Sicherheitsrisikobewertungen für GCP mit Microsoft Defender Vulnerability Management
Die Sicherheitsrisikobewertung für GCP, die von Microsoft Defender Vulnerability Management unterstützt wird, ist eine sofort einsatzbereite Lösung, die es Sicherheitsteams ermöglicht, Sicherheitsrisiken in Linux-Containerimages ohne Konfiguration für das Onboarding und ohne Bereitstellung von Sensoren einfach zu erkennen und zu beheben.
In jedem Konto, bei dem die Aktivierung dieser Funktion abgeschlossen ist, werden alle in Google Registries (GAR und GCR) gespeicherten Images, welche die Kriterien für Scantrigger erfüllen, auf Sicherheitsrisiken ohne zusätzliche Konfiguration von Benutzer*innen oder Registrierungen gescannt. Empfehlungen mit Sicherheitsrisikoberichten werden für alle Images in Google Registries (GAR und GCR) bereitgestellt, Images, die derzeit in GKE ausgeführt werden, die von Google Registries (GAR und GCR) oder einem anderen Defender for Cloud unterstützten Registrierung (ACR oder ECR) abgerufen wurden. Images werden kurz nach dem Hinzufügen zu einer Registrierung gescannt und in dem im GCP-Connector festgelegten Intervall erneut gescannt.
Die Containersicherheitsbewertung, unterstützt von Microsoft Defender Vulnerability Management, bietet die folgenden Funktionen:
Überprüfen von Betriebssystempaketen: Mit der Containersicherheitsbewertung können vom Betriebssystempaket-Manager unter Linux und Windows-Betriebssystemen installierte Pakete auf Sicherheitsrisiken überprüft werden. Sehen Sie sich die vollständige Liste der unterstützten Betriebssysteme und Versionen an.
Sprachspezifische Pakete: nur Linux – Unterstützung für ohne den Betriebssystempaket-Manager installierte oder kopierte sprachspezifische Pakete und Dateien sowie deren Abhängigkeiten. Sehen Sie sich die vollständige Liste der unterstützten Sprachen an.
Informationen zur Ausnutzbarkeit: Jeder Sicherheitsrisikobericht wird durch Datenbanken zur Ausnutzbarkeit durchsucht, um unsere Kunden bei der Ermittlung des tatsächlichen Risikos zu unterstützen, das mit den einzelnen gemeldeten Sicherheitsrisiken verbunden ist.
Berichterstellung: Die Containersicherheitsbewertung für GCP, die von Microsoft Defender Vulnerability Management unterstützt wird, stellt Sicherheitsrisikoberichte mit den folgenden Empfehlungen bereit:
Dies sind die neuen Vorschauempfehlungen, die Sicherheitsrisiken in Runtimecontainern und Registrierungsimages melden. Diese neuen Empfehlungen zählen nicht zur Sicherheitsbewertung während der Vorschau. Die Scan-Engine für diese neuen Empfehlungen ist identisch mit den aktuellen allgemein verfügbaren Empfehlungen und liefert die gleichen Ergebnisse. Diese Empfehlungen eignen sich am besten für Kunden, die die neue risikobasierte Ansicht für Empfehlungen verwenden und den Defender CSPM-Plan aktiviert haben.
Empfehlung | BESCHREIBUNG | Bewertungsschlüssel |
---|---|---|
[Vorschau] Bei Containerimages in der GCP-Registrierung sollten ermittelte Sicherheitsrisiken behoben sein. | Defender for Cloud überprüft Ihre Registrierungsimages auf bekannte Sicherheitsrisiken (CVEs) und stellt detaillierte Ergebnisse für jedes gescannte Image bereit. Das Scannen und Beheben von Sicherheitsrisiken für Containerimages in der Registrierung trägt dazu bei, eine sichere und zuverlässige Softwarelieferkette aufrechtzuerhalten, das Risiko von Sicherheitsvorfällen zu verringern und die Einhaltung von Branchenstandards sicherzustellen. | 24e37609-dcf5-4a3b-b2b0-b7d76f2e4e04 |
[Vorschau] Bei in GCP ausgeführten Containern sollten ermittelte Sicherheitsrisiken behoben sein. | Defender for Cloud erstellt eine Bestandsaufnahme aller Containerworkloads, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden, und stellt Sicherheitsrisikoberichte für diese Workloads bereit, indem die verwendeten Images mit den für die Registrierungsimages erstellten Sicherheitsrisikoberichten abgeglichen werden. Das Scannen und Beheben von Sicherheitsrisiken in Containerworkloads ist von entscheidender Bedeutung, um eine stabile und sichere Softwarelieferkette zu gewährleisten, das Risiko von Sicherheitsvorfällen zu verringern und die Einhaltung von Branchenstandards sicherzustellen. | 1b3abfa4-9e53-46f1-9627-51f2957f8bba |
Diese aktuellen allgemein verfügbaren Empfehlungen berichten über Sicherheitsrisiken in Containern, die in einem Kubernetes-Cluster enthalten sind, und auf Containerimages, die in einer Containerregistrierung enthalten sind. Diese Empfehlungen eignen sich am besten für Kunden, die die klassische Ansicht für Empfehlungen verwenden und keinen Defender CSPM-Plan aktiviert haben.
