Partilhar via


Avaliações de vulnerabilidade para a AWS com o Microsoft Defender Vulnerability Management

A avaliação de vulnerabilidades para a AWS, fornecida pelo Microsoft Defender Vulnerability Management, é uma solução pronta para uso que permite que as equipes de segurança descubram e corrijam facilmente vulnerabilidades em imagens de contêineres do Linux, com configuração zero para integração e sem implantação de sensores.

Nota

Esta funcionalidade suporta apenas a digitalização de imagens no ECR. As imagens armazenadas em outros registros de contêiner devem ser importadas para o ECR para cobertura. Saiba como importar imagens de contêiner para um registro de contêiner.

Em todas as contas em que a ativação desse recurso é concluída, todas as imagens armazenadas no ECR que atendem aos critérios para gatilhos de verificação são verificadas em busca de vulnerabilidades sem qualquer configuração extra de usuários ou registros. São fornecidas recomendações com relatórios de vulnerabilidade para todas as imagens no ECR, bem como para as imagens atualmente em execução no EKS que foram extraídas de um registo ECR ou de qualquer outro registo suportado pelo Defender for Cloud (ACR, GCR ou GAR). As imagens são verificadas logo após serem adicionadas a um registro e verificadas novamente em busca de novas vulnerabilidades no intervalo definido no conector da AWS.

A avaliação de vulnerabilidade de contêiner fornecida pelo Microsoft Defender Vulnerability Management tem os seguintes recursos:

  • Verificação de pacotes do sistema operacional - a avaliação de vulnerabilidade do contêiner tem a capacidade de verificar vulnerabilidades em pacotes instalados pelo gerenciador de pacotes do sistema operacional nos sistemas operacionais Linux e Windows. Veja a lista completa do sistema operacional suportado e suas versões.

  • Pacotes específicos de idioma – somente Linux – suporte para pacotes e arquivos específicos de idioma e suas dependências instaladas ou copiadas sem o gerenciador de pacotes do sistema operacional. Consulte a lista completa de idiomas suportados.

  • Informações de exploração - Cada relatório de vulnerabilidade é pesquisado através de bancos de dados de exploração para ajudar nossos clientes a determinar o risco real associado a cada vulnerabilidade relatada.

  • Relatórios - A avaliação de vulnerabilidade de contêiner para AWS com tecnologia Microsoft Defender Vulnerability Management fornece relatórios de vulnerabilidade usando as seguintes recomendações:

Estas são as novas recomendações de visualização que relatam vulnerabilidades de contêiner de tempo de execução e vulnerabilidades de imagem do Registro. Essas novas recomendações não contam para uma pontuação segura durante a visualização. O mecanismo de verificação para essas novas recomendações é o mesmo que as recomendações atuais da AG e fornece as mesmas descobertas. Essas recomendações seriam mais adequadas para clientes que usam a nova visão baseada em risco para recomendações e têm o plano Defender CSPM habilitado.

Recomendação Description Chave de avaliação
[Pré-visualização] As imagens de contêiner no registro da AWS devem ter as descobertas de vulnerabilidade resolvidas O Defender for Cloud verifica as imagens do Registro em busca de vulnerabilidades conhecidas (CVEs) e fornece descobertas detalhadas para cada imagem digitalizada. A verificação e correção de vulnerabilidades para imagens de contêiner no registro ajuda a manter uma cadeia de suprimentos de software segura e confiável, reduz o risco de incidentes de segurança e garante a conformidade com os padrões do setor. 2A139383-EC7E-462A-90AC-B1B60E87D576
[Pré-visualização] Os contêineres executados na AWS devem ter as descobertas de vulnerabilidade resolvidas O Defender for Cloud cria um inventário de todas as cargas de trabalho de contêiner atualmente em execução em seus clusters Kubernetes e fornece relatórios de vulnerabilidade para essas cargas de trabalho combinando as imagens que estão sendo usadas e os relatórios de vulnerabilidade criados para as imagens do Registro. A verificação e correção de vulnerabilidades de cargas de trabalho de contêineres é fundamental para garantir uma cadeia de suprimentos de software robusta e segura, reduzir o risco de incidentes de segurança e garantir a conformidade com os padrões do setor. 8749bb43-CD24-4CF9-848C-2A50F632043C

Essas recomendações atuais do GA relatam vulnerabilidades em contêineres contidos em um cluster Kubernetes e em imagens de contêiner contidas em um registro de contêiner. Essas recomendações seriam mais adequadas para clientes que usam o modo de exibição clássico para recomendações e não têm o plano Defender CSPM habilitado.

