Partilhar via

Avaliações de vulnerabilidade para o registro externo do Docker Hub com o Gerenciamento de Vulnerabilidades do Microsoft Defender

  • Artigo

Um aspeto fundamental da solução de segurança do Defender for Containers é fornecer avaliação da vulnerabilidade da imagem do contêiner durante todo o seu ciclo de vida, desde o desenvolvimento do código até a implantação na nuvem.

Para atingir esse objetivo, é necessária uma cobertura abrangente para todos os estágios do ciclo de vida da imagem do contêiner, incluindo imagens do contêiner de registros externos. O Docker Hub, amplamente utilizado por empresas, PMEs e pela comunidade de código aberto, é suportado neste recurso. Os clientes que usam o Docker Hub podem usar o Defender for Containers para descoberta de inventário, avaliação de postura de segurança e avaliação de vulnerabilidades - desfrutando dos mesmos recursos de segurança disponíveis para registros nativos da nuvem, como ACR, ECR e GCR.

Caraterística

Inventário – identifique e liste todas as imagens de contêiner disponíveis na organização do Docker Hub

Avaliação de vulnerabilidades – Analise regularmente a conta da organização do Docker Hub em busca de imagens de contêiner suportadas, identifique vulnerabilidades e forneça recomendações para problemas a serem resolvidos.

Pré-requisitos

Para usar o Microsoft Defender for Containers com suas contas organizacionais do Docker Hub, você deve possuir uma conta de organização do Docker Hub e ter permissão de administrador para gerenciar usuários. Para obter mais informações, consulte Como configurar o Docker Hub como um registro externo

Habilite o Microsoft Defender for Containers ou o Defender for CSPM para pelo menos uma assinatura no Microsoft Defender for Cloud

Integre o ambiente do Docker Hub

Os indivíduos que têm privilégios de administrador de segurança no Microsoft Defender for Cloud podem adicionar um novo ambiente do Docker Hub, desde que tenham as permissões necessárias na página "Configurações do ambiente".

Captura de tela do painel Defender for Cloud environments.

Cada ambiente corresponde a uma organização distinta do Docker Hub. A interface de integração para adicionar um novo registro externo permite que o usuário designe o tipo de registro de contêiner como um novo ambiente classificado como "Docker Hub".

Captura de ecrã do botão Adicionar Ambiente.

O assistente de ambiente auxilia no processo de integração:

  1. Detalhes do conector

    Captura de tela do painel de detalhes do conector do Docker Hub.

    Nome do conector: especifique um nome de conector exclusivo.

    Localização: especifique a localização geográfica onde o Defender for Cloud armazena os dados associados a esse conector.

    Assinatura: a assinatura de hospedagem que define o escopo do RBAC e a entidade de cobrança para o ambiente do Docker Hub.

    Grupo de recursos: para fins de RBAC

    Nota

    Apenas uma assinatura pode ser vinculada a uma instância de ambiente do Docker Hub. No entanto, as imagens de contêiner dessa instância podem ser implantadas em vários ambientes protegidos pelo Defender for Cloud, fora dos limites da assinatura associada.

    Intervalos de varredura: selecione um intervalo para verificar vulnerabilidades no registro do contêiner.

  2. Selecionar Planos

    Existem vários planos para estes tipos de ambientes:

    Captura de tela do painel de seleção de plano do conector do Docker Hub.

    • CSPM básico: plano básico disponível para todos os clientes, fornece apenas recursos de inventário.

    • Contêineres: Oferece recursos de inventário e avaliação de vulnerabilidade.

    • Defender CSPM: Oferece recursos de inventário e avaliação de vulnerabilidade, além de recursos extras, como análise de caminho de ataque e mapeamento de código para nuvem.

    Para obter informações sobre os preços do plano, consulte os preços do Microsoft Defender for Cloud.

    Certifique-se de que seus planos de ambiente do Docker Hub estejam sincronizados com seus planos de ambiente de nuvem e compartilhe a mesma assinatura para maximizar a cobertura.

  3. Configurar o Access

    Para manter um vínculo contínuo e seguro entre o Defender for Cloud e sua organização do Docker Hub, certifique-se de ter um usuário dedicado com um endereço de e-mail da organização. Cada conector do Docker Hub corresponde a uma organização do Docker Hub. Portanto, integre um conector de ambiente Docker Hub separado no Defender for Cloud para cada organização do Docker Hub que você gerencia para obter a cobertura de segurança ideal para sua cadeia de suprimento de software de contêiner.

    Siga as etapas em Como configurar o Docker Hub como um registro externo para preparar sua conta de organização do Docker Hub para integração.

    Forneça esses parâmetros do usuário do Docker Hub para estabelecer uma conexão.

    • Organização: nome da organização do Docker Hub

    • Usuário: Nome de usuário atribuído ao Docker Hub

    • Token de acesso: token de acesso somente leitura do usuário do Docker Hub

    Captura de tela do painel de acesso de configuração do conector do Docker Hub.

  4. Rever e gerar

    Revise todos os detalhes do conector configurado antes da finalização da integração.

    Captura de tela do painel de revisão e geração do conector do Docker Hub.

  5. Validar a conectividade

    Verifique se a conexão foi bem-sucedida e exibe "Conectado" na tela de configurações do ambiente.

    Captura de tela do status conectado do ambiente do conector do Docker Hub no painel Defender for Cloud environments.

  6. Validar recursos de recursos

    O Docker Hub inicia a verificação do registro de contêiner dentro de uma hora após a integração:

    • Inventário – Verifique se o conector do Docker Hub e seu status de segurança aparecem na visualização Inventário.

    • Avaliação de vulnerabilidade – Certifique-se de receber a recomendação "(Visualização) As imagens de contêiner no registro do Docker Hub devem ter descobertas de vulnerabilidade resolvidas" para resolver problemas de segurança em suas imagens de contêiner do Docker Hub.