Oceny luk w zabezpieczeniach dla platformy Azure
Ocena luk w zabezpieczeniach dla platformy Azure obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender to gotowe rozwiązanie, które umożliwia zespołom ds. zabezpieczeń łatwe odnajdywanie i korygowanie luk w zabezpieczeniach obrazów kontenerów z zerową konfiguracją dołączania i bez wdrażania żadnych agentów.
Uwaga
Ta funkcja obsługuje skanowanie obrazów tylko w usłudze Azure Container Registry (ACR). Obrazy przechowywane w innych rejestrach kontenerów powinny być importowane do usługi ACR na potrzeby pokrycia. Dowiedz się, jak zaimportować obrazy kontenerów do rejestru kontenerów.
W każdej subskrypcji, w której ta funkcja jest włączona, wszystkie obrazy przechowywane w usłudze ACR spełniające kryteria wyzwalaczy skanowania są skanowane pod kątem luk w zabezpieczeniach bez dodatkowej konfiguracji użytkowników lub rejestrów. Zalecenia dotyczące raportów luk w zabezpieczeniach są udostępniane dla wszystkich obrazów w usłudze ACR, a także obrazów, które są obecnie uruchomione w usłudze AKS, które zostały pobrane z rejestru usługi ACR lub innych Defender dla Chmury obsługiwanych rejestrów (ECR, GCR lub GAR). Obrazy są skanowane wkrótce po dodaniu do rejestru i przeskanowane ponownie pod kątem nowych luk w zabezpieczeniach co 24 godziny.
Ocena luk w zabezpieczeniach kontenerów obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender ma następujące możliwości:
- Skanowanie pakietów systemu operacyjnego — ocena luk w zabezpieczeniach kontenera umożliwia skanowanie luk w zabezpieczeniach w pakietach zainstalowanych przez menedżera pakietów systemu operacyjnego w systemach operacyjnych Linux i Windows.
- Pakiety specyficzne dla języka — tylko system Linux — obsługa pakietów i plików specyficznych dla języka oraz ich zależności zainstalowanych lub kopiowanych bez menedżera pakietów systemu operacyjnego.
- Skanowanie obrazów w usłudze Azure Private Link — ocena luk w zabezpieczeniach kontenerów platformy Azure umożliwia skanowanie obrazów w rejestrach kontenerów dostępnych za pośrednictwem usługi Azure Private Links. Ta funkcja wymaga dostępu do zaufanych usług i uwierzytelniania w rejestrze. Dowiedz się, jak zezwolić na dostęp przez zaufane usługi.
- Informacje o możliwości wykorzystania — każdy raport o lukach w zabezpieczeniach jest przeszukiwany za pośrednictwem baz danych możliwości wykorzystania, aby pomóc naszym klientom w ustaleniu rzeczywistego ryzyka związanego z każdą zgłoszoną luką w zabezpieczeniach.
- Raportowanie — ocena luk w zabezpieczeniach kontenerów dla platformy Azure obsługiwana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender udostępnia raporty dotyczące luk w zabezpieczeniach, korzystając z następujących zaleceń:
| Zalecenie | Opis |
|---|---|
| Obrazy kontenerów usługi Azure Registry powinny mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. Rozwiązywanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń, zapewniając bezpieczeństwo obrazów przed wdrożeniem. |
| Platforma Azure z uruchomionymi obrazami kontenerów powinna mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. To zalecenie zapewnia widoczność narażonych obrazów aktualnie uruchomionych w klastrach Kubernetes. Korygowanie luk w zabezpieczeniach obrazów kontenerów, które są aktualnie uruchomione, ma kluczowe znaczenie dla poprawy stanu zabezpieczeń, co znacznie zmniejsza obszar ataków dla konteneryzowanych obciążeń. |
Wyzwalacze skanowania
Wyzwalacze skanowania obrazów to:
Wyzwalanie jednorazowe:
- Każdy obraz wypchnięty lub zaimportowany do rejestru kontenerów jest wyzwalany do skanowania. W większości przypadków skanowanie jest wykonywane w ciągu kilku minut, ale w rzadkich przypadkach może upłynąć do godziny.
- Każdy obraz pobrany z rejestru jest wyzwalany do skanowania w ciągu 24 godzin.
- Każdy obraz wypchnięty lub zaimportowany do rejestru kontenerów jest wyzwalany do skanowania. W większości przypadków skanowanie jest wykonywane w ciągu kilku minut, ale w rzadkich przypadkach może upłynąć do godziny.
