Posouzení ohrožení zabezpečení pro Azure s využitím Microsoft Defender Správa zranitelností

Posouzení ohrožení zabezpečení pro Azure, které využívá Microsoft Defender Správa zranitelností, je předem připravená řešení, které týmům zabezpečení umožňuje snadno zjišťovat a opravovat ohrožení zabezpečení v imagích kontejnerů, s nulovou konfigurací pro onboarding a bez nasazení agentů.

Poznámka:

Tato funkce podporuje prohledávání imagí pouze ve službě Azure Container Registry (ACR). Image, které jsou uložené v jiných registrech kontejnerů, by se měly importovat do ACR kvůli pokrytí. Zjistěte, jak importovat image kontejneru do registru kontejneru.

V každém předplatném, kde je tato funkce povolená, se kontrolují všechny image uložené v ACR, které splňují kritéria pro triggery kontroly, ohrožení zabezpečení bez jakékoli další konfigurace uživatelů nebo registrů. Doporučení se sestavami ohrožení zabezpečení jsou k dispozici pro všechny image v ACR a také pro image, které jsou aktuálně spuštěné v AKS, které byly načítané z registru ACR nebo jakéhokoli jiného registru podporovaného nástrojem Defender for Cloud (ECR, GCR nebo GAR). Obrázky se krátce po přidání do registru naskenují a znovu vyhledávají nová ohrožení zabezpečení každých 24 hodin.

Posouzení ohrožení zabezpečení kontejnerů s využitím Microsoft Defender Správa zranitelností má následující možnosti:

  • Kontrola balíčků operačního systému – Posouzení ohrožení zabezpečení kontejneru umožňuje kontrolovat ohrožení zabezpečení v balíčcích nainstalovaných správcem balíčků operačního systému v linuxovém a operačním systému Windows. Podívejte se na úplný seznam podporovaných operačních systémů a jejich verzí.
  • Jazykové balíčky – pouze Linux – podpora balíčků a souborů specifických pro jazyk a jejich závislosti nainstalované nebo zkopírované bez správce balíčků operačního systému. Podívejte se na úplný seznam podporovaných jazyků.
  • Kontrola imagí ve službě Azure Private Link – Posouzení ohrožení zabezpečení kontejneru Azure poskytuje možnost kontrolovat image v registrech kontejnerů, které jsou přístupné prostřednictvím služby Azure Private Links. Tato funkce vyžaduje přístup k důvěryhodným službám a ověřování pomocí registru. Zjistěte, jak povolit přístup důvěryhodnými službami.
  • Informace o zneužití – Každá sestava ohrožení zabezpečení je prohledána prostřednictvím databází zneužití, které našim zákazníkům pomáhají při určování skutečného rizika spojeného s každou nahlášenou chybou zabezpečení.
  • Vytváření sestav – Posouzení ohrožení zabezpečení kontejneru pro Azure s využitím Microsoft Defender Správa zranitelností poskytuje sestavy ohrožení zabezpečení s využitím následujících doporučení:

Toto jsou nová doporučení ve verzi Preview, která hlásí ohrožení zabezpečení kontejnerů modulu runtime a ohrožení zabezpečení imagí registru. Tato nová doporučení se nezapočítávají do skóre zabezpečení ve verzi Preview. Skenovací modul pro tato nová doporučení je stejný jako aktuální doporučení ga a poskytuje stejná zjištění. Tato doporučení by byla nejvhodnější pro zákazníky, kteří používají nové zobrazení na základě rizika pro doporučení a mají povolený plán CSPM v programu Defender.

