Evaluaciones de vulnerabilidades para el registro externo de Docker Hub con la Administración de vulnerabilidades de Microsoft Defender

Un aspecto clave de la solución de seguridad de Defender para contenedores es proporcionar una evaluación de las vulnerabilidades de imagen de contenedor a lo largo de su ciclo de vida, desde el desarrollo de código hasta la implementación en la nube.

Para lograr este objetivo, se necesita una cobertura completa para todas las fases del ciclo de vida de la imagen de contenedor, incluidas las imágenes de contenedor de registros externos. Docker Hub, ampliamente utilizado por empresas, pymes y la comunidad de código abierto, se admite en esta característica. Los clientes que usan Docker Hub pueden usar Defender para contenedores para la detección de inventario, la evaluación de la posición de seguridad y la evaluación de vulnerabilidades, disfrutando de las mismas funcionalidades de seguridad disponibles para los registros nativos de la nube, como ACR, ECR y GCR.

Funcionalidad

Inventario: identifique y muestre todas las imágenes de contenedor disponibles dentro de la organización de Docker Hub.

Evaluación de vulnerabilidades: analice periódicamente la cuenta de la organización de Docker Hub para ver las imágenes de contenedor admitidas, identificar vulnerabilidades y proporcionar recomendaciones para solucionar los problemas.

Requisitos previos

Para usar Microsoft Defender para contenedores con las cuentas de Docker Hub de la organización, debe poseer una cuenta de organización de Docker Hub y tener permiso de administrador para administrar usuarios. Para obtener más información, consulte Configuración de Docker Hub como un registro externo

Habilitación de Microsoft Defender para contenedores o Defender para CSPM para al menos una suscripción en Microsoft Defender for Cloud

Incorporación del entorno de Docker Hub

Los usuarios que tienen privilegios de administrador de seguridad en Microsoft Defender for Cloud pueden agregar un nuevo entorno de Docker Hub, siempre que tengan los permisos necesarios en la página "Configuración del entorno".

Cada entorno corresponde a una organización de Docker Hub distinta. La interfaz de incorporación para agregar un nuevo registro externo permite al usuario designar el tipo de registro de contenedor como un nuevo entorno clasificado como "Docker Hub".

El asistente para entornos ayuda con el proceso de incorporación:

1. Detalles del conector

   

   Nombre del conector: especifique un nombre de conector único.

   Ubicación: especifique la ubicación geográfica donde Defender for Cloud almacena los datos asociados a este conector.

   Suscripción: la suscripción de hospedaje que define el ámbito de RBAC y la entidad de facturación para el entorno de Docker Hub.

   Grupo de recursos: con fines de RBAC

   Nota:

   Solo se puede vincular una suscripción a una instancia de entorno de Docker Hub. Sin embargo, las imágenes de contenedor de esta instancia se pueden implementar en varios entornos protegidos por Defender for Cloud, fuera de los límites de la suscripción asociada.

   Intervalos de examen: seleccione un intervalo para examinar el registro de contenedor para detectar vulnerabilidades.

2. Seleccionar planes

   Existen varios planes para estos tipos de entornos:

   

   • CSPM básico: plan básico disponible para todos los clientes, solo proporciona funcionalidades de inventario.

   • Contenedores: ofrece características de evaluación de vulnerabilidades y inventario.

   • CSPM de Defender: ofrece características de evaluación de vulnerabilidades e inventario, además de funcionalidades adicionales, como el análisis de rutas de acceso a ataques y la asignación de código a nube.

   Para obtener información sobre los precios del plan, consulte los Precios de Microsoft Defender for Cloud.

   Asegúrese de que los planes de entorno de Docker Hub están sincronizados con los planes de entorno de nube y compartan la misma suscripción para maximizar la cobertura.

3. Configuración del acceso

   Para mantener un vínculo continuo y seguro entre Defender for Cloud y su organización de Docker Hub, asegúrese de que tiene un usuario dedicado con una dirección de correo electrónico de la organización. Cada conector de Docker Hub corresponde a una organización de Docker Hub. Por lo tanto, incorpore un conector de entorno de Docker Hub independiente en Defender for Cloud para cada organización de Docker Hub que administre para lograr una cobertura de seguridad óptima para la cadena de suministro de software de contenedor.

   Siga los pasos descritos en Configuración de Docker Hub como registro externo para preparar la cuenta de la organización de Docker Hub para la integración.

   Proporcione estos parámetros desde el usuario de Docker Hub para establecer una conexión.

   • Organización: nombre de la organización de Docker Hub

   • Usuario: nombre de usuario de Docker Hub asignado

   • Token de acceso: token de acceso de solo lectura del usuario de Docker Hub

   

4. Revisar y generar

   Revise todos los detalles del conector configurado antes de la finalización de la incorporación.

   

5. Validar conectividad

   Compruebe que la conexión es correcta y muestra "Conectado" en la pantalla de configuración del entorno.

   

6. Validación de las funcionalidades de características

   Docker Hub inicia el análisis del registro de contenedor en un plazo de una hora después de la incorporación:

   • Inventario: asegúrese de que el conector de Docker Hub y su estado de seguridad aparecen en la vista Inventario.

   • Evaluación de vulnerabilidades: asegúrese de recibir la recomendación "(Versión preliminar) Las imágenes de contenedor en el registro de Docker Hub debe tener resultados de vulnerabilidad resueltos" para solucionar problemas de seguridad en las imágenes de contenedor de Docker Hub.