Oceny luk w zabezpieczeniach dla obsługiwanych środowisk
W obsługiwanym środowisku (Azure, AWS lub GCP) usługa Defender for Containers może przeprowadzać ocenę luk w zabezpieczeniach bez agenta na obrazach w obsługiwanym rejestrze kontenerów i na uruchomionych kontenerach. Odpowiednie zalecenia są generowane dla luk w zabezpieczeniach wykrytych w obrazie rejestru kontenerów lub uruchomionym kontenerze.
Ocena luk w zabezpieczeniach obrazów w obsługiwanych rejestrach kontenerów jest przeprowadzana po włączeniu dostępu do rejestru dla planów zarządzania stanem zabezpieczeń usługi Defender for Cloud lub usługi Defender for Containers. Ocena podatności uruchomionych kontenerów odbywa się, gdy skanowanie bez agenta dla maszyn zostanie włączone w ramach planów Defender for Cloud Security Posture Management lub Defender for Containers, niezależnie od źródła obrazu kontenera. Ocena luk w zabezpieczeniach dla uruchomionych kontenerów zapewnia większą wartość w porównaniu tylko do skanowania obrazów w obsługiwanych rejestrach kontenerów, ponieważ obejmuje również dodatki Kubernetes i narzędzia innych firm uruchomione w klastrze.
Uwaga
Kontenery utworzone na podstawie obrazów w nieobsługiwanych rejestrach są skanowane tylko pod kątem ocen luk w zabezpieczeniach, jeśli działają w środowisku usługi AKS.
Ocena luk w zabezpieczeniach obrazów kontenerów z wykorzystaniem Microsoft Defender Vulnerability Management ma następujące możliwości:
Skanowanie pakietów systemu operacyjnego — ocena luk w zabezpieczeniach kontenera umożliwia skanowanie luk w zabezpieczeniach w pakietach zainstalowanych przez menedżera pakietów systemu operacyjnego w systemach operacyjnych Linux i Windows. Zobacz pełną listę obsługiwanych systemów operacyjnych i ich wersji.
Pakiety specyficzne dla języka — tylko system Linux — obsługa pakietów i plików specyficznych dla języka oraz ich zależności zainstalowanych lub kopiowanych bez menedżera pakietów systemu operacyjnego. Zobacz pełną listę obsługiwanych języków.
Skanowanie obrazów w Azure Private Link — Ocena luk w zabezpieczeniach kontenerów Azure może skanować obrazy w rejestrach kontenerów, które są dostępne za pośrednictwem Azure Private Link. Ta funkcja wymaga dostępu do zaufanych usług i uwierzytelniania w rejestrze. Dowiedz się, jak zezwolić na dostęp przez zaufane usługi.
Informacje o możliwości wykorzystania — każdy raport o lukach w zabezpieczeniach jest przeszukiwany za pośrednictwem baz danych możliwości wykorzystania, aby pomóc naszym klientom w ustaleniu rzeczywistego ryzyka związanego z każdą zgłoszoną luką w zabezpieczeniach.
Raportowanie — Ocena luk w zabezpieczeniach kontenerów dla platformy Azure zasilanej przez Zarządzanie lukami w zabezpieczeniach usługi Microsoft Defender udostępnia raporty dotyczące luk w zabezpieczeniach, opierając się na następujących zaleceniach:
Informacje o możliwości wykorzystania — każdy raport o lukach w zabezpieczeniach jest przeszukiwany za pośrednictwem baz danych możliwości wykorzystania, aby pomóc naszym klientom w ustaleniu rzeczywistego ryzyka związanego z każdą zgłoszoną luką w zabezpieczeniach.
Reporting — ocena luk w zabezpieczeniach kontenerów obsługiwana przez usługę Microsoft Defender Vulnerability Management udostępnia raporty dotyczące luk w zabezpieczeniach, korzystając z następujących zaleceń:
Wykonywanie zapytań o informacje o lukach w zabezpieczeniach za pośrednictwem usługi Azure Resource Graph — możliwość wykonywania zapytań o informacje o lukach w zabezpieczeniach za pośrednictwem usługi Azure Resource Graph. Dowiedz się, jak wykonywać zapytania dotyczące zaleceń za pośrednictwem usługi ARG.
Zapytywania o wyniki skanowania za pośrednictwem interfejsu API REST — dowiedz się, jak zapytaj o wyniki skanowania za pomocą interfejsu API REST .
Obsługa wykluczeń — dowiedz się, jak tworzyć reguły wykluczania dla grupy zarządzania, grupy zasobów lub subskrypcji.
