Evaluaciones de vulnerabilidades para Azure
La valoración de vulnerabilidades para Azure, con tecnología de Administración de vulnerabilidades de Microsoft Defender, es una solución integrada que permite a los equipos de seguridad detectar y corregir fácilmente vulnerabilidades en las imágenes de contenedor sin necesidad de configuración para la incorporación y sin necesidad de implementar ningún agente.
Nota:
Esta característica solo admite el examen de imágenes en Azure Container Registry (ACR). Las imágenes almacenadas en otros registros de contenedor deben importarse a ACR para la cobertura. Obtenga más información sobre cómo Importar imágenes de contenedor en un registro de contenedor.
En todas las suscripciones en la que esta funcionalidad está habilitada, se examinan las imágenes almacenadas en ACR que cumplan los criterios necesarios para desencadenar un examen para buscar vulnerabilidades sin necesidad de configuración adicional de usuarios o registros. Las recomendaciones con informes de vulnerabilidades se proporcionan para todas las imágenes de ACR, así como para las imágenes que se ejecutan actualmente en AKS que se han extraído de un registro de ACR o cualquier otro registro compatible con Defender for Cloud (ECR, GCR o GAR). Las imágenes se examinan poco después de agregarse a un registro y se vuelven a examinar para detectar nuevas vulnerabilidades una vez cada 24 horas.
La evaluación de vulnerabilidades de contenedor con tecnología de Administración de vulnerabilidades de Microsoft Defender tiene las siguientes funcionalidades:
- Examen de paquetes del sistema operativo: la evaluación de vulnerabilidades del contenedor tiene la capacidad de examinar vulnerabilidades en los paquetes instalados por el administrador de paquetes del sistema operativo en Linux y en los sistemas operativos Windows.
- Paquetes específicos del lenguaje: (solo Linux) compatibilidad con archivos y paquetes específicos del lenguaje, y sus dependencias instaladas o copiadas sin el administrador de paquetes del sistema operativo.
- Examen de imágenes en Azure Private Link: la evaluación de vulnerabilidades del contenedor de Azure proporciona la capacidad de examinar imágenes en registros de contenedor a los que se puede acceder a través de Azure Private Links. Esta funcionalidad requiere acceso a servicios de confianza y autenticación con el Registro. Aprenda cómo Permitir acceso por parte de servicios de confianza.
- Información de vulnerabilidad: se busca en todos los informes de bases de datos de vulnerabilidades para ayudar a nuestros clientes a determinar el riesgo real asociado a cada vulnerabilidad notificada.
- Creación de informes: la evaluación de vulnerabilidades de contenedor para Azure con tecnología de Administración de vulnerabilidades de Microsoft Defender proporciona informes de vulnerabilidades mediante las siguientes recomendaciones:
| Recomendación | Descripción |
|---|---|
| Las vulnerabilidades de las imágenes del contenedor del registro de Azure deben resolverse (con la tecnología de Administración de vulnerabilidades de Microsoft Defender) | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. La resolución de vulnerabilidades puede mejorar considerablemente la posición de seguridad, lo que garantiza que las imágenes sean seguras para usarlas antes de la implementación. |
| Las vulnerabilidades de las imágenes del contenedor en ejecución de Azure deben resolverse (con la tecnología de Administración de vulnerabilidades de Microsoft Defender) | La evaluación de vulnerabilidades de la imagen de contenedor examina el registro para detectar vulnerabilidades conocidas (CVE) y proporciona un informe detallado de vulnerabilidades para cada imagen. Esta recomendación proporciona visibilidad de las imágenes vulnerables que se ejecutan actualmente en los clústeres de Kubernetes. La corrección de vulnerabilidades en imágenes de contenedor que se están ejecutando actualmente es clave para mejorar la posición de seguridad, lo que reduce significativamente la superficie expuesta a ataques para las cargas de trabajo en contenedores. |
Desencadenadores de examen
Estos son los desencadenadores de un examen de imágenes:
Desencadenamiento único:
- Cada imagen insertada o importada en un registro de contenedor se desencadena para examinarse. En la mayoría de los casos, el examen se completa en unos minutos, pero a veces podría tardar hasta una hora.
