Udostępnij za pośrednictwem


Oceny luk w zabezpieczeniach dla platformy GCP z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender

Ocena luk w zabezpieczeniach dla platformy GCP obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender to gotowe rozwiązanie, które umożliwia zespołom ds. zabezpieczeń łatwe odnajdywanie i korygowanie luk w zabezpieczeniach obrazów kontenerów systemu Linux z zerową konfiguracją dołączania i bez wdrażania żadnych czujników.

Na każdym koncie, na którym włączono tę funkcję, wszystkie obrazy przechowywane w rejestrach Google (GAR i GCR), które spełniają kryteria wyzwalaczy skanowania, są skanowane pod kątem luk w zabezpieczeniach bez dodatkowej konfiguracji użytkowników lub rejestrów. Zalecenia dotyczące raportów luk w zabezpieczeniach są udostępniane dla wszystkich obrazów w rejestrach Google (GAR i GCR), obrazach, które są obecnie uruchomione w GKE, które zostały pobrane z rejestrów Google (GAR i GCR) lub innych Defender dla Chmury obsługiwanych rejestrów (ACR lub ECR). Obrazy są skanowane wkrótce po dodaniu do rejestru i ponownie skanowane w interwale ustawionym w łączniku GCP.

Ocena luk w zabezpieczeniach kontenerów obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender ma następujące możliwości:

  • Skanowanie pakietów systemu operacyjnego — ocena luk w zabezpieczeniach kontenera umożliwia skanowanie luk w zabezpieczeniach pakietów zainstalowanych przez menedżera pakietów systemu operacyjnego w systemach operacyjnych Linux i Windows. Zobacz pełną listę obsługiwanych systemów operacyjnych i ich wersji.

  • Pakiety specyficzne dla języka — tylko system Linux — obsługa pakietów i plików specyficznych dla języka oraz ich zależności zainstalowanych lub kopiowanych bez menedżera pakietów systemu operacyjnego. Zobacz pełną listę obsługiwanych języków.

  • Informacje o możliwości wykorzystania — każdy raport o lukach w zabezpieczeniach jest przeszukiwany za pośrednictwem baz danych możliwości wykorzystania, aby pomóc naszym klientom w ustaleniu rzeczywistego ryzyka związanego z każdą zgłoszoną luką w zabezpieczeniach.

  • Raportowanie — ocena luk w zabezpieczeniach kontenera dla platformy GCP obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender udostępnia raporty luk w zabezpieczeniach, korzystając z następujących zaleceń:

Są to nowe zalecenia dotyczące wersji zapoznawczej, które zgłaszają luki w zabezpieczeniach kontenera środowiska uruchomieniowego i luki w zabezpieczeniach obrazu rejestru. Te nowe rekomendacje nie są wliczane do wskaźnika bezpieczeństwa podczas pracy w wersji zapoznawczej. Aparat skanowania dla tych nowych zaleceń jest taki sam jak bieżące zalecenia ogólnie dostępne i zawiera te same wyniki. Te zalecenia najlepiej nadają się dla klientów korzystających z nowego widoku opartego na ryzyku dla zaleceń i włączenia planu CSPM w usłudze Defender.

Zalecenie opis Klucz oceny
[Wersja zapoznawcza] Obrazy kontenerów w rejestrze GCP powinny mieć rozwiązane problemy z lukami w zabezpieczeniach Defender dla Chmury skanuje obrazy rejestru pod kątem znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowe wyniki dla każdego zeskanowanego obrazu. Skanowanie i korygowanie luk w zabezpieczeniach obrazów kontenerów w rejestrze pomaga zachować bezpieczny i niezawodny łańcuch dostaw oprogramowania, zmniejsza ryzyko zdarzeń związanych z bezpieczeństwem i zapewnia zgodność ze standardami branżowymi. 24e37609-dcf5-4a3b-b2b0-b7d76f2e4e04
[Wersja zapoznawcza] Kontenery uruchomione na platformie GCP powinny mieć rozwiązane problemy z lukami w zabezpieczeniach Defender dla Chmury tworzy spis wszystkich obciążeń kontenerów aktualnie uruchomionych w klastrach Kubernetes i udostępnia raporty luk w zabezpieczeniach dla tych obciążeń, pasując do używanych obrazów i raportów luk w zabezpieczeniach utworzonych dla obrazów rejestru. Skanowanie i korygowanie luk w zabezpieczeniach obciążeń kontenerów ma kluczowe znaczenie dla zapewnienia niezawodnego i bezpiecznego łańcucha dostaw oprogramowania, zmniejszenia ryzyka zdarzeń bezpieczeństwa i zapewnienia zgodności ze standardami branżowymi. 1b3abfa4-9e53-46f1-9627-51f2957f8bba