Obsługa wyłączania luk w zabezpieczeniach — dowiedz się, jak wyłączyć luki w zabezpieczeniach na obrazach.
Artefakty wyników wykrywania luk w zabezpieczeniach są podpisywane i weryfikowane — artefakty wyników wykrywania luk w zabezpieczeniach dla każdego obrazu są podpisywane certyfikatem firmy Microsoft w celu zapewnienia integralności i autentyczności oraz są skojarzone z obrazem kontenera w rejestrze w celu walidacji.
Zalecenia dotyczące oceny luk w zabezpieczeniach
Następujące nowe zalecenia w wersji zapoznawczej dotyczą luk w zabezpieczeniach kontenerów środowiska uruchomieniowego oraz obrazów rejestru. Nie są one uwzględniane przy obliczaniu wskaźnika bezpieczeństwa w czasie trwania wersji zapoznawczej. Silnik skanujący dla nowych rekomendacji jest taki sam jak rekomendacje w wersji GA i dostarcza te same wyniki. Nowe rekomendacje najlepiej nadają się dla klientów korzystających z nowego widoku opartego na ryzyku dla zaleceń i włączenia planu usługi Defender CSPM.
| Zalecenie | opis | Klucz oceny |
|---|---|---|
| [Wersja zapoznawcza] Obrazy kontenerów w rejestrze platformy Azure powinny mieć usunięte luki bezpieczeństwa | Defender dla Chmury skanuje obrazy rejestru pod kątem znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowe wyniki dla każdego zeskanowanego obrazu. Skanowanie i korygowanie luk w zabezpieczeniach obrazów kontenerów w rejestrze pomaga zachować bezpieczny i niezawodny łańcuch dostaw oprogramowania, zmniejsza ryzyko zdarzeń związanych z bezpieczeństwem i zapewnia zgodność ze standardami branżowymi. | 33422d8f-ab1e-42be-bc9a-38685bb567b9 |
| [Wersja zapoznawcza] Kontenery uruchomione na platformie Azure powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Defender dla Chmury tworzy inwentarz wszystkich obciążeń kontenerów aktualnie uruchomionych w klastrach Kubernetes i udostępnia raporty o podatnościach tych obciążeń, porównując używane obrazy i raporty o podatnościach utworzone dla obrazów rejestru. Skanowanie i korygowanie luk w zabezpieczeniach obciążeń kontenerów ma kluczowe znaczenie dla zapewnienia niezawodnego i bezpiecznego łańcucha dostaw oprogramowania, zmniejszenia ryzyka zdarzeń bezpieczeństwa i zapewnienia zgodności ze standardami branżowymi. | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
Poniższe bieżące rekomendacje ogólnie dostępne zawierają raport dotyczący luk w zabezpieczeniach kontenerów w klastrze Kubernetes oraz obrazów kontenerów w rejestrze kontenerów. Te zalecenia najlepiej nadają się dla klientów korzystających z widoku klasycznego dla zaleceń i nie mają włączonego planu usługi Defender CSPM.
| Zalecenie | opis | Klucz oceny |
|---|---|---|
| Obrazy kontenerów w rejestrze Azure powinny mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach Microsoft Defender) | Ocena podatności obrazów kontenerów skanuje rejestr w poszukiwaniu powszechnie znanych podatności (CVE) i generuje szczegółowy raport o podatności dla każdego obrazu. Rozwiązywanie luk w zabezpieczeniach może znacznie poprawić pozycję bezpieczeństwa, zapewniając, że obrazy są bezpieczne do użycia przed wdrożeniem. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Uruchomione na platformie Azure obrazy kontenerów powinny mieć usunięte luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach Microsoft Defender) | Ocena podatności obrazów kontenerów skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport podatności dla każdego obrazu. To zalecenie zapewnia widoczność narażonych obrazów aktualnie uruchomionych w klastrach Kubernetes. Usuwanie luk w zabezpieczeniach obrazów kontenerów, które są aktualnie uruchomione, ma kluczowe znaczenie dla poprawy stanu zabezpieczeń, co znacznie zmniejsza obszar ataków dla konteneryzowanych zadań. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Jak działa ocena podatności obrazów i kontenerów
Skanowanie obrazów w rejestrach obsługiwanych przez Defender for Containers
Uwaga
Rozszerzenie Registry access musi być włączone w celu oceny luk w zabezpieczeniach obrazów w rejestrach kontenerów.