Wyzwalanie ciągłego ponownego skanowania — ciągłe ponowne skanowanie jest wymagane, aby upewnić się, że obrazy, które zostały wcześniej zeskanowane pod kątem luk w zabezpieczeniach, są ponownie skanowane w celu zaktualizowania raportów luk w zabezpieczeniach na wypadek opublikowania nowej luki w zabezpieczeniach.
Ponowne skanowanie jest wykonywane raz dziennie dla:
- Obrazy wypchnięte w ciągu ostatnich 90 dni.
- Obrazy pobierane w ciągu ostatnich 30 dni.
- Obrazy aktualnie uruchomione w klastrach Kubernetes monitorowanych przez Defender dla Chmury (za pośrednictwem odnajdywania bez agenta dla platformy Kubernetes lub agenta usługi Defender).
Jak działa skanowanie obrazów?
Szczegółowy opis procesu skanowania jest opisany w następujący sposób:
Po włączeniu oceny luk w zabezpieczeniach kontenera dla platformy Azure obsługiwanej przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender autoryzujesz Defender dla Chmury do skanowania obrazów kontenerów w rejestrach kontenerów platformy Azure.
Defender dla Chmury automatycznie odnajduje wszystkie rejestry kontenerów, repozytoria i obrazy (utworzone przed włączeniem tej funkcji lub po jej włączeniu).
Defender dla Chmury odbiera powiadomienia za każdym razem, gdy nowy obraz zostanie wypchnięty do usługi Azure Container Registry. Nowy obraz jest następnie natychmiast dodawany do katalogu obrazów, Defender dla Chmury utrzymuje, a następnie kolejkuje akcję w celu natychmiastowego skanowania obrazu.
Raz dziennie i w przypadku nowych obrazów wypchniętych do rejestru:
- Wszystkie nowo odnalezione obrazy są ściągane, a dla każdego obrazu jest tworzony spis. Spis obrazów jest zachowywany, aby uniknąć dalszych ściągnięcia obrazów, chyba że są wymagane przez nowe możliwości skanera.
- Korzystając ze spisu, raporty luk w zabezpieczeniach są generowane dla nowych obrazów i aktualizowane pod kątem obrazów, które zostały wcześniej przeskanowane w ciągu ostatnich 90 dni do rejestru lub są obecnie uruchomione. Aby określić, czy obraz jest aktualnie uruchomiony, Defender dla Chmury używa odnajdywania bez agenta dla platformy Kubernetes i spisu zebranego za pośrednictwem agenta usługi Defender uruchomionego w węzłach usługi AKS
- Raporty dotyczące luk w zabezpieczeniach dla obrazów kontenerów rejestru są udostępniane jako zalecenie.
- Wszystkie nowo odnalezione obrazy są ściągane, a dla każdego obrazu jest tworzony spis. Spis obrazów jest zachowywany, aby uniknąć dalszych ściągnięcia obrazów, chyba że są wymagane przez nowe możliwości skanera.
W przypadku klientów korzystających z odnajdywania bez agenta dla platformy Kubernetes lub spisu zebranych za pośrednictwem agenta usługi Defender działającego w węzłach usługi AKS Defender dla Chmury również tworzy zalecenie dotyczące korygowania luk w zabezpieczeniach dla obrazów podatnych na zagrożenia uruchomionych w klastrze usługi AKS. W przypadku klientów korzystających tylko z odnajdywania bez agenta dla platformy Kubernetes czas odświeżania spisu w tym rekomendacji jest co siedem godzin. Klastry, które również korzystają z agenta usługi Defender, korzystają z dwugodzinnego współczynnika odświeżania spisu. Wyniki skanowania obrazów są aktualizowane na podstawie skanowania rejestru w obu przypadkach i dlatego są odświeżane tylko co 24 godziny.
Uwaga
W przypadku rejestrów kontenerów usługi Defender dla kontenerów (przestarzałych) obrazy są skanowane raz po wypchnięciu, przy ściąganiu i ponownie skanowane tylko raz w tygodniu.
Jeśli usuniem obraz z rejestru, jak długo przed usunięciem raportów o lukach w zabezpieczeniach na tym obrazie zostanie usunięty?
Rejestry kontenerów platformy Azure powiadamiają Defender dla Chmury o usunięciu obrazów i usuwa ocenę luk w zabezpieczeniach dla usuniętych obrazów w ciągu jednej godziny. W niektórych rzadkich przypadkach Defender dla Chmury mogą nie być powiadamiane o usunięciu, a usunięcie skojarzonych luk w zabezpieczeniach w takich przypadkach może potrwać do trzech dni.