- Cada imagen extraída de un registro se desencadena para examinarse en un plazo de 24 horas.
- Cada imagen insertada o importada en un registro de contenedor se desencadena para examinarse. En la mayoría de los casos, el examen se completa en unos minutos, pero a veces podría tardar hasta una hora.
Desencadenamiento de exámenes continuos: la realización continua de exámenes es necesaria para asegurarse de que las imágenes que se han examinado previamente para detectar vulnerabilidades se vuelven a examinar para actualizar sus informes de vulnerabilidades, en caso de que se publique una nueva vulnerabilidad.
El proceso de volver a examinar realiza una vez al día para:
- Imágenes insertadas en los últimos 90 días.
- Imágenes extraídas en los últimos 30 días.
- Imágenes que se ejecutan actualmente en los clústeres de Kubernetes supervisados por Defender for Cloud (ya sea mediante Detección sin agente para Kubernetes o el agente de Defender).
¿Cómo funciona el examen de imágenes?
A continuación se describe detalladamente el proceso de examen:
Al habilitar la evaluación de vulnerabilidades de contenedor para Azure con tecnología de Administración de vulnerabilidades de Microsoft Defender, autoriza a Defender for Cloud a examinar imágenes de contenedor en los registros de Azure Container.
Defender for Cloud detecta automáticamente todos los registros de contenedores, repositorios e imágenes (creados antes o después de habilitar esta capacidad).
Defender for Cloud recibe notificaciones cada vez que se inserta una nueva imagen en una instancia de Azure Container Registry. A continuación, la nueva imagen se agrega inmediatamente al catálogo de imágenes que Defender for Cloud mantiene y pone en cola una acción para examinar la imagen inmediatamente.
Una vez al día y para las nuevas imágenes que se insertan en un registro:
- Todas las imágenes recién detectadas se extraen y se crea un inventario para cada imagen. El inventario de imágenes se mantiene para evitar más extracción de imágenes, a menos que sea necesario para las nuevas funcionalidades del escáner.
- Con el inventario, los informes de vulnerabilidades se generan para nuevas imágenes y se actualizan para las imágenes que se han examinado previamente, ya sea que se insertaron en los últimos 90 días en un registro o se están ejecutando actualmente. Para determinar si una imagen está en ejecución, Defender for Cloud utiliza tanto Detección sin agente para Kubernetes como el inventario recopilado mediante el agentes de Defender que se ejecuta en los nodos de AKS.
- Los informes de vulnerabilidades de las imágenes de contenedor del registro se ofrecen como recomendación.
- Todas las imágenes recién detectadas se extraen y se crea un inventario para cada imagen. El inventario de imágenes se mantiene para evitar más extracción de imágenes, a menos que sea necesario para las nuevas funcionalidades del escáner.
Para los clientes que usan Detección sin agente para Kubernetes o el inventario recopilado mediante el agente de Defender que se ejecuta en los nodos de AKS, Defender for Cloud también crea una recomendación para corregir las vulnerabilidades de las imágenes que se ejecutan en un clúster de AKS. Para los clientes que usan solo Detección sin agente para Kubernetes, el tiempo de actualización del inventario en esta recomendación es una vez cada siete horas. Los clústeres que también ejecutan el agente de Defender se benefician de una frecuencia de actualización de inventario de dos horas. Los resultados del examen de imágenes se actualizan en función del examen del Registro en ambos casos y, por tanto, solo se actualizan cada 24 horas.
Nota:
En el caso de Defender para registros de contenedor (en desuso), las imágenes se examinan una vez al insertarlas, al extraerlas, y se vuelven a examinar una vez a la semana.
Si elimino una imagen del registro, ¿cuánto tiempo tardarían en quitarse los informes de vulnerabilidades en esa imagen?
Azure Container Registries notifica a Defender for Cloud cuando se eliminan las imágenes y quita la evaluación de vulnerabilidades de las imágenes eliminadas en un plazo de una hora. En algunos casos poco frecuentes, es posible que Defender for Cloud no reciba una notificación sobre la eliminación y la eliminación de vulnerabilidades asociadas en estos casos puede tardar hasta tres días.