Dela via

Sårbarhetsbedömningar för det externa Docker Hub-registret med Upravljanje ranjivostima za Microsoft Defender

  • Artikel

En viktig aspekt av Defender for Containers säkerhetslösning är att tillhandahålla sårbarhetsbedömning av containeravbildningar under hela livscykeln, från kodutveckling till molndistribution.

För att uppnå det här målet krävs omfattande täckning för alla faser i containeravbildningens livscykel, inklusive containeravbildningar från externa register. Docker Hub, som ofta används av företag, små och medelstora företag och communityn med öppen källkod, stöds i den här funktionen. Kunder som använder Docker Hub kan använda Defender för containrar för inventeringsidentifiering, utvärdering av säkerhetsstatus och sårbarhetsbedömning – med samma säkerhetsfunktioner som är tillgängliga för molnbaserade register som ACR, ECR och GCR.

Funktioner

Inventering – identifiera och lista alla tillgängliga containeravbildningar i Docker Hub-organisationen

Sårbarhetsbedömning – Genomsök regelbundet Docker Hub-organisationskontot efter containeravbildningar som stöds, identifiera sårbarheter och ge rekommendationer för problem som ska åtgärdas.

Förutsättningar

Om du vill använda Microsoft Defender för containrar med organisationens Docker Hub-konton måste du äga ett Docker Hub-organisationskonto och ha administratörsbehörighet för att hantera användare. Mer information finns i Konfigurera Docker Hub som ett externt register

Aktivera Microsoft Defender för containrar eller Defender för CSPM för minst en prenumeration i Microsoft Defender för molnet

Registrera Docker Hub-miljön

Personer som har behörighet som säkerhetsadministratör i Microsoft Defender för molnet kan lägga till en ny Docker Hub-miljö, förutsatt att de har nödvändiga behörigheter på sidan Miljöinställningar.

Skärmbild av panelen Defender för molnmiljöer.

Varje miljö motsvarar en distinkt Docker Hub-organisation. Med onboarding-gränssnittet för att lägga till ett nytt externt register kan användaren ange typen av containerregister som en ny miljö som klassificeras som "Docker Hub".

Skärmbild av knappen Lägg till miljö.

Miljöguiden hjälper till med registreringsprocessen:

  1. Anslutningsinformation

    Skärmbild av informationspanelen för Docker Hub-anslutningsappen.

    Anslutningsnamn: Ange ett unikt anslutningsnamn.

    Plats: Ange den geografiska plats där Defender för molnet lagrar de data som är associerade med den här anslutningsappen.

    Prenumeration: Den värdprenumeration som definierar RBAC-omfånget och faktureringsentiteten för Docker Hub-miljön.

    Resursgrupp: för RBAC-ändamål

    Kommentar

    Endast en prenumeration kan länkas till en Docker Hub-miljöinstans. Containeravbildningar från den här instansen kan dock distribueras till flera miljöer som skyddas av Defender för molnet, utanför gränserna för den associerade prenumerationen.

    Genomsökningsintervall: Ange omsökningsintervallet för containerregistret med timprecision.

  2. Välj planer

    Det finns flera planer för den här typen av miljöer:

    Skärmbild av panelen Välj plan i Docker Hub-anslutningsappen.

    • Grundläggande CSPM: Grundläggande plan som är tillgänglig för alla kunder, tillhandahåller endast inventeringsfunktioner.

    • Containrar: Erbjuder funktioner för inventering och sårbarhetsbedömning.

    • Defender CSPM: Erbjuder funktioner för inventering och sårbarhetsbedömning, plus extra funktioner som analys av attackvägar och kod-till-moln-mappning.

    Information om prissättningen för planen finns i Prissättning för Microsoft Defender för molnet.

    Se till att dina Docker Hub-miljöplaner är synkroniserade med dina molnmiljöplaner och dela samma prenumeration för att maximera täckningen.

  3. Konfigurera åtkomst

    För att upprätthålla en kontinuerlig och säker länk mellan Defender för molnet och din Docker Hub-organisation kontrollerar du att du har en dedikerad användare med en organisations e-postadress. Varje Docker Hub-anslutning motsvarar en Docker Hub-organisation. Registrera därför en separat Docker Hub-miljöanslutning i Defender för molnet för varje Docker Hub-organisation som du hanterar för att uppnå optimal säkerhetstäckning för din leverantörskedja för containerprogramvara.

    Följ stegen i Konfigurera Docker Hub som ett externt register för att förbereda ditt Docker Hub-organisationskonto för integrering.

    Ange dessa parametrar från Docker Hub-användaren för att upprätta en anslutning.

    • Organisation: Docker Hub-organisationsnamn

    • Användare: Tilldelat Docker Hub-användarnamn

    • Åtkomsttoken: Skrivskyddad åtkomsttoken för Docker Hub-användare

    Skärmbild av docker Hub-anslutningsappen för att konfigurera åtkomstpanelen.

  4. Granska och generera

    Granska all information om den konfigurerade anslutningsappen innan du registrerar slutförande.

    Skärmbild av docker Hub-anslutningsappens gransknings- och genereringspanel.

  5. Validera anslutningen

    Kontrollera att anslutningen lyckades och visar "Ansluten" på miljöns inställningsskärm.

    Skärmbild av docker Hub-anslutningsmiljöns anslutna status i panelen Defender för molnmiljöer.

  6. Verifiera funktionsfunktioner

    Docker Hub initierar genomsökning av containerregister inom en timme efter registrering:

    • Inventering – Kontrollera att Docker Hub-anslutningsappen och dess säkerhetsstatus visas i inventeringsvyn.

    • Sårbarhetsbedömning – Se till att du får rekommendationen "(Förhandsversion) Containeravbildningar i Docker Hub-registret bör ha sårbarhetsresultat lösta" för att åtgärda säkerhetsproblem i dina Docker Hub-containeravbildningar.