Поделиться через

Оценки уязвимостей для внешнего реестра Docker Hub с Управление уязвимостями Microsoft Defender

  • Статья

Ключевым аспектом решения безопасности Defender для контейнеров является предоставление оценки уязвимостей образа контейнера на протяжении всего жизненного цикла, от разработки кода до облачного развертывания.

Для достижения этой цели необходимо комплексное покрытие для всех этапов жизненного цикла образа контейнера, включая образы контейнеров из внешних реестров. Docker Hub, широко используемый предприятиями, SMBS и сообществом с открытым кодом, поддерживается в этой функции. Клиенты, использующие Docker Hub, могут использовать Defender для контейнеров для обнаружения инвентаризации, оценки состояния безопасности и оценки уязвимостей, используя те же возможности безопасности, которые доступны для реестров, таких как ACR, ECR и GCR.

Функция

Инвентаризация — определение и перечисление всех доступных образов контейнеров в организации Docker Hub

Оценка уязвимостей— регулярно сканирует учетную запись организации Docker Hub для поддерживаемых образов контейнеров, выявляет уязвимости и предоставляет рекомендации по устранению проблем.

Необходимые компоненты

Чтобы использовать Microsoft Defender для контейнеров с учетными записями Docker Hub организации, необходимо владеть учетной записью организации Docker Hub и иметь разрешение администратора для управления пользователями. Дополнительные сведения см. в разделе "Настройка Docker Hub в качестве внешнего реестра"

Включите Microsoft Defender для контейнеров или Defender для CSPM по крайней мере одну подписку в Microsoft Defender для облака

Подключение среды Docker Hub

Пользователи с правами администратора безопасности в Microsoft Defender для облака могут добавить новую среду Docker Hub, если у них есть необходимые разрешения на странице "Параметры среды".

Снимок экрана: панель Defender для облака сред.

Каждая среда соответствует отдельной организации Docker Hub. Интерфейс подключения для добавления нового внешнего реестра позволяет пользователю назначить тип реестра контейнеров в качестве новой среды, классифицированной как Docker Hub.

Снимок экрана: кнопка

Мастер среды помогает в процессе подключения:

  1. Сведения о соединителе

    Снимок экрана: панель сведений о соединителе Docker Hub.

    Имя соединителя: укажите уникальное имя соединителя.

    Расположение. Укажите географическое расположение, в котором Defender для облака хранить данные, связанные с этим соединителем.

    Подписка: подписка на размещение, определяющая область RBAC и сущность выставления счетов для среды Docker Hub.

    Группа ресурсов: для целей RBAC

    Примечание.

    Только одна подписка может быть связана с экземпляром среды Docker Hub. Однако образы контейнеров из этого экземпляра можно развернуть в нескольких средах, защищенных Defender для облака, за пределами связанной подписки.

    Интервалы сканирования: выберите интервал для сканирования реестра контейнеров для уязвимостей.

  2. Выбор планов

    Для таких типов сред существует несколько планов:

    Снимок экрана: панель плана соединителя Docker Hub.

    • Базовый CSPM: базовый план, доступный для всех клиентов, предоставляет только возможности инвентаризации.

    • Контейнеры: предлагает функции инвентаризации и оценки уязвимостей.

    • CSPM Defender: предлагает функции инвентаризации и оценки уязвимостей, а также дополнительные возможности, такие как анализ пути атаки и сопоставление кода в облако.

    Сведения о проверке цен на план Microsoft Defender для облака ценообразования.

    Убедитесь, что планы среды Docker Hub синхронизированы с планами облачной среды и совместно используют ту же подписку, чтобы максимально увеличить охват.

  3. Настройка доступа

    Чтобы обеспечить непрерывную и безопасную связь между Defender для облака и организацией Docker Hub, убедитесь, что у вас есть выделенный пользователь с адресом электронной почты организации. Каждый соединитель Docker Hub соответствует одной организации Docker Hub. Поэтому подключение отдельного соединителя среды Docker Hub в Defender для облака для каждой организации Docker Hub, которой вы управляете, чтобы обеспечить оптимальное покрытие безопасности для цепочки поставок программного обеспечения контейнера.

    Выполните действия, описанные в разделе "Настройка Docker Hub в качестве внешнего реестра для подготовки учетной записи организации Docker Hub для интеграции".

    Укажите эти параметры от пользователя Docker Hub, чтобы установить подключение.

    • Организация: название организации Docker Hub

    • Пользователь: назначено имя пользователя Docker Hub

    • Маркер доступа: маркер доступа пользователя Docker Hub только для чтения

    Снимок экрана: соединитель Docker Hub для настройки панели доступа.

  4. Проверка и создание

    Просмотрите все сведения о настроенном соединителе перед подключением завершения.

    Снимок экрана: проверка и создание панели соединителя Docker Hub.

  5. Проверка подключения

    Убедитесь, что подключение выполнено успешно и отображает значение "Подключено" на экране параметров среды.

    Снимок экрана: состояние подключения среды соединителя Docker Hub на панели Defender для облака сред.

  6. Проверка возможностей компонентов

    Docker Hub инициирует проверку реестра контейнеров в течение одного часа после подключения:

    • Инвентаризация. Убедитесь, что соединитель Docker Hub и его состояние безопасности отображаются в представлении инвентаризации.

    • Оценка уязвимостей. Убедитесь, что вы получите рекомендацию "(Предварительная версия) Образы контейнеров в реестре Docker Hub должны иметь устраненные результаты уязвимостей" для устранения проблем с безопасностью в образах контейнеров Docker Hub.