Оценки уязвимостей для Azure
Оценка уязвимостей для Azure, на основе Управление уязвимостями Microsoft Defender, — это встроенное решение, которое позволяет командам безопасности легко обнаруживать и устранять уязвимости в образах контейнеров с нулевой конфигурацией для подключения и без развертывания каких-либо агентов.
Примечание.
Эта функция поддерживает только сканирование изображений в Реестр контейнеров Azure (ACR). Изображения, хранящиеся в других реестрах контейнеров, должны быть импортированы в ACR для покрытия. Узнайте, как импортировать образы контейнеров в реестр контейнеров.
В каждой подписке, в которой эта возможность включена, все образы, хранящиеся в ACR, которые соответствуют критериям триггеров сканирования, проверяются на наличие уязвимостей без дополнительной настройки пользователей или реестров. Рекомендации с отчетами об уязвимостях предоставляются для всех образов в ACR, а также образов, которые в настоящее время выполняются в AKS, которые были извлечены из реестра ACR или любого другого Defender для облака поддерживаемого реестра (ECR, GCR или GAR). Образы сканируются вскоре после добавления в реестр и повторно сканируются для новых уязвимостей каждые 24 часа.
Оценка уязвимостей контейнера, реализованная Управление уязвимостями Microsoft Defender, имеет следующие возможности:
- Сканирование пакетов ОС — оценка уязвимостей контейнера имеет возможность сканировать уязвимости в пакетах, установленных диспетчером пакетов ОС в Linux и Ос Windows.
- Языковые пакеты — только Linux — поддержка языковых пакетов и файлов, а также их зависимостей, установленных или скопированных без диспетчера пакетов ОС.
- Сканирование изображений в Приватный канал Azure . Оценка уязвимостей контейнеров Azure обеспечивает возможность сканирования образов в реестрах контейнеров, доступных через Приватный канал Azure. Для этой возможности требуется доступ к доверенным службам и проверке подлинности с помощью реестра. Узнайте, как разрешить доступ доверенным службам.
- Сведения об эксплойтируемости. Каждый отчет об уязвимостях выполняется поиск по базам данных эксплойтируемости, чтобы помочь нашим клиентам определить фактический риск, связанный с каждой сообщаемой уязвимостью.
- Отчеты. Оценка уязвимостей контейнеров для Azure с помощью Управление уязвимостями Microsoft Defender предоставляет отчеты об уязвимостях с помощью следующих рекомендаций:
| Рекомендация | Description |
|---|---|
| Образы контейнеров реестра Azure должны иметь устраненные уязвимости (на базе Управление уязвимостями Microsoft Defender) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Устранение уязвимостей может значительно повысить уровень безопасности, обеспечивая безопасность образов, безопасных для использования до развертывания. |
| У запущенных образов контейнеров Azure должны быть устранены уязвимости (на базе Управление уязвимостями Microsoft Defender) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация обеспечивает видимость уязвимых образов, работающих в настоящее время в кластерах Kubernetes. Исправление уязвимостей в образах контейнеров, которые в настоящее время выполняются, является ключом к улучшению состояния безопасности, значительно уменьшая область атаки для контейнерных рабочих нагрузок. |
Триггеры сканирования
Триггеры для сканирования изображений:
Одноразовая активация:
- Каждый образ, отправленный или импортированный в реестр контейнеров, активируется для проверки. В большинстве случаев сканирование завершается в течение нескольких минут, но в редких случаях может потребоваться до часа.
- Каждый образ, извлекаемый из реестра, активируется для проверки в течение 24 часов.
- Каждый образ, отправленный или импортированный в реестр контейнеров, активируется для проверки. В большинстве случаев сканирование завершается в течение нескольких минут, но в редких случаях может потребоваться до часа.
Активация непрерывного повторного сканирования — для обеспечения повторного сканирования образов, которые ранее были проверены на наличие уязвимостей, повторно сканируются, чтобы обновить отчеты об уязвимостях в случае публикации новой уязвимости.
Повторная проверка выполняется один раз в день:
- Изображения, отправленные за последние 90 дней.
- Изображения извлеклись за последние 30 дней.
- Образы, работающие в кластерах Kubernetes, отслеживаемые Defender для облака (с помощью обнаружения без агента для Kubernetes или агента Defender).
Как работает сканирование изображений?
Подробное описание процесса сканирования описано следующим образом:
Если вы включите оценку уязвимостей контейнера для Azure на базе Управление уязвимостями Microsoft Defender, вы авторизуете Defender для облака для сканирования образов контейнеров в реестрах контейнеров Azure.
Defender для облака автоматически обнаруживает все реестры контейнеров, репозитории и образы (созданные до или после включения этой возможности).
Defender для облака получает уведомления при отправке нового образа в Реестр контейнеров Azure. Затем новый образ сразу же добавляется в каталог образов, Defender для облака поддерживается, и выполняется очередь действия для немедленного сканирования изображения.
Один раз в день и для новых образов, отправленных в реестр:
- Все недавно обнаруженные изображения извлекаются, и для каждого образа создается инвентаризация. Инвентаризация изображений сохраняется, чтобы избежать дальнейшего извлечения изображений, если не требуется новых возможностей сканера.
- С помощью инвентаризации отчеты об уязвимостях создаются для новых образов и обновляются для ранее сканированных образов, которые были отправлены за последние 90 дней в реестр или в настоящее время выполняются. Чтобы определить, запущен ли образ, Defender для облака использует обнаружение без агента для Kubernetes и инвентаризации, собранные с помощью агента Defender, работающего на узлах AKS.
- Отчеты об уязвимостях для образов контейнеров реестра предоставляются в качестве рекомендации.
- Все недавно обнаруженные изображения извлекаются, и для каждого образа создается инвентаризация. Инвентаризация изображений сохраняется, чтобы избежать дальнейшего извлечения изображений, если не требуется новых возможностей сканера.
Для клиентов, использующих обнаружение без агента для Kubernetes или инвентаризации, собранных с помощью агента Defender, работающего на узлах AKS, Defender для облака также создает рекомендацию по устранению уязвимостей для уязвимых образов, работающих в кластере AKS. Для клиентов, использующих только обнаружение без агента для Kubernetes, время обновления для инвентаризации в этой рекомендации составляет каждые семь часов. Кластеры, которые также работают с агентом Defender, получают выгоду от двухчасовой частоты обновления инвентаризации. Результаты сканирования изображений обновляются на основе сканирования реестра в обоих случаях и поэтому обновляются только каждые 24 часа.
Примечание.
Для Defender для реестров контейнеров (не рекомендуется), образы сканируются один раз при отправке, на вытягивании и повторно сканируются только один раз в неделю.
Если удалить образ из реестра, как долго до того, как будут удалены отчеты об уязвимостях на этом образе?
Реестры контейнеров Azure уведомляют Defender для облака при удалении образов и удаляют оценку уязвимостей для удаленных образов в течение одного часа. В некоторых редких случаях Defender для облака могут не получать уведомления об удалении и удалении связанных уязвимостей в таких случаях может занять до трех дней.