Évaluations des vulnérabilités pour Azure

Effectué

L’évaluation des vulnérabilités pour Azure, avec la Gestion des vulnérabilités de Microsoft Defender, est une solution prête à l’emploi qui permet aux équipes de sécurité de découvrir et de corriger facilement des vulnérabilités dans des images conteneur, sans aucune configuration pour l’intégration ni aucun déploiement d’agents.

Remarque

Cette fonctionnalité ne prend en charge que l’analyse des images dans Azure Container Registry (ACR). Les images stockées dans d’autres registres de conteneurs doivent être importées dans Azure Container Registry (ACR) à des fins de couverture. Découvre l’importation d’images en conteneur dans un registre de conteneurs.

Dans chaque abonnement où cette fonctionnalité est activée, toutes les images stockées dans ACR qui répondent aux critères relatifs aux déclencheurs d’analyse sont analysées à la recherche de vulnérabilités, sans aucune configuration supplémentaire d’utilisateurs ou de registres. Des recommandations assorties de rapports de vulnérabilité sont fournies pour toutes les images dans ACR, ainsi que pour les images en cours d’exécution dans AKS qui ont été extraites d’un registre ACR ou de tout autre registre pris en charge par Defender pour le cloud (ECR, GCR ou GAR). Les images sont analysées peu de temps après leur ajout à un registre, puis réanalysées à la recherche de nouvelles vulnérabilités toutes les 24 heures.

L’évaluation des vulnérabilités des conteneurs optimisée par la Gestion des vulnérabilités de Microsoft Defender offre les fonctionnalités suivantes :

  • Analyse des packages de système d’exploitation : l’évaluation des vulnérabilités des conteneurs permet d’analyser les vulnérabilités dans les packages installés par le gestionnaire de package de système d’exploitation dans les systèmes d’exploitation Linux et Windows.
  • Packages spécifiques au langage – Linux uniquement : prise en charge pour des fichiers et packages spécifiques au langage et leurs dépendances installées ou copiées sans le gestionnaire de package du système d’exploitation.
  • Analyse des images dans Azure Private Link : l’évaluation des vulnérabilités des conteneurs Azure offre la possibilité d’analyser des images dans des registres de conteneurs accessibles via Azure Private Links. Cette fonctionnalité nécessite l’accès aux services approuvés et l’authentification auprès du registre. Apprenez comment autoriser l’accès par des services approuvés.
  • Informations sur l’exploitabilité : Chaque rapport de vulnérabilité fait l’objet d’une recherche dans les bases de données d’exploitabilité pour aider nos clients à déterminer le risque réel associé à chaque vulnérabilité signalée.
  • Rapports : l’évaluation des vulnérabilités de conteneurs pour Azure avec la Gestion des vulnérabilités de Microsoft Defender fournit des rapports de vulnérabilité en utilisant les recommandations suivantes :
Recommandation Description
Les vulnérabilités (alimentées par la Gestion des vulnérabilités Microsoft Defender) doivent être résolues sur les images de conteneur de registre Azure L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. La résolution des vulnérabilités permet d’améliorer considérablement votre posture de sécurité, garantissant ainsi que les images sont utilisées en toute sécurité avant le déploiement.
Les vulnérabilités doivent être résolues sur les images conteneur Azure en cours d’exécution (technologie Gestion des vulnérabilités Microsoft Defender) L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées.

Analysez des déclencheurs

Les déclencheurs d’une analyse d’image sont les suivants :

  • Déclenchement unique :

    • Chaque image envoyée ou importée à un registre de conteneurs est déclenchée pour être analysée. Dans la plupart des cas, l’analyse est effectuée en quelques minutes, mais dans de rares cas, elle peut prendre jusqu’à une heure.
    • Chaque image tirée (pulled) d’un registre est déclenchée pour être analysée dans les 24 heures.
  • Déclenchement d’une nouvelle analyse continue : une nouvelle analyse continue est nécessaire pour garantir que les images qui ont été précédemment analysées pour la recherche de vulnérabilités et sont réanalysées pour mettre à jour leurs rapports de vulnérabilité en cas de publication d’une nouvelle vulnérabilité.

  • Une nouvelle analyse est effectuée une fois par jour pour :

    • Images envoyées (pushed) au cours des 90 derniers jours.
    • Images tirées (pulled) au cours des 30 derniers jours.
    • Images en cours d’exécution sur les clusters Kubernetes surveillés par Defender pour le cloud (via la Détection sans agent pour Kubernetes ou l’Agent Defender).

Comment fonctionne l’analyse des images ?

Une description détaillée du processus d’analyse est la suivante :

  • Lorsque vous activez l’évaluation des vulnérabilités de conteneurs pour Azure avec la Gestion des vulnérabilités de Microsoft Defender, vous autorisez Defender pour le cloud à analyser les images conteneur dans vos registres de conteneurs Azure.

  • Defender pour le cloud découvre automatiquement tous les registres, référentiels et images de conteneurs (créés avant ou après l’activation de la capacité).

  • Defender pour le cloud reçoit des notifications chaque fois qu’une nouvelle image est envoyée (push) à un registre de conteneurs Azure. La nouvelle image est ensuite immédiatement ajoutée au catalogue d’images que Defender pour le cloud gère et met en file d’attente une action pour analyser l’image immédiatement.

  • Une fois par jour, et pour les nouvelles images envoyées à un registre :

    • Toutes les images nouvellement découvertes sont extraites et un inventaire est créé pour chaque image. L’inventaire d’images est conservé pour éviter tout tirage (pull) ultérieur, sauf si des fonctionnalités du nouveau scanneur l’exigent.
    • À l’aide de l’inventaire, des rapports de vulnérabilité sont générés pour les nouvelles images et mis à jour pour les images précédemment analysées ayant été envoyées (pushed) au cours des 90 derniers jours à un registre ou étant actuellement en cours d’exécution. Pour déterminer si une image est en cours d’exécution, Defender pour le cloud utilise à la fois la Détection sans agent pour Kubernetes et l’inventaire collecté via l’agent Defender s’exécutant sur des nœuds AKS
    • Les rapports de vulnérabilité pour des images conteneurs de registre sont fournis à titre de recommandation.
  • Pour les clients utilisant la Détection sans agent pour Kubernetes ou un inventaire collecté via l’agent Defender s’exécutant sur des nœuds AKS, Defender pour le cloud crée également une recommandation pour corriger des vulnérabilités pour des images vulnérables s’exécutant sur un cluster AKS. Pour les clients qui utilisent uniquement la Détection sans agent pour Kubernetes, l’heure d’actualisation de l’inventaire dans cette recommandation est une fois toutes les sept heures. Les clusters qui exécutent également l’agent Defender bénéficient d’un taux d’actualisation de l’inventaire de deux heures. Les résultats de l’analyse d’image sont mis à jour en fonction de l’analyse du registre dans les deux cas et ne sont donc actualisés que toutes les 24 heures.

Remarque

Pour Defender pour les registres de conteneurs (déprécié), les images sont analysées une fois au moment de l’envoi (push), de l’extraction (pull), puis réanalysées une seule fois par semaine.

Si je supprime une image de mon registre, le temps restant avant la suppression des rapports de vulnérabilités sur cette image ?

Azure Defender pour des registres de conteneurs avertit Defender pour le cloud lorsque des images sont supprimées et supprime l’évaluation des vulnérabilités pour des images supprimées dans un délai d’une heure. Dans de rares cas, il est possible que Defender pour le cloud ne soit pas averti de la suppression et que la suppression des vulnérabilités associées prennent jusqu’à trois jours dans ces cas.