다음을 통해 공유

Microsoft Defender 취약성 관리를 이용한 Docker Hub 외부 레지스트리에 대한 취약성 평가

  • 아티클

코드 개발에서 클라우드 배포에 이르기까지 수명 주기 내내 컨테이너 이미지 취약성 평가를 제공하는 것이 컨테이너용 Defender 보안 솔루션의 주요 측면입니다.

외부 레지스트리의 컨테이너 이미지를 포함하는 컨테이너 이미지 수명 주기의 모든 단계에 대한 포괄적인 적용 범위가 이 목표를 달성하기 위해 필요합니다. 이 기능에서는 기업, SMB 및 오픈 소스 커뮤니티에서 널리 사용되는 Docker Hub가 지원됩니다. Docker Hub를 사용하는 고객은 컨테이너용 Defender를 인벤토리 검색, 보안 상태 평가 및 취약성 평가에 사용할 수 있으며, ACR, ECR 및 GCR과 같은 클라우드 네이티브 레지스트리에 사용할 수 있는 동일한 보안 기능을 활용할 수 있습니다.

기능

인벤토리 – Docker Hub 조직 내에서 사용 가능한 모든 컨테이너 이미지 식별 및 나열

취약성 평가 – 정기적으로 Docker Hub 조직 계정에서 지원되는 컨테이너 이미지를 검색하고, 취약성을 식별하며, 해결해야 할 문제에 대한 권장 사항을 제공합니다.

필수 조건

Docker 허브 조직 계정을 소유하고 사용자를 관리할 수 있는 관리자 권한이 있어야 컨테이너용 Microsoft Defender를 조직 Docker Hub 계정에서 사용할 수 있습니다. Docker Hub를 외부 레지스트리로 설정하는 방법을 참조하여 자세한 내용을 확인하세요.

컨테이너용 Microsoft Defender 또는 CSPM용 Defender를 클라우드용 Microsoft Defender 하나 이상의 구독에 대해 사용하도록 설정

Docker Hub 환경 온보딩

"환경 설정" 페이지에 필요한 권한이 있는 경우, 클라우드용 Microsoft Defender 보안 관리자 권한이 있는 개인은 새 Docker Hub 환경을 추가할 수 있습니다.

이 스크린샷은 클라우드용 Defender 환경 패널을 보여 줍니다.

각 환경은 고유한 Docker Hub 조직에 해당합니다. 컨테이너 레지스트리 유형을 "Docker Hub"로 분류된 새 환경으로 지정하기 위해 새 외부 레지스트리를 추가하기 위한 온보딩 인터페이스를 사용할 수 있습니다.

이 스크린샷은 환경 추가 버튼을 보여 줍니다.

환경 마법사는 다음과 같은 온보딩 프로세스를 지원합니다.

  1. 커넥터 세부 정보

    이 스크린샷은 Docker Hub 커넥터 세부 정보 패널을 보여 줍니다.

    커넥터 이름: 고유한 커넥터 이름을 지정합니다.

    위치: 이 커넥터와 관련된 데이터를 클라우드용 Defender가 저장하는 지리적 위치를 지정합니다.

    구독: 호스팅 구독으로, DOCKER 허브 환경에 대한 RBAC 범위 및 청구 엔터티를 정의합니다.

    리소스 그룹: RBAC용

    참고 항목

    Docker 허브 환경 인스턴스에는 하나의 구독만 연결할 수 있습니다. 하지만 연결된 구독의 경계를 벗어나 클라우드용 Defender 의해 보호되는 여러 환경에 이 인스턴스의 컨테이너 이미지를 배포할 수 있습니다.

    검색 간격: 컨테이너 레지스트리에서 취약성을 검사하기 위한 간격을 선택합니다.

  2. 플랜을 선택하세요

    이러한 종류의 환경에 대한 여러 플랜이 있습니다.

    이 스크린샷은 Docker Hub 커넥터 선택 계획 패널을 보여 줍니다.

    • 기본 CSPM: 모든 고객에게 제공되는 기본 플랜은 인벤토리 기능만을 제공합니다.

    • 컨테이너: 인벤토리 및 취약성 평가 기능을 제공합니다.

    • Defender CSPM: 인벤토리 및 취약성 평가 기능, 공격 경로 분석 및 코드-클라우드 매핑 등의 추가 기능을 제공합니다.

    클라우드용 Microsoft Defender 가격 책정을 검토하여 플랜 가격 책정에 대한 정보를 확인하세요.

    클라우드 환경 플랜과 Docker Hub 환경 플랜이 동기화되어 있는지 여부를 확인하고 동일한 구독을 공유하여 적용 범위를 최대화합니다.

  3. 액세스 구성

    조직 전자 메일 주소를 가진 전용 사용자가 있는지를 확인하면 클라우드용 Defender Docker Hub 조직 간에 지속적이고 안전한 연결을 유지할 수 있습니다. 각 Docker Hub 커넥터는 하나의 Docker Hub 조직에 해당합니다. 그러므로 관리하는 각 Docker Hub 조직에 대해 클라우드용 Defender 내 별도의 Docker Hub 환경 커넥터를 온보딩하면, 컨테이너 소프트웨어 공급망에 대한 최적의 보안 범위를 달성할 수 있습니다.

    Docker Hub를 외부 레지스트리로 설정하는 방법의 단계에 따라 통합을 위해 Docker Hub 조직 계정을 준비합니다.

    연결을 설정하기 위해 이러한 매개 변수를 Docker Hub 사용자로부터 제공합니다.

    • 조직: Docker Hub 조직 이름

    • 사용자: 할당된 Docker Hub 사용자 이름

    • 액세스 토큰: Docker Hub 사용자 읽기 전용 액세스 토큰

    이 스크린샷은 Docker Hub 커넥터 구성 액세스 패널을 보여 줍니다.

  4. 검토 및 생성

    구성된 모든 커넥터 세부 정보를 온보딩 종료 전에 검토합니다.

    이 스크린샷은 Docker Hub 커넥터 검토 및 생성 패널을 보여 줍니다.

  5. 연결 유효성 검사

    연결이 성공했는지 확인하고 환경의 설정 화면에 "연결됨"을 표시합니다.

    이 스크린샷은 클라우드용 Defender 환경 패널의 Docker Hub 커넥터 환경 연결 상태를 보여 줍니다.

  6. 유효성 검사 기능

    Docker Hub는 컨테이너 레지스트리 검사를 온보딩 후 1시간 이내에 시작합니다.

    • 인벤토리 – 인벤토리 보기에 Docker Hub 커넥터 및 해당 보안 상태가 표시되는지 여부를 확인합니다.

    • 취약성 평가 –"(미리 보기) Docker Hub 레지스트리의 컨테이너 이미지에 취약성 발견이 해결되어야 합니다." 권장 사항을 수신하는지 여부를 Docker Hub 컨테이너 이미지의 보안 문제를 해결하기 위해 확인합니다.