Te bieżące zalecenia ogólnie dostępne raportuje luki w zabezpieczeniach w kontenerach zawartych w klastrze Kubernetes i na obrazach kontenerów zawartych w rejestrze kontenerów. Te zalecenia najlepiej nadają się dla klientów korzystających z widoku klasycznego dla zaleceń i nie mają włączonego planu CSPM w usłudze Defender.

Zalecenie opis Klucz oceny
Obrazy kontenerów rejestru GCP powinny mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) — Microsoft Azure Skanuje obrazy kontenerów rejestru GCP pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. Rozwiązywanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń, zapewniając bezpieczeństwo obrazów przed wdrożeniem. c27441ae-775c-45be-8ffa-655de37362ce
Narzędzie GCP z uruchomionymi obrazami kontenerów powinno mieć rozwiązane wyniki luk w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) — Microsoft Azure Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. To zalecenie zapewnia widoczność narażonych obrazów działających obecnie w klastrach Google Kubernetes. Korygowanie luk w zabezpieczeniach obrazów kontenerów, które są aktualnie uruchomione, ma kluczowe znaczenie dla poprawy stanu zabezpieczeń, co znacznie zmniejsza obszar ataków dla konteneryzowanych obciążeń. 5cc3a2c1-8397-456f-8792-fe9d0d4c9145

Wyzwalacze skanowania

Wyzwalacze skanowania obrazów to:

  • Wyzwalanie jednorazowe:

    • Każdy obraz wypychany do rejestru kontenerów jest wyzwalany do skanowania. W większości przypadków skanowanie jest wykonywane w ciągu kilku godzin, ale w rzadkich przypadkach może upłynąć do 24 godzin.
    • Każdy obraz pobrany z rejestru jest wyzwalany do skanowania w ciągu 24 godzin.
  • Wyzwalanie ciągłego ponownego skanowania — ciągłe ponowne skanowanie jest wymagane, aby upewnić się, że obrazy, które zostały wcześniej zeskanowane pod kątem luk w zabezpieczeniach, są ponownie skanowane w celu zaktualizowania raportów luk w zabezpieczeniach na wypadek opublikowania nowej luki w zabezpieczeniach.

    • Ponowne skanowanie jest wykonywane raz dziennie dla:
      • Obrazy wypchnięte w ciągu ostatnich 90 dni.
      • Obrazy pobierane w ciągu ostatnich 30 dni.
      • Obrazy aktualnie uruchomione w klastrach Kubernetes monitorowanych przez Defender dla Chmury (za pośrednictwem odnajdywania bez agenta dla platformy Kubernetes lub czujnika usługi Defender).

Jak działa skanowanie obrazów?

Szczegółowy opis procesu skanowania jest opisany w następujący sposób:

Uwaga

W przypadku rejestrów kontenerów usługi Defender dla kontenerów (przestarzałych) obrazy są skanowane raz po wypchnięciu, przy ściąganiu i ponownie skanowane tylko raz w tygodniu.

Jeśli usuniem obraz z rejestru, jak długo przed usunięciem raportów o lukach w zabezpieczeniach na tym obrazie zostanie usunięty?

Usunięcie obrazu z rejestrów Google (GAR i GCR) trwa 30 godzin przed usunięciem raportów.

Następne kroki