你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Microsoft Defender 漏洞管理进行 GCP 漏洞评估
由 Microsoft Defender 漏洞管理提供支持的 GCP 漏洞评估是一种现成的解决方案,使安全团队能够轻松发现和修复 Linux 容器映像中的漏洞,零配置启动,无需部署任何传感器。
在启用此功能的每个帐户中,Google 注册表(GAR 和 GCR)中存储的满足扫描触发器标准的所有映像都会被扫描以查找漏洞,而无需任何额外的用户或注册表配置。 针对 Google 注册表(GAR 和 GCR)中的所有映像、当前在 GKE 中运行且从 Google 注册表(GAR 和 GCR)或任何其他 Defender for Cloud 支持的注册表(ACR 或 ECR)中拉取的映像,提供带有漏洞报告的建议。 将映像添加到注册表后,将会立即对其进行扫描,并每隔 24 小时重新扫描一次新的漏洞。
由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估具有以下功能:
扫描 OS 包 - 容器漏洞评估能够扫描 Linux 和 Windows 操作系统中 OS 包管理器安装的包中的漏洞。 请参阅受支持的 OS 及其版本的完整列表。
特定于语言的包 - 仅限 Linux - 支持特定于语言的包和文件,以及在没有 OS 包管理器的情况下安装或复制的依赖项。 请参阅受支持的语言的完整列表。
可利用性信息 - 通过可利用性数据库搜索每个漏洞报告,以帮助客户确定与每个报告的漏洞关联的实际风险。
报告 - 由 Microsoft Defender 漏洞管理提供支持的 GCP 容器漏洞评估使用以下建议提供漏洞报告:
这些新预览建议会报告运行时容器漏洞和注册表映像漏洞。 这些新建议在预览期间不计入安全分数。 这些新建议的扫描引擎与当前 GA 建议相同,并提供相同的发现。 这些建议最适合使用基于风险的新建议视图并启用了 Defender CSPM 计划的客户。
| 建议 | 说明 | 评估密钥 |
|---|---|---|
| [预览] GCP 注册表中的容器映像应解决漏洞问题 | Defender for Cloud 会扫描注册表映像中是否存在已知漏洞 (CVE),并提供每个扫描映像的详细结果。 扫描并修正注册表中容器映像的漏洞有助于维护安全可靠的软件供应链,降低安全事件风险,并确保符合行业标准。 | 24e37609-dcf5-4a3b-b2b0-b7d76f2e4e04 |
| [预览]在 GCP 中运行的容器应解决漏洞问题 | Defender for Cloud 会创建 Kubernetes 群集中当前运行的所有容器工作负载的清单,并通过匹配正在使用的映像和为注册表映像创建的漏洞报告来提供这些工作负载的漏洞报告。 扫描并修正容器工作负载的漏洞对于确保强大且安全的软件供应链、降低安全事件风险和确保符合行业标准至关重要。 | 1b3abfa4-9e53-46f1-9627-51f2957f8bba |
这些当前的 GA 建议报告了 Kubernetes 群集中包含的容器以及容器注册表中包含的容器映像中的漏洞。 这些建议最适合使用经典建议视图且未启用 Defender CSPM 计划的客户。
| 建议 | 说明 | 评估密钥 |
|---|---|---|
| GCP 注册表容器映像应已解决漏洞结果(由 Microsoft Defender 漏洞管理提供支持)- Microsoft Azure | 扫描 GCP 注册表容器映像中常见的漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 | c27441ae-775c-45be-8ffa-655de37362ce |
| GCP 运行容器映像应已解决漏洞结果(由 Microsoft Defender 漏洞管理提供支持)- Microsoft Azure | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Google Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 | 5cc3a2c1-8397-456f-8792-fe9d0d4c9145 |
通过 Azure Resource Graph 查询漏洞信息 - 能够通过 Azure Resource Graph 查询漏洞信息。 了解如何通过 ARG 查询建议。
通过 REST API 查询扫描结果 - 了解如何通过 REST API 查询扫描结果。
扫描触发器
映像扫描的触发器为:
一次性触发:
- 每个推送到容器注册表的映像都会被触发进行扫描。 在大多数情况下,扫描将在几小时内完成,但在极少数情况下可能需要长达 24 个小时。
- 从注册表提取的每个映像都会在 24 小时内触发扫描。
连续重新扫描触发 - 需要连续重新扫描,以确保重新扫描以前扫描过漏洞的映像,以便在发布新漏洞时更新其漏洞报告。
- 每天对以下内容执行一次重新扫描:
- 过去 90 天内推送的映像。
- 过去 30 天内拉取的图像。
- 当前运行在由 Defender for Cloud 监视的 Kubernetes 群集上的映像(通过Kubernetes 的无代理发现或Defender 传感器)。
- 每天对以下内容执行一次重新扫描:
映像扫描的工作原理是什么?
扫描过程的详细说明如下所述:
启用由 Microsoft Defender 漏洞管理提供支持的 GCP 容器漏洞评估时,授权 Defender for Cloud 扫描 Elastic 容器注册表中的容器映像。
Defender for Cloud 会自动发现所有容器注册表、存储库和映像(在启用此功能之前或之后创建)。
每天一次,对于推送到注册表的新映像:
- 拉取所有新发现的映像,并为每个映像创建一个清单。 保留映像清单以避免进一步的映像拉取,除非新的扫描程序功能要求。
- 使用清单为新映像生成漏洞报表,并在报表中更新显示之前已扫描的映像,这些映像在过去 90 天内推送到注册表,或者当前正在运行。 为了确定映像当前是否正在运行,Defender for Cloud 会同时使用Kubernetes 的无代理发现和通过 GKE 节点上运行的 Defender 传感器收集的清单
- 注册表容器映像的漏洞报告是作为建议提供的。
对于使用Kubernetes 的无代理发现或通过 GKE 节点上运行的 Defender 传感器收集的清单的客户,Defender for Cloud 还会创建一个建议,用于修正 GKE 群集上运行的易受攻击的映像的漏洞。 对于仅使用 Kubernetes 的无代理发现的客户,此建议中的清单刷新时间为每七小时一次。 同时运行Defender 传感器的群集的清单刷新时间为每两小时一次。 将基于这两种情况下的注册表扫描来更新映像扫描结果,因此每 24 小时仅刷新一次。
注意
对于 Defender for Container Registries(已弃用),将在推送、拉取映像时扫描一次映像,并且每周仅重新扫描一次。
如果我从注册表中移除某个映像,多久之后会移除有关该映像的漏洞报告?
在从 Google 注册表(GAR 和 GCR)中删除映像后,需要 30 小时才能删除报表。
后续步骤
- 详细了解 Defender for Cloud 的 Defender 计划。
- 查看有关 Defender for Containers 的常见问题。