Doporučení Popis Klíč posouzení
[Preview] Vyřešené zjištění ohrožení zabezpečení imagí kontejnerů v registru Azure Defender for Cloud prohledá image registru kvůli známým ohrožením zabezpečení (CVE) a poskytuje podrobné závěry pro každou naskenovanou image. Kontrola a náprava ohrožení zabezpečení imagí kontejnerů v registru pomáhá udržovat zabezpečený a spolehlivý dodavatelský řetězec softwaru, snižuje riziko incidentů zabezpečení a zajišťuje dodržování oborových standardů. 33422d8f-ab1e-42be-bc9a-38685bb567b9
[Preview] Kontejnery spuštěné v Azure by měly mít vyřešená zjištění ohrožení zabezpečení.   Defender for Cloud vytvoří inventář všech úloh kontejnerů, které jsou aktuálně spuštěné v clusterech Kubernetes, a poskytuje sestavy ohrožení zabezpečení pro tyto úlohy tím, že odpovídá použitým imagím a sestavám ohrožení zabezpečení vytvořeným pro image registru. Kontrola a náprava ohrožení zabezpečení úloh kontejnerů je důležitá k zajištění robustního a zabezpečeného softwarového dodavatelského řetězce, snížení rizika incidentů zabezpečení a zajištění dodržování oborových standardů. c5045ea3-afc6-4006-ab8f-86c8574dbf3d

Tato aktuální doporučení ga hlásí ohrožení zabezpečení v kontejnerech obsažených v clusteru Kubernetes a na imagích kontejnerů obsažených v registru kontejneru. Tato doporučení by byla nejvhodnější pro zákazníky, kteří používají klasické zobrazení doporučení a nemají povolený plán CSPM v programu Defender.

Doporučení Popis Klíč posouzení
Image kontejnerů Azure Registry by měly mít vyřešené chyby zabezpečení (s využitím Microsoft Defender Správa zranitelností) Posouzení ohrožení zabezpečení image kontejneru kontroluje běžně známá ohrožení zabezpečení (CVE) ve vašem registru a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení a zajistit bezpečné použití imagí před nasazením. c0b7cfc6-3172-465a-b378-53c7ff2cc0d5
Řešení ohrožení zabezpečení spuštěných imagí kontejnerů v Azure (s využitím Microsoft Defender Správa zranitelností)   Posouzení ohrožení zabezpečení image kontejneru kontroluje běžně známá ohrožení zabezpečení (CVE) ve vašem registru a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Toto doporučení poskytuje přehled o ohrožených imagích, které jsou aktuálně spuštěné v clusterech Kubernetes. Náprava ohrožení zabezpečení v imagích kontejnerů, které jsou aktuálně spuštěné, je klíčem ke zlepšení stavu zabezpečení, což výrazně snižuje prostor pro útoky pro kontejnerizované úlohy. c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

Triggery prohledávání

Triggery pro kontrolu obrázku jsou:

  • Jednorázová aktivace:

    • Každá image vložená nebo importovaná do registru kontejneru se aktivuje ke kontrole. Ve většině případů se kontrola dokončí během několika minut, ale ve výjimečných případech může trvat až hodinu.
    • Každá image načítaná z registru se aktivuje ke kontrole do 24 hodin.
  • Průběžné opakované prohledávání – průběžné opakované prohledávání je potřeba k zajištění toho, aby se image, u kterých bylo dříve zkontrolováno ohrožení zabezpečení, znovu prohledávají, aby se aktualizovaly sestavy ohrožení zabezpečení v případě publikování nové chyby zabezpečení.

    • Opakované prohledávání se provádí jednou denně pro:
      • Obrázky vložené během posledních 90 dnů.
      • Obrázky vytáhly za posledních 30 dnů.
      • Image aktuálně spuštěné v clusterech Kubernetes monitorovaných programem Defender for Cloud (buď prostřednictvím zjišťování bez agentů pro Kubernetes, nebo senzoru Defenderu).

Jak funguje prohledávání obrázků?

Podrobný popis procesu kontroly je popsán takto:

Poznámka:

V programu Defender for Container Registryies (zastaralé) se image kontrolují jednou při nasdílení změn, na vyžádání a znovu naskenují jenom jednou týdně.

Pokud odeberu image z registru, jak dlouho se sestavy ohrožení zabezpečení na této imagi odeberou?

Azure Container Registryies upozorní Defender for Cloud při odstranění imagí a během jedné hodiny odebere posouzení ohrožení zabezpečení pro odstraněné image. V některých výjimečných případech nemusí být Defender for Cloud upozorněn na odstranění a odstranění souvisejících ohrožení zabezpečení v takových případech může trvat až tři dny.

Další kroky