Azure 的弱點評估
由 Microsoft Defender 弱點管理所提供 Azure 的弱點評量是立即可用的解決方案,可讓安全性小組輕鬆地探索和補救容器映像中的弱點,不需要設定上線,且不需要部署任何代理程式。
注意
此功能僅支援掃描 Azure Container Registry (ACR) 中的映像。 儲存在其他容器登錄中的映像應匯入 ACR 以進入涵蓋範圍。 了解如何將容器映像匯入至容器登錄。
在啟用此功能的每個訂用帳戶中,儲存在 ACR 中符合掃描觸發程序準則的所有映像都會掃描是否有弱點,而不需要任何額外的使用者或登錄設定。 針對 ACR 中的所有映像,以及目前在 AKS 中執行的映像,以及從 ACR 登錄或任何其他適用於雲端的 Defender 支援登錄 (ECR、GCR 或 GAR) 提取的映像,提供弱點報告的建議。 映像會在新增至登錄後不久掃描,並每隔 24 小時重新掃描一次新的弱點。
由 Microsoft Defender 弱點管理所提供的容器弱點評量具有下列功能:
- 掃描 OS 套件 - 容器弱點評估能夠掃描 Linux 和 Windows OS 中 OS 套件管理員所安裝的套件弱點。
- 語言特定套件 – 僅限 Linux - 支援語言特定套件和檔案,以及安裝或複製的相依性,而不需要 OS 套件管理員。
- Azure Private Link 中的映像掃描 - Azure 容器弱點評估可讓您掃描容器登錄中的映像 (可透過 Azure Private Link 存取)。 此功能需要存取受信任的服務,並使用登錄進行驗證。 了解如何允許受信任的服務存取。
- 惡意探索資訊 - 每個弱點報告都是透過惡意探索資料庫來搜尋,以協助我們的客戶判斷與每個報告弱點相關聯的實際風險。
- 報告 - 由 Microsoft Defender 弱點管理所提供的 Azure 容器弱點評量會使用下列建議提供弱點報告:
| 建議 | 說明 |
|---|---|
| Azure 登錄容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 解決弱點可大幅改善您的安全性態勢,確保映像可安全使用再進行部署。 |
| Azure 執行中的容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在 Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵,可大幅降低容器化工作負載的受攻擊面。 |
掃描觸發程序
映像掃描的觸發程序如下:
單次觸發:
- 每個推送或匯入至容器登錄的映像都會觸發掃描。 在大部分情況下,掃描會在幾分鐘內完成,但在極少數情況下,最多可能需要一小時的時間。
- 從登錄提取的每個映像都會在 24 小時內觸發掃描。
- 每個推送或匯入至容器登錄的映像都會觸發掃描。 在大部分情況下,掃描會在幾分鐘內完成,但在極少數情況下,最多可能需要一小時的時間。
持續重新掃描觸發 – 需要持續重新掃描,以確保先前掃描過弱點的映像會重新掃描,以在發佈新的弱點時更新弱點報告。
針對以下項目每天執行一次重新掃描:
- 過去 90 天內推送的映像。
- 過去 30 天內提取的映像。
- 目前在適用於雲端的 Defender 所監視 Kubernetes 叢集上執行的映像 (透過 Kubernetes 的無代理程式探索或 Defender 代理程式)。
映像掃描如何運作?
掃描流程的詳細描述如下:
當您啟用由 Microsoft Defender 弱點管理所提供 Azure 的容器弱點評量時,您會授權適用於雲端的 Defender 掃描 Azure 容器登錄中的容器映像。
適用於雲端的 Defender 會自動探索所有容器登錄、存放庫和映像 (在啟用此功能之前或之後建立)。
每當將新映像推送至 Azure Container Registry 時,適用於雲端的 Defender 就會收到通知。 然後,新映像會立即新增至適用於雲端的 Defender 維護的映像目錄,並將動作排入佇列以立即掃描映像。
一天一次,並針對推送至登錄的新映像:
- 系統會提取所有新探索到的映像,並針對每個映像建立清查。 除非新的掃描器功能需要,否則會保留映像清查以避免進一步的映像提取。
- 使用清查時,系統會針對新的映像產生弱點報告,並針對先前掃描的映像進行更新,這些映像是在過去 90 天內推送至登錄,或目前正在執行中。 若要判斷映像目前是否正在執行,適用於雲端的 Defender 會使用針對 Kubernetes 的無代理程式探索,以及透過在 AKS 節點上執行的 Defender 代理程式收集的詳細目錄
- 建議提供登錄容器映像的弱點報告。
- 系統會提取所有新探索到的映像,並針對每個映像建立清查。 除非新的掃描器功能需要,否則會保留映像清查以避免進一步的映像提取。
對於使用針對 Kubernetes 的無代理程式探索或透過在 AKS 節點上執行的 Defender 代理程式收集的詳細目錄的客戶,適用於雲端的 Defender 也會針對在 AKS 叢集上執行的易受攻擊映像補救弱點建立建議。 對於僅使用針對 Kubernetes 的無代理程式探索的客戶,此建議中的詳細目錄重新整理時間是每 7 小時一次。 同時執行 Defender 代理程式的叢集受益於兩小時的詳細目錄重新整理率。 映像掃描結果會根據這兩種情況下的登錄掃描進行更新,因此只會每隔 24 小時重新整理一次。
注意
針對適用於容器登錄的 Defender (已淘汰),映像會在推送、提取時掃描一次,並每週僅重新掃描一次。
如果我從我的登錄中移除映像,該映像的弱點報告多久才會移除?
Azure Container Registries 會在刪除映像時通知適用於雲端的 Defender,並在一小時內移除已刪除映像的弱點評量。 在某些極少數的情況下,適用於雲端的 Defender 可能不會在刪除時收到通知,而在這種情況下刪除相關聯的弱點最多可能需要三天的時間。