Sdílet prostřednictvím


Posouzení ohrožení zabezpečení pro GCP s Microsoft Defender Správa zranitelností

Posouzení ohrožení zabezpečení pro GCP, které využívá Microsoft Defender Správa zranitelností, je předem připravená řešení, které týmům zabezpečení umožňuje snadno zjišťovat a opravovat ohrožení zabezpečení v imagích kontejnerů Linuxu s nulovou konfigurací pro onboarding a bez nasazení jakýchkoli senzorů.

Ve všech účtech, kde je povolení této funkce dokončeno, se kontrolují všechny image uložené v registrech Google (GAR a GCR), které splňují kritéria pro triggery kontroly, ohrožení zabezpečení bez jakékoli další konfigurace uživatelů nebo registrů. Doporučení týkající se sestav ohrožení zabezpečení jsou k dispozici pro všechny image v registrech Google (GAR a GCR), imagích, které jsou aktuálně spuštěné v GKE, které byly staženy z registrů Google (GAR a GCR) nebo jakéhokoli jiného registru podporovaného službou Defender for Cloud (ACR nebo ECR). Image se krátce po přidání do registru naskenují a znovu se kontrolují v intervalu nastaveném v konektoru GCP.

Posouzení ohrožení zabezpečení kontejnerů s využitím Microsoft Defender Správa zranitelností má následující možnosti:

  • Kontrola balíčků operačního systému – Posouzení ohrožení zabezpečení kontejneru umožňuje kontrolovat ohrožení zabezpečení v balíčcích nainstalovaných správcem balíčků operačního systému v linuxových a operačních systémech Windows. Podívejte se na úplný seznam podporovaných operačních systémů a jejich verzí.

  • Jazykové balíčky – pouze Linux – podpora balíčků a souborů specifických pro jazyk a jejich závislosti nainstalované nebo zkopírované bez správce balíčků operačního systému. Podívejte se na úplný seznam podporovaných jazyků.

  • Informace o zneužití – Každá sestava ohrožení zabezpečení je prohledána prostřednictvím databází zneužití, které našim zákazníkům pomáhají při určování skutečného rizika spojeného s každou nahlášenou chybou zabezpečení.

  • Vytváření sestav – Posouzení ohrožení zabezpečení kontejneru pro GCP s využitím Microsoft Defender Správa zranitelností poskytuje sestavy ohrožení zabezpečení s využitím následujících doporučení:

Toto jsou nová doporučení ve verzi Preview, která hlásí ohrožení zabezpečení kontejnerů modulu runtime a ohrožení zabezpečení imagí registru. Tato nová doporučení se nezapočítávají do skóre zabezpečení ve verzi Preview. Skenovací modul pro tato nová doporučení je stejný jako aktuální doporučení ga a poskytuje stejná zjištění. Tato doporučení by byla nejvhodnější pro zákazníky, kteří pro doporučení používají nové zobrazení založené na rizicích a mají povolený plán CSPM v programu Defender.

Doporučení Popis Klíč posouzení
[Preview] Vyřešené zjištěných ohrožení zabezpečení imagí kontejnerů v registru GCP Defender for Cloud prohledá image registru kvůli známým ohrožením zabezpečení (CVE) a poskytuje podrobné závěry pro každou naskenovanou image. Kontrola a náprava ohrožení zabezpečení imagí kontejnerů v registru pomáhá udržovat zabezpečený a spolehlivý dodavatelský řetězec softwaru, snižuje riziko incidentů zabezpečení a zajišťuje dodržování oborových standardů. 24e37609-dcf5-4a3b-b2b0-b7d76f2e4e04
[Preview] Kontejnery spuštěné v GCP by měly mít vyřešená zjištění ohrožení zabezpečení Defender for Cloud vytvoří inventář všech úloh kontejnerů, které jsou aktuálně spuštěné v clusterech Kubernetes, a poskytuje sestavy ohrožení zabezpečení pro tyto úlohy tím, že odpovídá použitým imagím a sestavám ohrožení zabezpečení vytvořeným pro image registru. Kontrola a náprava ohrožení zabezpečení úloh kontejnerů je důležitá k zajištění robustního a zabezpečeného softwarového dodavatelského řetězce, snížení rizika incidentů zabezpečení a zajištění dodržování oborových standardů. 1b3abfa4-9e53-46f1-9627-51f2957f8bba

