Oceny luk w zabezpieczeniach dla zewnętrznego rejestru usługi Docker Hub z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
Kluczowym aspektem rozwiązania zabezpieczeń usługi Defender for Containers jest zapewnienie oceny luk w zabezpieczeniach obrazu kontenera w całym cyklu życia, od tworzenia kodu po wdrażanie w chmurze.
Aby osiągnąć ten cel, potrzebne jest kompleksowe pokrycie dla wszystkich etapów cyklu życia obrazu kontenera, w tym obrazów kontenerów z rejestrów zewnętrznych. Usługa Docker Hub, powszechnie używana przez przedsiębiorstwa, smB i społeczność typu open source, jest obsługiwana w tej funkcji. Klienci korzystający z usługi Docker Hub mogą używać usługi Defender for Containers do odnajdywania spisu, oceny stanu zabezpieczeń i oceny luk w zabezpieczeniach — korzystających z tych samych funkcji zabezpieczeń dostępnych dla rejestrów natywnych dla chmury, takich jak ACR, ECR i GCR.
Funkcje
Spis — identyfikowanie i wyświetlanie listy wszystkich dostępnych obrazów kontenerów w organizacji usługi Docker Hub
Ocena luk w zabezpieczeniach — regularnie skanuje konto organizacji usługi Docker Hub pod kątem obsługiwanych obrazów kontenerów, identyfikuje luki w zabezpieczeniach i udostępnia zalecenia dotyczące problemów, które mają zostać rozwiązane.
Wymagania wstępne
Aby używać usługi Microsoft Defender for Containers z kontami organizacji usługi Docker Hub, musisz być właścicielem konta organizacji usługi Docker Hub i mieć uprawnienia administratora do zarządzania użytkownikami. Aby uzyskać więcej informacji, zobacz Jak skonfigurować usługę Docker Hub jako rejestr zewnętrzny
Włączanie usługi Microsoft Defender for Containers lub Defender for CSPM dla co najmniej jednej subskrypcji w Microsoft Defender dla Chmury
Dołączanie środowiska usługi Docker Hub
Osoby, które mają uprawnienia administratora zabezpieczeń w Microsoft Defender dla Chmury, mogą dodać nowe środowisko usługi Docker Hub, pod warunkiem, że mają niezbędne uprawnienia na stronie "Ustawienia środowiska".
Każde środowisko odpowiada odrębnej organizacji usługi Docker Hub. Interfejs dołączania do dodawania nowego rejestru zewnętrznego umożliwia użytkownikowi wyznaczenie typu rejestru kontenerów jako nowego środowiska sklasyfikowanego jako "Docker Hub".
Kreator środowiska pomaga w procesie dołączania:
Szczegóły łącznika
Nazwa łącznika: określ unikatową nazwę łącznika.
Lokalizacja: określ lokalizację geograficzną, w której Defender dla Chmury przechowuje dane skojarzone z tym łącznikiem.
Subskrypcja: subskrypcja hostingu, która definiuje zakres RBAC i jednostkę rozliczeń dla środowiska usługi Docker Hub.
Grupa zasobów: do celów kontroli dostępu opartej na rolach
Uwaga
Tylko jedna subskrypcja może być połączona z wystąpieniem środowiska usługi Docker Hub. Jednak obrazy kontenerów z tego wystąpienia można wdrożyć w wielu środowiskach chronionych przez Defender dla Chmury poza granicami skojarzonej subskrypcji.
Interwały skanowania: wybierz interwał skanowania rejestru kontenerów pod kątem luk w zabezpieczeniach.
Wybieranie planów
Istnieje wiele planów dla tego rodzaju środowisk:
Podstawowy CSPM: Podstawowy plan dostępny dla wszystkich klientów, zapewnia tylko możliwości spisu.
Kontenery: oferuje funkcje spisu i oceny luk w zabezpieczeniach.
CSPM w usłudze Defender: oferuje funkcje inwentaryzacyjne i oceny luk w zabezpieczeniach oraz dodatkowe możliwości, takie jak analiza ścieżki ataku i mapowanie kodu do chmury.
Aby uzyskać informacje dotyczące cennika planu, zapoznaj się Microsoft Defender dla Chmury cennikiem.
Upewnij się, że plany środowiska usługi Docker Hub są zsynchronizowane z planami środowiska w chmurze i współużytkują tę samą subskrypcję, aby zmaksymalizować pokrycie.
Konfigurowanie dostępu
Aby zachować ciągły i bezpieczny link między Defender dla Chmury a organizacją usługi Docker Hub, upewnij się, że masz dedykowanego użytkownika z adresem e-mail organizacji. Każdy łącznik usługi Docker Hub odpowiada jednej organizacji usługi Docker Hub. W związku z tym dołącz oddzielny łącznik środowiska usługi Docker Hub w Defender dla Chmury dla każdej organizacji usługi Docker Hub, którą zarządzasz w celu uzyskania optymalnego pokrycia zabezpieczeń dla łańcucha dostaw oprogramowania kontenera.
Wykonaj kroki opisane w temacie How to set up Docker Hub as an external registry to prepare your Docker Hub organization account for integration (Jak skonfigurować usługę Docker Hub jako rejestr zewnętrzny w celu przygotowania konta organizacji usługi Docker Hub do integracji).
Podaj te parametry od użytkownika usługi Docker Hub, aby nawiązać połączenie.
Organizacja: nazwa organizacji usługi Docker Hub
Użytkownik: przypisana nazwa użytkownika usługi Docker Hub
Token dostępu: token dostępu tylko do odczytu użytkownika usługi Docker Hub
Przeglądanie i generowanie
Przed zakończeniem dołączania przejrzyj wszystkie skonfigurowane szczegóły łącznika.
Weryfikowanie łączności
Sprawdź, czy połączenie zakończyło się pomyślnie, i na ekranie ustawień środowiska jest wyświetlany komunikat "Połączono".
Weryfikowanie możliwości funkcji
Usługa Docker Hub inicjuje skanowanie rejestru kontenerów w ciągu jednej godziny po dołączeniu:
Inventory — upewnij się, że łącznik usługi Docker Hub i jego stan zabezpieczeń są wyświetlane w widoku Spis.
Ocena luk w zabezpieczeniach — upewnij się, że otrzymasz zalecenie "(Wersja zapoznawcza) Obrazy kontenerów w rejestrze usługi Docker Hub powinny mieć rozwiązane luki w zabezpieczeniach" w celu rozwiązania problemów z zabezpieczeniami w obrazach kontenerów usługi Docker Hub.