Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Defender per contenitori esegue una valutazione della vulnerabilità senza agente sulle immagini del contenitore negli ambienti di runtime supportati e nei registri contenitori supportati. Le raccomandazioni pertinenti vengono generate per le vulnerabilità rilevate in un'immagine del registro contenitori o in un contenitore in esecuzione.
La valutazione delle vulnerabilità delle immagini nei registri contenitori supportati viene eseguita quando l'accesso al Registro di sistema è abilitato per i piani Defender for Cloud Security Posture Management o Defender per contenitori.
La valutazione della vulnerabilità delle immagini del contenitore in esecuzione viene eseguita indipendentemente dal registro contenitori di origine, quando l'estensione Analisi senza agente per le macchine insieme a Accesso API K8S o le estensioni del Sensore Defender sono abilitate nei piani Defender for Cloud Security Posture Management o Defender for Containers. I risultati della valutazione della vulnerabilità vengono creati anche per le immagini del contenitore estratte dai registri supportati.
Nota
Esaminare la matrice di supporto di Defender per contenitori per gli ambienti supportati.
La valutazione della vulnerabilità delle immagini del contenitore, basata sulla gestione delle vulnerabilità di Microsoft Defender, offre le funzionalità seguenti:
Analisi dei pacchetti del sistema operativo: la valutazione della vulnerabilità dei contenitori consente di analizzare le vulnerabilità nei pacchetti installati dalla gestione pacchetti del sistema operativo nei sistemi operativi Linux e Windows. Vedere l'elenco completo del sistema operativo supportato e delle relative versioni.
Pacchetti specifici della lingua, solo Linux - supporto per pacchetti e file specifici della lingua e le relative dipendenze installate o copiate senza il gestore di pacchetti del sistema operativo. Vedere l'elenco completo delle lingue supportate.
Analisi delle immagini nel collegamento privato di Azure : la valutazione della vulnerabilità dei contenitori di Azure consente di analizzare le immagini nei registri contenitori accessibili tramite collegamenti privati di Azure. Questa funzionalità richiede l'accesso ai servizi attendibili e all'autenticazione con il registro. Informazioni su come consentire l'accesso da parte di servizi attendibili.
Informazioni sull'esploitabilità: ogni report sulla vulnerabilità viene analizzato all'interno di database di sfruttabilità per aiutare i nostri clienti a determinare il rischio effettivo associato a ogni vulnerabilità segnalata.
Reporting - La valutazione della vulnerabilità dei contenitori per Azure guidata da Microsoft Defender Vulnerability Management fornisce report sulle vulnerabilità usando le seguenti raccomandazioni:
Informazioni sull'esploitabilità: ogni report sulla vulnerabilità viene esaminato attraverso database di sfruttabilità per aiutare i clienti a determinare il rischio effettivo associato a ogni vulnerabilità segnalata.
Reporting - Valutazione della vulnerabilità dei contenitori basata sulla gestione delle vulnerabilità di Microsoft Defender fornisce report sulle vulnerabilità usando le raccomandazioni seguenti:
Eseguire query sulle informazioni sulle vulnerabilità tramite Azure Resource Graph : possibilità di eseguire query sulle informazioni sulle vulnerabilità tramite Azure Resource Graph. Informazioni su come eseguire query sulle raccomandazioni tramite ARG.
Eseguire query sui risultati dell'analisi tramite l'API REST : informazioni su come eseguire query sui risultati dell'analisi tramite l'API REST.
Supporto per le esenzioni : informazioni su come creare regole di esenzione per un gruppo di gestione, un gruppo di risorse o una sottoscrizione.
Supporto per la disabilitazione delle vulnerabilità : informazioni su come disabilitare le vulnerabilità nelle immagini.
Firma e verifica degli artefatti delle rilevazioni di vulnerabilità di ciascuna immagine: l'artefatto delle rilevazioni di vulnerabilità viene firmato con un certificato Microsoft per l'integrità e l'autenticità ed è associato all'immagine del contenitore nel registro per scopi di convalida.
Raccomandazioni per la valutazione della vulnerabilità
Le nuove seguenti raccomandazioni di anteprima indicano le vulnerabilità dei contenitori di runtime e delle immagini del registro e non influiscono sul punteggio di sicurezza durante la visualizzazione in anteprima. Il motore di analisi per le nuove raccomandazioni è identico a quello delle raccomandazioni di disponibilità generale correnti e fornisce gli stessi risultati. Le nuove raccomandazioni sono più adatte per i clienti che usano la nuova visualizzazione basata sul rischio per le raccomandazioni e hanno abilitato il piano CSPM di Defender.