Tato aktuální doporučení ga hlásí ohrožení zabezpečení v kontejnerech obsažených v clusteru Kubernetes a na imagích kontejnerů obsažených v registru kontejneru. Tato doporučení by byla nejvhodnější pro zákazníky, kteří používají klasické zobrazení doporučení a nemají povolený plán CSPM v programu Defender.

Doporučení Popis Klíč posouzení
Image kontejnerů registru GCP by měly mít vyřešené závěry ohrožení zabezpečení (s využitím Microsoft Defender Správa zranitelností) – Microsoft Azure Vyhledá image kontejnerů registrů GCP z běžně známých ohrožení zabezpečení (CVE) a poskytne podrobnou sestavu ohrožení zabezpečení pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení a zajistit bezpečné použití imagí před nasazením. c27441ae-775c-45be-8ffa-655de37362ce
Řešení zjištění ohrožení zabezpečení spuštěných imagí kontejnerů GCP (s využitím Microsoft Defender Správa zranitelností) – Microsoft Azure Posouzení ohrožení zabezpečení image kontejneru kontroluje běžně známá ohrožení zabezpečení (CVE) ve vašem registru a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Toto doporučení poskytuje přehled o ohrožených imagích, které jsou aktuálně spuštěné v clusterech Google Kubernetes. Náprava ohrožení zabezpečení v imagích kontejnerů, které jsou aktuálně spuštěné, je klíčem ke zlepšení stavu zabezpečení, což výrazně snižuje prostor pro útoky pro kontejnerizované úlohy. 5cc3a2c1-8397-456f-8792-fe9d0d4c9145
  • Dotazování na informace o ohrožení zabezpečení prostřednictvím Azure Resource Graphu – Schopnost dotazovat informace o ohrožení zabezpečení prostřednictvím Azure Resource Graphu Naučte se dotazovat doporučení prostřednictvím ARG.

  • Výsledky prohledávání dotazů prostřednictvím rozhraní REST API – Zjistěte, jak dotazovat výsledky prohledávání přes rozhraní REST API.

Triggery prohledávání

Triggery pro kontrolu obrázku jsou:

  • Jednorázová aktivace:

    • Každá image vložená do registru kontejneru se aktivuje ke kontrole. Ve většině případů se kontrola dokončí během několika hodin, ale ve výjimečných případech může trvat až 24 hodin.
    • Každá image načítaná z registru se aktivuje ke kontrole do 24 hodin.
  • Průběžné opakované prohledávání – průběžné opakované prohledávání je potřeba k zajištění toho, aby se image, u kterých bylo dříve zkontrolováno ohrožení zabezpečení, znovu prohledávají, aby se aktualizovaly sestavy ohrožení zabezpečení v případě publikování nové chyby zabezpečení.

    • Opakované prohledávání se provádí jednou denně pro:
      • Obrázky vložené během posledních 90 dnů.
      • Obrázky vytáhly za posledních 30 dnů.
      • Image aktuálně spuštěné v clusterech Kubernetes monitorovaných programem Defender for Cloud (buď prostřednictvím zjišťování bez agentů pro Kubernetes, nebo senzoru Defenderu).

Jak funguje prohledávání obrázků?

Podrobný popis procesu kontroly je popsán takto:

Poznámka:

V programu Defender for Container Registryies (zastaralé) se image kontrolují jednou při nasdílení změn, na vyžádání a znovu naskenují jenom jednou týdně.

Pokud odeberu image z registru, jak dlouho se sestavy ohrožení zabezpečení na této imagi odeberou?

Odstranění obrázku z registrů Google (GAR a GCR) trvá 30 hodin, než se sestavy odeberou.

Další kroky