Sdílet prostřednictvím

Posouzení ohrožení zabezpečení pro externí registr Docker Hubu s Microsoft Defender Správa zranitelností

  • Článek

Klíčovým aspektem řešení zabezpečení defenderu for Containers je poskytování posouzení ohrožení zabezpečení imagí kontejnerů v průběhu životního cyklu od vývoje kódu po cloudové nasazení.

K dosažení tohoto cíle je potřeba komplexní pokrytí pro všechny fáze životního cyklu image kontejneru, včetně imagí kontejnerů z externích registrů. V této funkci se podporuje Docker Hub, široce používaný podniky, SMB a opensourcová komunita. Zákazníci, kteří používají Docker Hub, můžou používat Defender for Containers ke zjišťování inventáře, vyhodnocení stavu zabezpečení a posouzení ohrožení zabezpečení – využívají stejné možnosti zabezpečení, které jsou dostupné pro nativní cloudové registry, jako je ACR, ECR a GCR.

Funkce

Inventář – identifikace a výpis všech dostupných imagí kontejnerů v organizaci Docker Hubu

Posouzení ohrožení zabezpečení – Pravidelně kontrolujte účet organizace Docker Hubu, vyhledejte podporované image kontejnerů, identifikujte ohrožení zabezpečení a poskytněte doporučení k problémům, které se mají vyřešit.

Požadavky

Pokud chcete používat Microsoft Defender for Containers s účty Docker Hubu organizace, musíte mít účet organizace Docker Hubu a mít oprávnění správce ke správě uživatelů. Další informace najdete v tématu Jak nastavit Docker Hub jako externí registr.

Povolení programu Microsoft Defender for Containers nebo Defender for CSPM pro aspoň jedno předplatné v programu Microsoft Defender for Cloud

Onboarding prostředí Docker Hubu

Jednotlivci, kteří mají v Programu Microsoft Defender for Cloud oprávnění správce zabezpečení, můžou přidat nové prostředí Docker Hubu za předpokladu, že mají potřebná oprávnění na stránce Nastavení prostředí.

Snímek obrazovky s panelem prostředí Defenderu pro cloud

Každé prostředí odpovídá samostatné organizaci Docker Hubu. Rozhraní pro onboarding pro přidání nového externího registru umožňuje uživateli určit typ registru kontejneru jako nové prostředí klasifikované jako "Docker Hub".

Snímek obrazovky s tlačítkem Přidat prostředí

Průvodce prostředím vám pomůže s procesem onboardingu:

  1. Podrobnosti o konektoru

    Snímek obrazovky s panelem podrobností konektoru Docker Hubu

    Název konektoru: Zadejte jedinečný název konektoru.

    Umístění: Zadejte zeměpisné umístění, kde Defender for Cloud ukládá data přidružená k tomuto konektoru.

    Předplatné: Hostitelské předplatné, které definuje rozsah RBAC a fakturační entitu pro prostředí Docker Hubu.

    Skupina prostředků: pro účely RBAC

    Poznámka:

    K instanci prostředí Docker Hubu je možné propojit pouze jedno předplatné. Image kontejnerů z této instance je však možné nasadit do více prostředí chráněných programem Defender for Cloud mimo hranice přidruženého předplatného.

    Intervaly kontroly: Vyberte interval pro kontrolu ohrožení zabezpečení registru kontejneru.

  2. Vybrat plány

    Pro tyto typy prostředí existuje více plánů:

    Snímek obrazovky s panelem pro výběr plánu konektoru Docker Hubu

    • Základní csPM: Základní plán dostupný pro všechny zákazníky, poskytuje pouze možnosti inventáře.

    • Kontejnery: Nabízí funkce posouzení inventáře a ohrožení zabezpečení.

    • CSPM v programu Defender: Nabízí funkce pro posouzení inventáře a ohrožení zabezpečení a další funkce, jako je analýza cest útoku a mapování kódu na cloud.

    Informace o cenách plánů najdete v programu Microsoft Defender for Cloud.

    Zajistěte synchronizaci plánů prostředí Docker Hubu s plány cloudového prostředí a sdílejte stejné předplatné, abyste maximalizovali pokrytí.

  3. Konfigurace přístupu

    Pokud chcete udržovat nepřetržitý a zabezpečený odkaz mezi Defenderem pro cloud a vaší organizací Docker Hubu, ujistěte se, že máte vyhrazeného uživatele s e-mailovou adresou organizace. Každý konektor Docker Hubu odpovídá jedné organizaci Docker Hubu. Proto připojte samostatný konektor prostředí Docker Hubu v programu Defender for Cloud pro každou organizaci Docker Hubu, kterou spravujete, abyste dosáhli optimálního pokrytí zabezpečení pro dodavatelský řetězec softwaru kontejneru.

    Postupujte podle kroků v tématu Jak nastavit Docker Hub jako externí registr a připravit účet organizace Docker Hubu na integraci.

    Zadejte tyto parametry od uživatele Docker Hubu pro navázání připojení.

    • Organizace: Název organizace Docker Hubu

    • Uživatel: Přiřazené uživatelské jméno Docker Hubu

    • Přístupový token: Přístupový token uživatele Docker Hubu jen pro čtení

    Snímek obrazovky konektoru Docker Hubu pro konfiguraci přístupového panelu

  4. Kontrola a generování

    Před dokončením onboardingu zkontrolujte všechny podrobnosti nakonfigurovaného konektoru.

    Snímek obrazovky s kontrolou a vygenerovaným panelem konektoru Docker Hubu

  5. Ověření možností připojení

    Ověřte, že připojení proběhlo úspěšně, a na obrazovce nastavení prostředí se zobrazí Připojeno.

    Snímek obrazovky s stavem připojeného prostředí konektoru Docker Hubu na panelu prostředí Defenderu pro cloud

  6. Ověření funkcí

    Docker Hub zahájí kontrolu registru kontejnerů během jedné hodiny po onboardingu:

    • Inventář – Ujistěte se, že se váš konektor Docker Hubu a jeho stav zabezpečení zobrazují v zobrazení Inventář.

    • Posouzení ohrožení zabezpečení – Ujistěte se, že obdržíte doporučení (Preview) Image kontejnerů v registru Docker Hubu by měly mít vyřešená zjištění ohrožení zabezpečení pro řešení problémů se zabezpečením v imagích kontejnerů Docker Hubu.