Recomendação Description Chave de avaliação
As imagens de contêiner de registro da AWS devem ter as descobertas de vulnerabilidade resolvidas (com tecnologia Microsoft Defender Vulnerability Management) Verifica suas imagens de contêiner de registros da AWS em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. C27441AE-775C-45BE-8FFA-655DE37362CE
A AWS que executa imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas (com o Microsoft Defender Vulnerability Management) A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. Essa recomendação fornece visibilidade para imagens vulneráveis atualmente em execução em seus clusters do Elastic Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente a superfície de ataque para suas cargas de trabalho conteinerizadas. 682b2595-d045-4cff-b5aa-46624eb2dd8f
  • Consultar informações de vulnerabilidade através do Gráfico de Recursos do Azure - Capacidade de consultar informações de vulnerabilidade através do Gráfico de Recursos do Azure. Saiba como consultar recomendações via ARG.

  • Consultar resultados da verificação via API REST - Saiba como consultar os resultados da verificação via API REST.

Gatilhos de varredura

Os gatilhos para uma verificação de imagem são:

  • Acionamento único:

    • Cada imagem enviada para um registro de contêiner é acionada para ser verificada. Na maioria dos casos, a verificação é concluída dentro de algumas horas, mas em casos raros pode levar até 24 horas.
    • Cada imagem extraída de um registro é acionada para ser digitalizada dentro de 24 horas.
  • Acionamento contínuo de nova varredura – a nova verificação contínua é necessária para garantir que as imagens que foram verificadas anteriormente em busca de vulnerabilidades sejam verificadas novamente para atualizar seus relatórios de vulnerabilidade caso uma nova vulnerabilidade seja publicada.

    • A nova varredura é realizada uma vez por dia para:
      • Imagens divulgadas nos últimos 90 dias.
      • Imagens extraídas nos últimos 30 dias.
      • Imagens atualmente em execução nos clusters do Kubernetes monitorados pelo Defender for Cloud (via descoberta sem agente para Kubernetes ou o sensor Defender).

Como funciona a digitalização de imagens?

Uma descrição detalhada do processo de digitalização é descrita da seguinte forma:

  • Ao habilitar a avaliação de vulnerabilidade de contêiner para a AWS com tecnologia Microsoft Defender Vulnerability Management, você autoriza o Defender for Cloud a verificar imagens de contêiner em seus registros do Elastic Container.

  • O Defender for Cloud descobre automaticamente todos os registros, repositórios e imagens de contêineres (criados antes ou depois de ativar esse recurso).

  • Uma vez por dia, e para novas imagens enviadas para um registo:

    • Todas as imagens recém-descobertas são extraídas e um inventário é criado para cada imagem. O inventário de imagens é mantido para evitar mais extrações de imagem, a menos que seja exigido pelos novos recursos do scanner.
    • Usando o inventário, os relatórios de vulnerabilidade são gerados para novas imagens e atualizados para imagens verificadas anteriormente que foram enviadas por push nos últimos 90 dias para um registro ou estão em execução no momento. Para determinar se uma imagem está em execução no momento, o Defender for Cloud usa a descoberta sem agente para Kubernetes e o inventário coletado por meio do sensor Defender em execução em nós EKS
    • Os relatórios de vulnerabilidade para imagens de contêiner do Registro são fornecidos como recomendação.
  • Para clientes que usam a descoberta sem agente para Kubernetes ou o inventário coletado por meio do sensor Defender em execução em nós EKS, o Defender for Cloud também cria uma recomendação para corrigir vulnerabilidades para imagens vulneráveis em execução em um cluster EKS. Para clientes que usam apenas a descoberta sem agente para Kubernetes, o tempo de atualização do inventário nesta recomendação é uma vez a cada sete horas. Os clusters que também executam o sensor Defender se beneficiam de uma taxa de atualização de inventário de duas horas. Os resultados da verificação de imagens são atualizados com base na verificação do registro em ambos os casos e, portanto, só são atualizados a cada 24 horas.

Nota

Para o Defender for Container Registries (preterido), as imagens são digitalizadas uma vez por push, on pull e redigitalizadas apenas uma vez por semana.

Se eu remover uma imagem do meu registo, quanto tempo antes de os relatórios de vulnerabilidades sobre essa imagem serem removidos?

Demora 30 horas após uma imagem ser eliminada do ECR antes de os relatórios serem removidos.

Próximos passos