Valutazioni delle vulnerabilità per Azure
La valutazione delle vulnerabilità per Azure, all’interno di Gestione delle vulnerabilità di Microsoft Defender, è una soluzione predefinita che consente ai team di sicurezza di individuare e correggere facilmente le vulnerabilità nelle immagini dei contenitori, con zero configurazione per l'onboarding e senza distribuzione di agenti.
Nota
Questa funzionalità supporta l'analisi di immagini solo nel Registro Azure Container (ACR). Le immagini archiviate in altri registri di contenitori devono essere importate in Registro Azure Container per la copertura. Informazioni su come importare immagini del contenitore in un registro contenitori.
In ogni sottoscrizione in cui questa funzionalità è abilitata, tutte le immagini archiviate in Registro Azure Container che soddisfano i criteri per i trigger di analisi vengono analizzate per individuare le vulnerabilità senza alcuna configurazione aggiuntiva di utenti o registri. Raccomandazioni con i report sulle vulnerabilità vengono forniti per tutte le immagini nel Registro Azure Container, nonché per le immagini attualmente in esecuzione nel servizio Azure Kubernetes estratte da un Registro Azure Container o da qualsiasi altro registro supportato da Defender per il cloud (ECR, GCR o GAR). Le immagini vengono analizzate poco dopo l'aggiunta a un registro e analizzate nuovamente per individuare nuove vulnerabilità ogni 24 ore.
La valutazione della vulnerabilità dei contenitori all’interno di Gestione delle vulnerabilità di Microsoft Defender offre le funzionalità seguenti:
- Analisi dei pacchetti del sistema operativo: la valutazione della vulnerabilità dei contenitori consente di analizzare le vulnerabilità nei pacchetti installati dalla gestione pacchetti del sistema operativo nei sistemi operativi Linux e Windows.
- Pacchetti specifici della lingua: solo Linux - supporto per pacchetti e file specifici della lingua e le relative dipendenze installate o copiate senza gestione pacchetti del sistema operativo.
- Analisi delle immagini nel collegamento privato di Azure: la valutazione della vulnerabilità del contenitore di Azure offre la possibilità di analizzare le immagini nei registri contenitori accessibili tramite collegamenti privati di Azure. Questa funzionalità richiede l'accesso ai servizi attendibili e all'autenticazione con il registro. Informazioni su come consentire l'accesso da parte di servizi attendibili.
- Informazioni sull'exploit: ogni report sulla vulnerabilità viene cercato tramite database di sfruttabilità per aiutare i clienti a determinare il rischio effettivo associato a ogni vulnerabilità segnalata.
- Reporting: la valutazione della vulnerabilità dei contenitori per Azure all’interno di Gestione delle vulnerabilità di Microsoft Defender fornisce report sulle vulnerabilità usando le raccomandazioni seguenti:
| Consiglio | Descrizione |
|---|---|
| Le immagini del contenitore del registro di Azure devono avere vulnerabilità risolte (all’interno di Gestione delle vulnerabilità di Microsoft Defender) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. La risoluzione delle vulnerabilità può migliorare notevolmente il comportamento di sicurezza, assicurandosi che le immagini siano sicure da usare prima della distribuzione. |
| Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (all’interno della Gestione delle vulnerabilità di Microsoft Defender) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori. |
Trigger di analisi
I trigger per un'analisi di immagini sono:
Trigger monouso:
- Ogni immagine di cui è stato eseguito il push o l'importazione in un registro contenitori viene attivata per l'analisi. Nella maggior parte dei casi, l'analisi viene completata entro pochi minuti, ma in rari casi potrebbe richiedere fino a un'ora.
- Ogni immagine estratta da un registro viene attivata per essere analizzata entro 24 ore.
- Ogni immagine di cui è stato eseguito il push o l'importazione in un registro contenitori viene attivata per l'analisi. Nella maggior parte dei casi, l'analisi viene completata entro pochi minuti, ma in rari casi potrebbe richiedere fino a un'ora.
