Avaliações de vulnerabilidade para o Azure

  • 3 minutos

A avaliação de vulnerabilidades para o Azure, fornecida pelo Microsoft Defender Vulnerability Management, é uma solução pronta para uso que permite que as equipes de segurança descubram e corrijam facilmente vulnerabilidades em imagens de contêiner, com configuração zero para integração e sem implantação de agentes.

Nota

Esta funcionalidade suporta apenas a análise de imagens no Azure Container Registry (ACR). As imagens armazenadas em outros registros de contêiner devem ser importadas para o ACR para cobertura. Saiba como importar imagens de contêiner para um registro de contêiner.

Em todas as assinaturas em que esse recurso está habilitado, todas as imagens armazenadas no ACR que atendem aos critérios para gatilhos de verificação são verificadas em busca de vulnerabilidades sem qualquer configuração extra de usuários ou registros. São fornecidas recomendações com relatórios de vulnerabilidade para todas as imagens no ACR, bem como para as imagens atualmente em execução no AKS que foram extraídas de um registo ACR ou de qualquer outro registo suportado pelo Defender for Cloud (ECR, GCR ou GAR). As imagens são verificadas logo após serem adicionadas a um registro e verificadas novamente em busca de novas vulnerabilidades a cada 24 horas.

A avaliação de vulnerabilidade de contêiner fornecida pelo Microsoft Defender Vulnerability Management tem os seguintes recursos:

  • Verificação de pacotes do sistema operacional - a avaliação de vulnerabilidade do contêiner tem a capacidade de verificar vulnerabilidades em pacotes instalados pelo gerenciador de pacotes do sistema operacional no sistema operacional Linux e no sistema operacional Windows.
  • Pacotes específicos de idioma – somente Linux – suporte para pacotes e arquivos específicos de idioma e suas dependências instaladas ou copiadas sem o gerenciador de pacotes do sistema operacional.
  • Análise de imagens no Azure Private Link - A avaliação de vulnerabilidade de contêiner do Azure fornece a capacidade de digitalizar imagens em registros de contêiner que são acessíveis por meio de Links Privados do Azure. Esse recurso requer acesso a serviços confiáveis e autenticação com o registro. Saiba como permitir o acesso por serviços confiáveis.
  • Informações de exploração - Cada relatório de vulnerabilidade é pesquisado através de bancos de dados de exploração para ajudar nossos clientes a determinar o risco real associado a cada vulnerabilidade relatada.
  • Reporting - Container Vulnerability Assessment for Azure powered by Microsoft Defender Vulnerability Management fornece relatórios de vulnerabilidade usando as seguintes recomendações:
Recomendação Descrição
As imagens de contêiner do Registro do Azure devem ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management) A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação.
O Azure executando imagens de contêiner deve ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management) A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. Essa recomendação fornece visibilidade para imagens vulneráveis atualmente em execução em seus clusters Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente a superfície de ataque para suas cargas de trabalho conteinerizadas.

Gatilhos de varredura

Os gatilhos para uma verificação de imagem são:

  • Acionamento único:

    • Cada imagem enviada ou importada para um registro de contêiner é acionada para ser verificada. Na maioria dos casos, a verificação é concluída em poucos minutos, mas em casos raros pode levar até uma hora.
    • Cada imagem extraída de um registro é acionada para ser digitalizada dentro de 24 horas.

  • Acionamento contínuo de nova varredura – a nova verificação contínua é necessária para garantir que as imagens que foram verificadas anteriormente em busca de vulnerabilidades sejam verificadas novamente para atualizar seus relatórios de vulnerabilidade caso uma nova vulnerabilidade seja publicada.

  • A nova varredura é realizada uma vez por dia para:

    • Imagens divulgadas nos últimos 90 dias.
    • Imagens extraídas nos últimos 30 dias.
    • Imagens atualmente em execução nos clusters do Kubernetes monitorados pelo Defender for Cloud (por meio da descoberta sem agente para Kubernetes ou do agente do Defender).

Como funciona a digitalização de imagens?

Uma descrição detalhada do processo de digitalização é descrita da seguinte forma:

  • Ao habilitar a avaliação de vulnerabilidade de contêiner para o Azure com tecnologia Microsoft Defender Vulnerability Management, você autoriza o Defender for Cloud a verificar imagens de contêiner em seus registros de contêiner do Azure.

  • O Defender for Cloud descobre automaticamente todos os registros, repositórios e imagens de contêineres (criados antes ou depois de ativar esse recurso).

  • O Defender for Cloud recebe notificações sempre que uma nova imagem é enviada por push para um Registro de Contêiner do Azure. A nova imagem é então imediatamente adicionada ao catálogo de imagens que o Defender for Cloud mantém e enfileira uma ação para digitalizar a imagem imediatamente.

  • Uma vez por dia, e para novas imagens enviadas para um registo:

    • Todas as imagens recém-descobertas são extraídas e um inventário é criado para cada imagem. O inventário de imagens é mantido para evitar mais extrações de imagem, a menos que seja exigido pelos novos recursos do scanner.
    • Usando o inventário, os relatórios de vulnerabilidade são gerados para novas imagens e atualizados para imagens verificadas anteriormente que foram enviadas por push nos últimos 90 dias para um registro ou estão em execução no momento. Para determinar se uma imagem está em execução no momento, o Defender for Cloud usa a descoberta sem agente para Kubernetes e o inventário coletado por meio do agente do Defender em execução em nós AKS
    • Os relatórios de vulnerabilidade para imagens de contêiner do Registro são fornecidos como recomendação.

  • Para clientes que usam a descoberta sem agente para Kubernetes ou o inventário coletado por meio do agente Defender em execução em nós AKS, o Defender for Cloud também cria uma recomendação para corrigir vulnerabilidades para imagens vulneráveis em execução em um cluster AKS. Para clientes que usam apenas a descoberta sem agente para Kubernetes, o tempo de atualização do inventário nesta recomendação é uma vez a cada sete horas. Os clusters que também executam o agente do Defender se beneficiam de uma taxa de atualização de inventário de duas horas. Os resultados da verificação de imagens são atualizados com base na verificação do registro em ambos os casos e, portanto, só são atualizados a cada 24 horas.

Nota

Para o Defender for Container Registries (preterido), as imagens são digitalizadas uma vez por push, on pull e redigitalizadas apenas uma vez por semana.

Se eu remover uma imagem do meu registo, quanto tempo antes de os relatórios de vulnerabilidades sobre essa imagem serem removidos?

Os Registros de Contêiner do Azure notificam o Defender for Cloud quando as imagens são excluídas e removem a avaliação de vulnerabilidade para imagens excluídas em uma hora. Em alguns casos raros, o Defender for Cloud pode não ser notificado sobre a exclusão, e a exclusão de vulnerabilidades associadas nesses casos pode levar até três dias.