| Suggerimento | Descrizione | Chiave di valutazione |
|---|---|---|
| [Anteprima] Le immagini del contenitore nel Registro Azure devono avere le vulnerabilità riscontrate risolte | Defender per il cloud analizza le immagini del Registro di sistema per individuare vulnerabilità note (CVE) e fornisce risultati dettagliati per ogni immagine analizzata. L'analisi e la correzione delle vulnerabilità per le immagini dei contenitori nel registro consentono di mantenere una catena di approvvigionamento software sicura e affidabile, riduce il rischio di eventi imprevisti di sicurezza e garantisce la conformità agli standard del settore. | 33422d8f-ab1e-42be-bc9a-38685bb567b9 |
| [Anteprima] Le vulnerabilità rilevate nei contenitori in esecuzione su Azure devono essere risolte | Defender per il cloud crea un inventario di tutti i carichi di lavoro dei contenitori attualmente in esecuzione nei cluster Kubernetes e fornisce report sulle vulnerabilità per tali carichi di lavoro associando le immagini usate e i report sulle vulnerabilità creati per le immagini del Registro di sistema. L'analisi e la correzione delle vulnerabilità dei carichi di lavoro dei contenitori è fondamentale per garantire una catena di approvvigionamento software affidabile e sicura, ridurre il rischio di incidenti di sicurezza e garantire la conformità agli standard di settore. | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
Le attuali raccomandazioni GA segnalano le vulnerabilità nei container all'interno di un cluster Kubernetes e nelle immagini dei container all'interno di un registro container. Queste raccomandazioni sono più adatte per i clienti che usano la visualizzazione classica per le raccomandazioni e non hanno il piano CSPM di Defender abilitato.
| Suggerimento | Descrizione | Chiave di valutazione |
|---|---|---|
| Le immagini dei contenitori del registro di Azure devono avere le vulnerabilità risolte, alimentate dalla gestione delle vulnerabilità di Microsoft Defender | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. La risoluzione delle vulnerabilità può migliorare notevolmente il comportamento di sicurezza, assicurandosi che le immagini siano sicure da usare prima della distribuzione. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate sulla gestione delle vulnerabilità di Microsoft Defender) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente operative è fondamentale per migliorare la posizione di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Funzionamento della valutazione della vulnerabilità per immagini e contenitori
Analisi delle immagini nei registri supportati da Defender per contenitori
Nota
È necessario abilitare l'estensione accesso al registro per la valutazione delle vulnerabilità delle immagini nei registri dei container.
L'analisi di un'immagine in un registro contenitori crea un inventario dell'immagine e le raccomandazioni relative alle vulnerabilità. I registri di immagini del contenitore supportati sono: Registro Azure Container (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR), Google Container Registry (GCR) e registri esterni configurati. Un'immagine viene analizzata quando:
- Viene eseguito il push o l'importazione di una nuova immagine nel registro contenitori. L'immagine viene analizzata entro poche ore.
- Attivazione continua dell'analisi : è necessaria una nuova analisi continua per assicurarsi che le immagini analizzate in precedenza per individuare le vulnerabilità vengano analizzate nuovamente per aggiornare i report sulle vulnerabilità nel caso in cui venga pubblicata una nuova vulnerabilità.
La ripetizione dell'analisi viene eseguita una volta al giorno per:
- Immagini di cui è stato eseguito il push negli ultimi 90 giorni.*
- Le immagini estratte negli ultimi 30 giorni.
- Immagini attualmente in esecuzione nei cluster Kubernetes monitorati da Defender per il cloud (tramite l'individuazione senza agente per Kubernetes o il sensore Defender).
* La nuova raccomandazione di anteprima viene generata per le immagini di cui è stato eseguito il push negli ultimi 30 giorni.
Nota
Per quanto riguarda Defender per i registri dei contenitori (deprecato), le immagini vengono scansionate una volta al momento del push, del pull e di nuovo una sola volta alla settimana.
Scansione dei contenitori in esecuzione nel carico di lavoro del cluster
Le immagini dei container nel carico di lavoro del cluster vengono analizzate nel modo seguente:
- Le immagini vulnerabili scansionate nei registri supportati vengono identificate come in esecuzione nel cluster attraverso un processo di individuazione. Le immagini del contenitore in esecuzione vengono analizzate ogni 24 ore. L'accesso al Registro di sistema e l'accesso all'API Kubernetes o il sensore defender devono essere abilitati.
- Le immagini del contenitore vengono raccolte dall'ambiente di runtime e analizzate per individuare le vulnerabilità, indipendenti dal registro di origine. L'analisi include contenitori di proprietà dei clienti, componenti aggiuntivi Kubernetes e strumenti di terze parti in esecuzione nel cluster. Le immagini dell'ambiente di runtime vengono raccolte ogni 24 ore. È necessario abilitare l'analisi senza agente per i computer che accedono all'API Kubernetes o il sensore di Defender.
Nota
- Non è possibile analizzare il livello di runtime del contenitore per individuare le vulnerabilità.
- Le immagini dei container dai nodi che utilizzano dischi OS temporanei di AKS o nodi Windows non possono essere analizzate per le vulnerabilità.
- La funzione di autoscale dei cluster AKS configurati può fornire risultati parziali o nessun risultato se alcuni o tutti i nodi del cluster sono inattivi al momento della scansione.
Se si rimuove un'immagine dal registro, quanto tempo ci vorrà prima che i report sulle vulnerabilità di quell'immagine vengano rimossi?
I Registri Container di Azure notificano Defender per il Cloud quando le immagini vengono eliminate e rimuovono la valutazione della vulnerabilità per le immagini eliminate entro un'ora. In alcuni rari casi, Defender per il cloud potrebbe non ricevere notifiche sull'eliminazione e l'eliminazione delle vulnerabilità associate in tali casi potrebbe richiedere fino a tre giorni.
Passaggi successivi
- Ulteriori informazioni sui piani di Defender per il Cloud.
- Scopri domande comuni su Defender per contenitori.