Posouzení ohrožení zabezpečení pro GCP s Microsoft Defender Správa zranitelností
Posouzení ohrožení zabezpečení pro GCP, které využívá Microsoft Defender Správa zranitelností, je předem připravená řešení, které týmům zabezpečení umožňuje snadno zjišťovat a opravovat ohrožení zabezpečení v imagích kontejnerů Linuxu s nulovou konfigurací pro onboarding a bez nasazení jakýchkoli senzorů.
Ve všech účtech, kde je povolení této funkce dokončeno, se kontrolují všechny image uložené v registrech Google (GAR a GCR), které splňují kritéria pro triggery kontroly, ohrožení zabezpečení bez jakékoli další konfigurace uživatelů nebo registrů. Doporučení týkající se sestav ohrožení zabezpečení jsou k dispozici pro všechny image v registrech Google (GAR a GCR), imagích, které jsou aktuálně spuštěné v GKE, které byly staženy z registrů Google (GAR a GCR) nebo jakéhokoli jiného registru podporovaného službou Defender for Cloud (ACR nebo ECR). Obrázky se krátce po přidání do registru naskenují a znovu vyhledávají nová ohrožení zabezpečení každých 24 hodin.
Posouzení ohrožení zabezpečení kontejnerů s využitím Microsoft Defender Správa zranitelností má následující možnosti:
Kontrola balíčků operačního systému – Posouzení ohrožení zabezpečení kontejneru umožňuje kontrolovat ohrožení zabezpečení v balíčcích nainstalovaných správcem balíčků operačního systému v linuxových a operačních systémech Windows. Podívejte se na úplný seznam podporovaných operačních systémů a jejich verzí.
Jazykové balíčky – pouze Linux – podpora balíčků a souborů specifických pro jazyk a jejich závislosti nainstalované nebo zkopírované bez správce balíčků operačního systému. Podívejte se na úplný seznam podporovaných jazyků.
Informace o zneužití – Každá sestava ohrožení zabezpečení je prohledána prostřednictvím databází zneužití, které našim zákazníkům pomáhají při určování skutečného rizika spojeného s každou nahlášenou chybou zabezpečení.
Vytváření sestav – Posouzení ohrožení zabezpečení kontejneru pro GCP s využitím Microsoft Defender Správa zranitelností poskytuje sestavy ohrožení zabezpečení s využitím následujících doporučení:
Toto jsou nová doporučení ve verzi Preview, která hlásí ohrožení zabezpečení kontejnerů modulu runtime a ohrožení zabezpečení imagí registru. Tato nová doporučení se nezapočítávají do skóre zabezpečení ve verzi Preview. Skenovací modul pro tato nová doporučení je stejný jako aktuální doporučení ga a poskytuje stejná zjištění. Tato doporučení by byla nejvhodnější pro zákazníky, kteří pro doporučení používají nové zobrazení založené na rizicích a mají povolený plán CSPM v programu Defender.
| Doporučení | Popis | Klíč posouzení |
|---|---|---|
| [Preview] Vyřešené zjištěných ohrožení zabezpečení imagí kontejnerů v registru GCP | Defender for Cloud prohledá image registru kvůli známým ohrožením zabezpečení (CVE) a poskytuje podrobné závěry pro každou naskenovanou image. Kontrola a náprava ohrožení zabezpečení imagí kontejnerů v registru pomáhá udržovat zabezpečený a spolehlivý dodavatelský řetězec softwaru, snižuje riziko incidentů zabezpečení a zajišťuje dodržování oborových standardů. | 24e37609-dcf5-4a3b-b2b0-b7d76f2e4e04 |
| [Preview] Kontejnery spuštěné v GCP by měly mít vyřešená zjištění ohrožení zabezpečení | Defender for Cloud vytvoří inventář všech úloh kontejnerů, které jsou aktuálně spuštěné v clusterech Kubernetes, a poskytuje sestavy ohrožení zabezpečení pro tyto úlohy tím, že odpovídá použitým imagím a sestavám ohrožení zabezpečení vytvořeným pro image registru. Kontrola a náprava ohrožení zabezpečení úloh kontejnerů je důležitá k zajištění robustního a zabezpečeného softwarového dodavatelského řetězce, snížení rizika incidentů zabezpečení a zajištění dodržování oborových standardů. | 1b3abfa4-9e53-46f1-9627-51f2957f8bba |
Tato aktuální doporučení ga hlásí ohrožení zabezpečení v kontejnerech obsažených v clusteru Kubernetes a na imagích kontejnerů obsažených v registru kontejneru. Tato doporučení by byla nejvhodnější pro zákazníky, kteří používají klasické zobrazení doporučení a nemají povolený plán CSPM v programu Defender.