Attivazione continua per ripetere l'analisi: è necessaria una nuova analisi continua per assicurarsi che le immagini analizzate in precedenza per individuare le vulnerabilità vengano analizzate di nuovo per aggiornare i report sulle vulnerabilità nel caso in cui venga pubblicata una nuova vulnerabilità.
La ripetizione dell'analisi viene eseguita una volta al giorno per:
- Le immagini inserite negli ultimi 90 giorni.
- Le immagini estratte negli ultimi 30 giorni.
- Immagini attualmente in esecuzione nei cluster Kubernetes monitorati da Defender per il cloud (tramite l'individuazione senza agente per Kubernetes o l'agente Defender).
Come funziona l'analisi delle immagini?
Una descrizione dettagliata del processo di analisi è descritta di seguito:
Quando si abilita la valutazione della vulnerabilità dei contenitori per Azure della Gestione delle vulnerabilità di Microsoft Defender, è possibile autorizzare Defender per il cloud ad analizzare le immagini dei contenitori nei registri contenitori di Azure.
Defender per il cloud individua automaticamente tutti i registri dei contenitori, i repository e le immagini (creati prima o dopo l'abilitazione di questa funzionalità).
Defender per il cloud riceve notifiche ogni volta che viene inserita una nuova immagine in un Registro Azure Container. La nuova immagine viene quindi aggiunta immediatamente al catalogo di immagini che Defender per il cloud gestisce e accoda un'azione per analizzare immediatamente l'immagine.
Una volta al giorno e per le nuove immagini inserite in un registro:
- Tutte le immagini appena individuate vengono estratte e viene creato un inventario per ogni immagine. L'inventario delle immagini viene mantenuto per evitare ulteriori estrazioni di immagini, a meno che non siano necessarie nuove funzionalità dello scanner.
- Usando l'inventario, i report sulle vulnerabilità vengono generati per le nuove immagini e aggiornati per le immagini analizzate in precedenza che sono state estratte negli ultimi 90 giorni a un registro, o sono attualmente in esecuzione. Per determinare se un'immagine è attualmente in esecuzione, Defender per il cloud usa sia l'individuazione senza agente per Kubernetes che l'inventario raccolto tramite l'agente Defender in esecuzione nei nodi del servizio Azure Kubernetes
- I report sulle vulnerabilità per le immagini del contenitore del registro vengono forniti come raccomandazione.
- Tutte le immagini appena individuate vengono estratte e viene creato un inventario per ogni immagine. L'inventario delle immagini viene mantenuto per evitare ulteriori estrazioni di immagini, a meno che non siano necessarie nuove funzionalità dello scanner.
Per i clienti che usano l'individuazione senza agente per Kubernetes o l'inventario raccolti tramite l'agente Defender in esecuzione nei nodi del servizio Azure Kubernetes, Defender per il cloud crea anche una raccomandazione per correggere le vulnerabilità per le immagini vulnerabili in esecuzione in un cluster del servizio Azure Kubernetes. Per i clienti che usano solo l'individuazione senza agente per Kubernetes, il tempo di aggiornamento per l'inventario in questa raccomandazione è una volta ogni sette ore. I cluster che eseguono anche l'agente Defender traggono vantaggio da una frequenza di aggiornamento dell'inventario di due ore. I risultati dell'analisi delle immagini vengono aggiornati in base all'analisi del registro in entrambi i casi e, pertanto, vengono aggiornati solo ogni 24 ore.
Nota
Per i registri contenitori di Defender per contenitori (deprecato), le immagini vengono analizzate una volta su push, su pull, e vengono analizzate di nuovo solo una volta alla settimana.
Se si rimuove un'immagine dal registro, quanto tempo ci vorrà prima che i report sulle vulnerabilità di quell'immagine vengano rimossi?
Registri Azure Container notifica Defender per il cloud quando le immagini vengono eliminate e rimuove la valutazione della vulnerabilità per le immagini eliminate entro un'ora. In alcuni rari casi, Defender per il cloud potrebbe non ricevere notifiche sull'eliminazione e l'eliminazione delle vulnerabilità associate in tali casi potrebbe richiedere fino a tre giorni.