,會產生新的 預覽建議 。
影像掃描的頻率
映像從容器登錄提取出後,會在 24 小時內進行掃描。
備註
在某些罕見的情況下,登錄中的新映像可能需要長達 24 小時才能進行掃描。
此外,系統會每隔 24 小時掃描下列映射以更新其弱點建議,萬一發佈新的弱點。
映像是在過去 90 天內推送或匯入至容器登錄的。
映像是在過去 30 天內從容器登錄中提取出來的。
備註
針對適用於容器登錄的 Defender (已棄用) (部分內容可能是機器或 AI 翻譯),映像會在推送、提取時掃描一次,並每週僅重新掃描一次。
掃描叢集工作負載中執行的容器
叢集工作負載中執行的容器會每隔 24 小時掃描一次是否有弱點。 掃描與執行中容器映像的來源登錄無關,並包含 Kubernetes 附加元件及協力廠商工具。 系統會為每個易受攻擊的容器產生相關建議。
備註
啟用下列兩個擴充功能時,會執行執行中容器的無代理程序掃描:
- 無代理程式機器掃描
- K8S API 存取或 Defender 感應器
備註
只有在 AKS 環境中執行時,才會掃描使用來自不支援之容器登錄的映像所建立的容器。
針對使用受支援容器登錄映像的執行容器,即使客戶未啟用無代理程式機器掃描,也會從容器登錄映像掃描中產生建議。
備註
容器運行時間層無法掃描是否有弱點。 此外,無法掃描下列容器是否有弱點:
- 節點中的容器使用 AKS 暫時性 OS 磁碟
- Windows OS 容器
如果在弱點檢查時,有任何或所有叢集節點停機,自動調整大小設定的 AKS 叢集可能只能提供部分結果或沒有結果。
如果我從我的登錄中移除映像,該映像的弱點報告多久才會移除?
Azure Container Registry 會在刪除映像時通知適用於雲端的 Defender,並在一小時內移除已刪除映像的弱點評量。 在某些罕見情況下,適用於雲端的 Defender 可能不會在刪除時收到通知,而在這種情況下刪除相關聯的弱點最多可能需要三天的時間。
下一步
- 深入了解適用於雲端的 Defender Defender 方案。
- 請參閱有關適用於容器的 Defender 的常見問題 (部分內容可能是機器或 AI 翻譯)。