| Doporučení | Popis | Klíč posouzení |
|---|---|---|
| Image kontejnerů registru GCP by měly mít vyřešené závěry ohrožení zabezpečení (s využitím Microsoft Defender Správa zranitelností) – Microsoft Azure | Vyhledá image kontejnerů registrů GCP z běžně známých ohrožení zabezpečení (CVE) a poskytne podrobnou sestavu ohrožení zabezpečení pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení a zajistit bezpečné použití imagí před nasazením. | c27441ae-775c-45be-8ffa-655de37362ce |
| Řešení zjištění ohrožení zabezpečení spuštěných imagí kontejnerů GCP (s využitím Microsoft Defender Správa zranitelností) – Microsoft Azure | Posouzení ohrožení zabezpečení image kontejneru kontroluje běžně známá ohrožení zabezpečení (CVE) ve vašem registru a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Toto doporučení poskytuje přehled o ohrožených imagích, které jsou aktuálně spuštěné v clusterech Google Kubernetes. Náprava ohrožení zabezpečení v imagích kontejnerů, které jsou aktuálně spuštěné, je klíčem ke zlepšení stavu zabezpečení, což výrazně snižuje prostor pro útoky pro kontejnerizované úlohy. | 5cc3a2c1-8397-456f-8792-fe9d0d4c9145 |
Dotazování na informace o ohrožení zabezpečení prostřednictvím Azure Resource Graphu – Schopnost dotazovat informace o ohrožení zabezpečení prostřednictvím Azure Resource Graphu Naučte se dotazovat doporučení prostřednictvím ARG.
Výsledky prohledávání dotazů prostřednictvím rozhraní REST API – Zjistěte, jak dotazovat výsledky prohledávání přes rozhraní REST API.
Triggery prohledávání
Triggery pro kontrolu obrázku jsou:
Jednorázová aktivace:
- Každá image vložená do registru kontejneru se aktivuje ke kontrole. Ve většině případů se kontrola dokončí během několika hodin, ale ve výjimečných případech může trvat až 24 hodin.
- Každá image načítaná z registru se aktivuje ke kontrole do 24 hodin.
Průběžné opakované prohledávání – průběžné opakované prohledávání je potřeba k zajištění toho, aby se image, u kterých bylo dříve zkontrolováno ohrožení zabezpečení, znovu prohledávají, aby se aktualizovaly sestavy ohrožení zabezpečení v případě publikování nové chyby zabezpečení.
- Opakované prohledávání se provádí jednou denně pro:
- Obrázky vložené během posledních 90 dnů.
- Obrázky vytáhly za posledních 30 dnů.
- Image aktuálně spuštěné v clusterech Kubernetes monitorovaných programem Defender for Cloud (buď prostřednictvím zjišťování bez agentů pro Kubernetes, nebo senzoru Defenderu).
- Opakované prohledávání se provádí jednou denně pro:
Jak funguje prohledávání obrázků?
Podrobný popis procesu kontroly je popsán takto:
Když povolíte posouzení ohrožení zabezpečení kontejneru pro GCP s využitím Microsoft Defender Správa zranitelností, autorizujete Defender for Cloud ke kontrole imagí kontejnerů v registrech elastických kontejnerů.
Defender for Cloud automaticky zjistí všechny registry kontejnerů, úložiště a image (vytvořené před povolením nebo po povolení této funkce).
Jednou denně a pro nové image vložené do registru:
- Načítají se všechny nově zjištěné image a pro každou image se vytvoří inventář. Inventář obrázků se uchovává, aby se zabránilo dalšímu načítání obrázků, pokud to nevyžaduje nové funkce skeneru.
- Při použití inventáře se pro nové image vygenerují sestavy ohrožení zabezpečení a aktualizují se pro image, které se dříve naskenovaly buď během posledních 90 dnů do registru, nebo jsou aktuálně spuštěné. K určení, jestli je image aktuálně spuštěná, používá Defender pro cloud zjišťování bez agentů pro Kubernetes i inventář shromážděné prostřednictvím senzoru Defenderu spuštěného na uzlech GKE.
- Sestavy ohrožení zabezpečení pro image kontejnerů registru se poskytují jako doporučení.
Pro zákazníky, kteří používají zjišťování bez agentů pro Kubernetes nebo inventář shromážděný prostřednictvím senzoru Defender spuštěného na uzlech GKE, vytvoří Defender pro Cloud také doporučení pro nápravu ohrožení zabezpečení pro ohrožené image spuštěné v clusteru GKE. Pro zákazníky, kteří používají pouze zjišťování bez agentů pro Kubernetes, je doba aktualizace inventáře v tomto doporučení jednou za sedm hodin. Clustery, na kterých běží také senzor Defenderu, využívají dvouhodinovou frekvenci aktualizace inventáře. Výsledky kontroly obrázků se aktualizují na základě kontroly registru v obou případech, a proto se aktualizují pouze každých 24 hodin.
Poznámka:
V programu Defender for Container Registryies (zastaralé) se image kontrolují jednou při nasdílení změn, na vyžádání a znovu naskenují jenom jednou týdně.
Pokud odeberu image z registru, jak dlouho se sestavy ohrožení zabezpečení na této imagi odeberou?
Odstranění obrázku z registrů Google (GAR a GCR) trvá 30 hodin, než se sestavy odeberou.
Další kroky
- Přečtěte si další informace o plánech Defenderu pro Cloud Defender.
- Podívejte se na běžné dotazy týkající se Defenderu for Containers.