Sicherheitsrisikobewertungen für die externe Docker Hub-Registrierung mit Microsoft Defender-Sicherheitsrisikomanagement

Ein wichtiger Aspekt der Sicherheitslösung von Defender for Containers besteht darin, Sicherheitsrisikobewertung von Containerimages während des gesamten Lebenszyklus bereitzustellen – von der Codeentwicklung bis hin zur Cloudbereitstellung.

Um dieses Ziel zu erreichen, ist eine umfassende Abdeckung für alle Phasen des Containerimagelebenszyklus erforderlich, einschließlich Containerimages aus externen Registrierungen. Der Docker Hub-Dienst, der häufig von Unternehmen verwendet wird, SMBs und die Open-Source-Community werden in diesem Feature unterstützt. Kunden, die Docker Hub nutzen, können Defender for Containers für die Bestandsermittlung, die Bewertung des Sicherheitsstatus und die Sicherheitsrisikobewertung verwenden. Dabei profitieren Sie von den gleichen Sicherheitsfunktionen, die auch für cloudnative Registrierungen wie ACR, ECR und GCR verfügbar sind.

Funktionalität

Bestand: Ermitteln und Auflisten aller verfügbaren Containerimages innerhalb der Docker Hub-Organisation

Sicherheitsrisikobewertung: Regelmäßige Überprüfung des Docker Hub-Organisationskontos auf unterstützte Containerimages, Ermitteln von Sicherheitsrisiken und Abgeben von Empfehlungen für Probleme, die behoben werden müssen

Voraussetzungen

Damit Sie Microsoft Defender for Containers mit Ihren Docker Hub-Organisationskonten verwenden können, müssen Sie über ein Docker Hub-Organisationskonto und über Administratorberechtigungen zum Verwalten von Benutzern verfügen. Weitere Informationen finden Sie unter Einrichten von Docker Hub als externe Registrierung.

Aktivieren von Microsoft Defender for Containers oder Defender for CSPM für mindestens ein Abonnement in Microsoft Defender for Cloud

Onboarding der Docker Hub-Umgebung durchführen

Personen, die über Sicherheitsadministratorberechtigungen in Microsoft Defender for Cloud verfügen, können eine neue Docker Hub-Umgebung hinzufügen, vorausgesetzt, sie verfügen über die erforderlichen Berechtigungen auf der Seite „Umgebungseinstellungen“.

Jede Umgebung entspricht einer bestimmten Docker Hub-Organisation. Die Onboardingschnittstelle zum Hinzufügen einer neuen externen Registrierung ermöglicht es dem Benutzer, den Typ der Containerregistrierung als neue Umgebung mit der Klassifizierung „Docker Hub“ festzulegen.

Der Umgebungs-Assistent unterstützt Sie beim Onboardingprozess:

1. Connectordetails

   

   Connectorname: Geben Sie einen eindeutigen Connectornamen an.

   Standort: Geben Sie den geografischen Standort an, an dem Defender for Cloud die mit diesem Connector verknüpften Daten speichert.

   Abonnement: Das Hostingabonnement, das den RBAC-Bereich definiert, und die Abrechnungsentität für die Docker Hub-Umgebung

   Ressourcengruppe: für RBAC-Zwecke

   Hinweis

   Nur ein Abonnement kann mit einer Docker Hub-Umgebungsinstanz verknüpft werden. Containerimages aus dieser Instanz können jedoch in mehreren Umgebungen, die durch Defender for Cloud geschützt sind, außerhalb der Grenzen des zugehörigen Abonnements bereitgestellt werden.

   Scanintervalle: Wählen Sie ein Intervall zum Scannen der Containerregistrierung auf Sicherheitsrisiken aus.

2. Auswählen der Pläne

   Für diese Arten von Umgebungen sind mehrere Pläne vorhanden:

   

   • Grundlegende CSPM-Features: Der Basic-Plan, der für alle Kunden verfügbar ist, bietet nur Bestandsfunktionen.

   • Container: Bietet Funktionen für Bestand und Sicherheitsrisikobewertungen.

   • Defender CSPM: Bietet Funktionen für Bestand und Sicherheitsrisikobewertungen sowie zusätzliche Funktionen wie Angriffspfadanalyse und Code-to-Cloud-Zuordnung.

   Informationen zu den Planpreisen finden Sie unter Microsoft Defender for Cloud – Preise.

   Stellen Sie sicher, dass Ihre Docker Hub-Umgebungspläne mit Ihren Cloudumgebungsplänen synchronisiert sind, und geben Sie dasselbe Abonnement frei, um die Abdeckung zu maximieren.

3. Konfigurieren des Zugriffs

   Stellen Sie sicher, dass Sie über einen dedizierten Benutzer mit einer E-Mail-Adresse in der Organisation verfügen, um eine kontinuierliche und sichere Verbindung zwischen Defender for Cloud und Ihrer Docker Hub-Organisation aufrechtzuerhalten. Jeder Docker Hub-Connector entspricht einer Docker Hub-Organisation. Integrieren Sie daher für jede von Ihnen verwaltete Docker Hub-Organisation einen separaten Docker Hub-Umgebungsconnector in Defender for Cloud, um eine optimale Sicherheitsabdeckung für Ihre Containersoftwarelieferkette zu erzielen.

   Führen Sie die Schritte unter Einrichten von Docker Hub als externe Registrierung aus, um Ihr Docker Hub-Organisationskonto für die Integration vorzubereiten.

   Geben Sie die folgenden Parameter Ihres Docker Hub-Benutzers an, um eine Verbindung herzustellen:

   • Organisation: Name der Docker Hub-Organisation

   • Benutzer: Zugewiesener Docker Hub-Benutzername

   • Zugriffstoken: Schreibgeschütztes Zugriffstoken für Docker Hub-Benutzer

   

4. Überprüfen und generieren

   Überprüfen Sie alle konfigurierten Connectordetails, bevor Sie das Onboarding abschließen.

   

5. Überprüfen der Konnektivität

   Überprüfen Sie, ob die Verbindung erfolgreich hergestellt wurde und auf dem Einstellungsbildschirm der Umgebung „Verbunden“ angezeigt wird.

   

6. Überprüfen der Funktionen

   Docker Hub initiiert innerhalb einer Stunde nach dem Onboarding die Überprüfung der Containerregistrierung:

   • Bestand: Stellen Sie sicher, dass Ihr Docker Hub-Connector und sein Sicherheitsstatus in der Bestandsansicht angezeigt werden.

   • Sicherheitsrisikobewertung: Stellen Sie sicher, dass Sie die Empfehlung „(Vorschau) Sicherheitsrisiken von Images in der Containerregistrierung sollten behoben werden.“ erhalten, um Sicherheitsprobleme in Ihren Docker Hub-Containerimages zu beheben.