Sårbarhetsbedömningar för Azure
Sårbarhetsbedömning för Azure, som drivs av Microsoft Defender – hantering av säkerhetsrisker, är en out-of-box-lösning som gör det möjligt för säkerhetsteam att enkelt identifiera och åtgärda sårbarheter i containeravbildningar, utan konfiguration för registrering och utan distribution av några agenter.
Kommentar
Den här funktionen stöder genomsökning av avbildningar endast i Azure Container Registry (ACR). Avbildningar som lagras i andra containerregister bör importeras till ACR för täckning. Lär dig hur du importerar containeravbildningar till ett containerregister.
I varje prenumeration där den här funktionen är aktiverad genomsöks alla bilder som lagras i ACR som uppfyller kriterierna för genomsökningsutlösare efter sårbarheter utan extra konfiguration av användare eller register. Rekommendationer med sårbarhetsrapporter tillhandahålls för alla avbildningar i ACR samt avbildningar som för närvarande körs i AKS som hämtades från ett ACR-register eller andra Defender för molnet register som stöds (ECR, GCR eller GAR). Bilder genomsöks kort efter att de har lagts till i ett register och genomsöks efter nya sårbarheter en gång var 24:e timme.
Sårbarhetsbedömning av containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker har följande funktioner:
- Genomsökning av OS-paket – sårbarhetsbedömning av containrar har möjlighet att genomsöka sårbarheter i paket som installerats av OS-pakethanteraren i Linux och Windows OS.
- Språkspecifika paket – endast Linux – stöd för språkspecifika paket och filer och deras beroenden installerade eller kopierade utan operativsystemets pakethanterare.
- Avbildningsgenomsökning i Azure Private Link – Azure-containerns sårbarhetsbedömning ger möjlighet att skanna avbildningar i containerregister som är tillgängliga via Azure Private Links. Den här funktionen kräver åtkomst till betrodda tjänster och autentisering med registret. Lär dig hur du tillåter åtkomst av betrodda tjänster.
- Information om sårbarhet – Varje sårbarhetsrapport genomsöks via sårbarhetsdatabaser för att hjälpa våra kunder att fastställa faktiska risker som är associerade med varje rapporterad sårbarhet.
- Rapportering – Sårbarhetsbedömning för containrar för Azure som drivs av Microsoft Defender – hantering av säkerhetsrisker tillhandahåller sårbarhetsrapporter med hjälp av följande rekommendationer:
| Rekommendation | Beskrivning |
|---|---|
| Azure-registercontaineravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Att lösa säkerhetsrisker kan avsevärt förbättra din säkerhetsstatus, vilket säkerställer att avbildningar är säkra att använda före distributionen. |
| Azure som kör containeravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) | Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Den här rekommendationen ger synlighet för sårbara avbildningar som för närvarande körs i dina Kubernetes-kluster. Att åtgärda sårbarheter i containeravbildningar som för närvarande körs är nyckeln till att förbättra din säkerhetsstatus, vilket avsevärt minskar attackytan för dina containerbaserade arbetsbelastningar. |
Genomsökningsutlösare
Utlösarna för en bildgenomsökning är:
Engångsutlösare:
- Varje avbildning som skickas eller importeras till ett containerregister utlöses för genomsökning. I de flesta fall slutförs genomsökningen inom några minuter, men i sällsynta fall kan det ta upp till en timme.
- Varje avbildning som hämtas från ett register utlöses för att genomsökas inom 24 timmar.
- Varje avbildning som skickas eller importeras till ett containerregister utlöses för genomsökning. I de flesta fall slutförs genomsökningen inom några minuter, men i sällsynta fall kan det ta upp till en timme.
Kontinuerlig återsökningsutlösare – kontinuerlig genomsökning krävs för att säkerställa att bilder som tidigare har genomsökts efter sårbarheter genomsöks igen för att uppdatera sina sårbarhetsrapporter om en ny säkerhetsrisk publiceras.
Omsökningen utförs en gång om dagen för:
- Bilder som har push-överförts under de senaste 90 dagarna.
- Bilder som hämtats under de senaste 30 dagarna.
- Avbildningar som för närvarande körs i Kubernetes-kluster som övervakas av Defender för molnet (antingen via Agentlös identifiering för Kubernetes eller Defender-agenten).
Hur fungerar bildgenomsökning?
En detaljerad beskrivning av genomsökningsprocessen beskrivs på följande sätt:
När du aktiverar sårbarhetsbedömningen för containrar för Azure som drivs av Microsoft Defender – hantering av säkerhetsrisker ger du Defender för molnet att skanna containeravbildningar i dina Azure Container-register.
Defender för molnet identifierar automatiskt alla containrars register, lagringsplatser och avbildningar (skapade före eller efter aktivering av den här funktionen).
Defender för molnet tar emot meddelanden när en ny avbildning skickas till ett Azure Container Registry. Den nya avbildningen läggs sedan omedelbart till i katalogen med bilder Defender för molnet underhåller och köar en åtgärd för att skanna avbildningen omedelbart.
En gång om dagen och för nya avbildningar som skickas till ett register:
- Alla nyupptäckta avbildningar hämtas och en inventering skapas för varje bild. Bildinventering sparas för att undvika ytterligare avbildningshämtningar, såvida det inte krävs av nya skannerfunktioner.
- Med hjälp av inventeringen genereras sårbarhetsrapporter för nya avbildningar och uppdateras för avbildningar som tidigare genomsökts och som antingen har push-överförts under de senaste 90 dagarna till ett register eller för närvarande körs. För att avgöra om en avbildning körs använder Defender för molnet både agentlös identifiering för Kubernetes och inventering som samlas in via Defender-agenten som körs på AKS-noder
- Sårbarhetsrapporter för registercontaineravbildningar tillhandahålls som en rekommendation.
- Alla nyupptäckta avbildningar hämtas och en inventering skapas för varje bild. Bildinventering sparas för att undvika ytterligare avbildningshämtningar, såvida det inte krävs av nya skannerfunktioner.
För kunder som använder antingen Agentlös identifiering för Kubernetes eller inventering som samlas in via Defender-agenten som körs på AKS-noder skapar Defender för molnet också en rekommendation för att åtgärda sårbarheter för sårbara avbildningar som körs i ett AKS-kluster. För kunder som endast använder agentlös identifiering för Kubernetes är uppdateringstiden för inventering i den här rekommendationen en gång var sjunde timme. Kluster som också kör Defender-agenten har en uppdateringsfrekvens på två timmar. Avbildningsgenomsökningsresultat uppdateras baserat på registergenomsökning i båda fallen och uppdateras därför bara var 24:e timme.
Kommentar
För Defender för containerregister (inaktuella) genomsöks bilderna en gång vid push, vid pull och genomsöks endast en gång i veckan.
Hur lång tid tar det innan sårbarhetsrapporter på avbildningen tas bort om jag tar bort en avbildning från mitt register?
Azure Container Registries meddelar Defender för molnet när avbildningar tas bort och tar bort sårbarhetsbedömningen för borttagna avbildningar inom en timme. I vissa sällsynta fall kanske Defender för molnet inte meddelas om borttagningen, och borttagningen av associerade säkerhetsrisker i sådana fall kan ta upp till tre dagar.