Empfehlung | BESCHREIBUNG | Bewertungsschlüssel |
---|---|---|
GCP Registrierungscontainerimages sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management) - Microsoft Azure | Überprüft Ihre GCP-Containerimages auf häufig bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Das Beheben von Sicherheitsrisiken kann Ihren Sicherheitsstatus erheblich verbessern und sicherstellen, dass Images vor der Bereitstellung gefahrlos verwendet werden können. | c27441ae-775c-45be-8ffa-655de37362ce |
GCP Ausgeführte Containerimages sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management) - Microsoft Azure | Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Diese Empfehlung bietet Sichtbarkeit für anfällige Images, die derzeit in Ihren Google Kubernetes-Clustern ausgeführt werden. Das Beheben von Sicherheitsrisiken in Containerimages, die derzeit ausgeführt werden, ist der Schlüssel zur Verbesserung Ihres Sicherheitsstatus, wodurch die Angriffsoberfläche für Ihre Containerworkloads erheblich reduziert wird. | 5cc3a2c1-8397-456f-8792-fe9d0d4c9145 |
Abfragen von Informationen zu Sicherheitsrisiken über Azure-Resource Graph: Möglichkeit, Informationen zu Sicherheitsrisiken über Azure-Resource Graph abzufragen. Erfahren Sie, wie Sie Empfehlungen über ARG abfragen.
Abfragen von Scanergebnissen über die REST-API – Erfahren Sie, wie Sie Scanergebnisse über die REST-API abfragen.
Auslöser überprüfen
Die Trigger für eine Imageüberprüfung sind:
Einmaliges Auslösen:
- Jedes Image, das an eine Containerregistrierung übertragen wird, wird ausgelöst, um gescannt zu werden. In den meisten Fällen wird der Scan innerhalb weniger Stunden abgeschlossen, aber in seltenen Fällen kann es bis zu 24 Stunden dauern.
- Jedes Image, das aus einer Registrierung abgerufen wird, wird ausgelöst, um innerhalb von 24 Stunden gescannt zu werden.
Auslösung fortlaufender erneuter Überprüfungen – Fortlaufende erneute Überprüfungen sind erforderlich, um sicherzustellen, dass Images, die zuvor auf Sicherheitsrisiken überprüft wurden, bei Veröffentlichung eines neuen Sicherheitsrisikos erneut überprüft werden, um die Sicherheitsrisikoberichte zu aktualisieren.
- Die erneute Überprüfungen erfolgen für folgende Elemente einmal täglich:
- Images, die in den letzten 90 Tagen per Push übertragen wurden.
- Bilder , die in den letzten 30 Tagenabgerufen wurden.
- Images, die derzeit auf den von Defender for Cloud überwachten Kubernetes-Clustern ausgeführt werden (entweder über Ermittlung ohne Agent für Kubernetes oder den Defender-Sensor).
- Die erneute Überprüfungen erfolgen für folgende Elemente einmal täglich:
Wie funktioniert die Imageüberprüfung?
Eine detaillierte Beschreibung des Scan-Vorgangs wird folgendermaßen beschrieben:
Wenn Sie die Bewertung der Sicherheitsanfälligkeit in Containern für GCP aktivieren, die von Microsoft Defender Vulnerability Management unterstützt wird, autorisieren Sie Defender für Cloud, Containerimages in Ihren Elastic Container-Registrierungen zu scannen.
Defender for Cloud ermittelt automatisch alle Containerregistrierungen, Repositorys und Images (die vor oder nach der Aktivierung dieser Fähigkeit erstellt wurden).
Einmal täglich und für neue Images, die an eine Registrierung übertragen wurden:
- Alle neu entdeckten Images werden abgerufen, und für jedes Image wird ein Inventar erstellt. Der Imagebestand wird beibehalten, um weitere Imageabrufe zu vermeiden, sofern die neue Scannerfunktionen dies nicht erforderlich macht.
- Anhand des Bestands werden Sicherheitsrisikoberichte für neue Images generiert und für bereits gescannte Images aktualisiert, die entweder in den letzten 90 Tagen in eine Registrierung übertragen wurden oder derzeit ausgeführt werden. Um festzustellen, ob ein Image derzeit ausgeführt wird, verwendet Defender für Cloud sowohl Agentless Discovery für Kubernetes als auch Inventar, das über den Defender-Sensor gesammelt wird, der auf GKE-Knoten ausgeführt wird
- Sicherheitsrisikoberichte für Registrierungscontainerimages werden als Empfehlung bereitgestellt.
Für Kunden, die entweder Agentlose Discovery für Kubernetes oder über den Defender-Sensor gesammelten Bestand auf GKE-Knoten verwenden, erstellt Defender für Cloud auch eine Empfehlung zur Behebung von Sicherheitsrisiken für anfällige Images, die auf einem GKE-Cluster ausgeführt werden. Für Kunden, die nur Agentless Discovery für Kubernetes verwenden, beträgt die Aktualisierungszeit für den Bestand in dieser Empfehlung einmal alle 7 Stunden. Cluster, die auch den Defender-Sensor ausführen, profitieren von einer zweistündigen Bestandsaktualisierungsrate. Die Ergebnisse der Bildscans werden basierend auf der Registrierungsüberprüfung in beiden Fällen aktualisiert und daher nur alle 24 Stunden aktualisiert.
Hinweis
Für Defender für Containerregistrierungen (veraltet) werden Images einmal per Push und per Pull gescannt und nur einmal pro Woche erneut gescannt.
Wenn ich ein Image aus meiner Registrierung entferne, wie lange dauert es dann, bis die Berichte über Sicherheitsrisiken für dieses Image entfernt sind?
Es dauert 30 Stunden, nachdem ein Image aus Google Registries (GAR und GCR) gelöscht wurde, bevor die Berichte entfernt werden.
Nächste Schritte
- Weitere Informationen zu den Defender-Plänen für Microsoft Defender for Cloud.
- Sehen Sie sich häufige Fragen zu Defender for Containers an.