Skanowanie obrazu w rejestrze kontenerów tworzy spis obrazu i jego rekomendacji dotyczących luk w zabezpieczeniach. Rejestry obrazów kontenerów obsługiwane to: Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR), Google Container Registry (GCR) i skonfigurowanych rejestrów zewnętrznych. Obraz jest skanowany, gdy:
- Nowy obraz jest wypychany lub importowany do rejestru kontenerów. Obraz jest skanowany w ciągu kilku godzin.
-
ciągłe wyzwalanie ponownego skanowania — ciągłe ponowne skanowanie jest wymagane, aby zapewnić, że obrazy, które zostały wcześniej zeskanowane pod kątem luk w zabezpieczeniach, będą ponownie skanowane w celu aktualizacji ich raportów o lukach w przypadku opublikowania nowej luki.
Ponowne skanowanie jest wykonywane raz dziennie dla:
- Obrazy przesłane w ciągu ostatnich 90 dni.*
- Obrazy pobierane w ciągu ostatnich 30 dni.
- Obrazy aktualnie działające w klastrach Kubernetes monitorowanych przez Microsoft Defender for Cloud (za pośrednictwem odnajdywania bezagentowego dla Kubernetes lub czujnika usługi Defender).
* Zalecenie podglądu jest generowane dla obrazów wgranych w ciągu ostatnich 30 dni.
Częstotliwość skanowania obrazów
Obraz jest skanowany w ciągu 24 godzin, gdy jest pobierany z rejestru kontenerów.
Uwaga
W niektórych rzadkich przypadkach nowy obraz w rejestrze może zająć do 24 godzin zanim zostanie zeskanowany.
Ponadto następujące obrazy są skanowane co 24 godziny w celu zaktualizowania zaleceń dotyczących luk w zabezpieczeniach, w przypadku opublikowania nowej luki w zabezpieczeniach.
Obraz jest wypychany lub importowany do rejestru kontenerów w ciągu ostatnich 90 dni.
Obraz został pobrany z rejestru kontenerów w ciągu ostatnich 30 dni.
Uwaga
W przypadku rejestrów kontenerów usługi Defender dla kontenerów (przestarzałych) obrazy są skanowane przy wypchnięciu, przy ściąganiu oraz ponownie skanowane tylko raz w tygodniu.
Skanowanie kontenerów działających w środowisku klastra
Kontenery działające w obciążeniu klastra są skanowane pod kątem podatności co 24 godziny. Skanowanie jest niezależne od rejestru źródłowego uruchomionego obrazu kontenera i obejmuje dodatki Kubernetes i narzędzia innych firm. Odpowiednie zalecenia są generowane dla każdego kontenera podatnego na zagrożenia.
Uwaga
Skanowanie bez agenta pod kątem uruchomionych kontenerów jest wykonywane po włączeniu obu następujących rozszerzeń:
- Skanowanie maszyn bez agenta
- dostęp do interfejsu API K8S lub czujnik Defender
Uwaga
Kontenery utworzone przy użyciu obrazów z nieobsługiwanych rejestrów kontenerów będą skanowane tylko w przypadku działania w środowisku usługi AKS.
Zalecenia dotyczące uruchomionego kontenera korzystającego z obrazu z obsługiwanego rejestru kontenerów są generowane na podstawie skanowania obrazów rejestru kontenerów, nawet jeśli klient nie włączy skanowanie maszyn bez agenta.
Uwaga
Nie można skanować warstwy środowiska uruchomieniowego kontenera pod kątem luk w zabezpieczeniach. Ponadto nie można skanować następujących kontenerów pod kątem luk w zabezpieczeniach:
- Kontenery w węzłach używające efemerycznych dysków systemu operacyjnego AKS
- Kontenery systemu operacyjnego Windows
Klastry AKS skonfigurowane do automatycznego skalowania mogą zapewnić częściowe lub żadne wyniki, jeśli którykolwiek z węzłów klastra lub wszystkie węzły klastra są wyłączone w momencie skanowania pod kątem luk w zabezpieczeniach.
Jeśli usunę obraz z rejestru, jak długo zajmie usunięcie raportów o lukach w zabezpieczeniach dotyczących tego obrazu?
Rejestry kontenerów platformy Azure powiadamiają Defender dla Chmury o usunięciu obrazów i usuwa ocenę luk w zabezpieczeniach dla usuniętych obrazów w ciągu jednej godziny. W niektórych rzadkich przypadkach Defender for Cloud może nie zostać powiadomiony o usunięciu, a usunięcie powiązanych luk w zabezpieczeniach w takich przypadkach może potrwać do trzech dni.
Następne kroki
- Dowiedz się więcej o planach usługi Defender dla Chmury Defender.
- Zapoznaj się z typowymi pytaniami dotyczącymi usługi Defender for Containers.