Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Defender для контейнеров выполняет оценку уязвимостей без агента на образах контейнеров в поддерживаемых средах выполнения и поддерживаемых реестрах контейнеров. Соответствующие рекомендации создаются для уязвимостей, обнаруженных в образе реестра контейнеров или в работающем контейнере.
Оценка уязвимостей образов в поддерживаемых реестрах контейнеров выполняется, если доступ к реестру включен для планов Defender for Cloud Security Posture Management или Defender for Containers.
Оценка уязвимостей запущенных образов контейнеров проводится независимо от исходного реестра контейнеров, если расширение сканирования без агента для машин вместе с доступом к API K8S или сенсором Defender включены в планы Defender для управления безопасностью облака или Defender для контейнеров. Результаты оценки уязвимостей также создаются для образов контейнеров, полученных из поддерживаемых реестров.
Примечание.
Просмотрите матрицу поддержки Defender для контейнеров для поддерживаемых сред.
Оценка уязвимостей образов контейнеров с помощью службы "Управление уязвимостями Microsoft Defender" имеет следующие возможности:
Сканирование пакетов ОС — оценка уязвимостей контейнера позволяет сканировать уязвимости в пакетах, установленных с помощью диспетчера пакетов ОС в Linux и Windows ОС. Полный список поддерживаемых ОС и их версий.
Языковые пакеты — только Linux — поддержка языковых пакетов и файлов, а также их зависимостей, установленных или скопированных без диспетчера пакетов ОС. Полный список поддерживаемых языков.
Сканирование образов в Azure Private Link - С помощью оценки уязвимостей контейнеров Azure можно сканировать образы в реестрах контейнеров, доступных через Azure Private Links. Для этой возможности требуется доступ к доверенным службам и проверке подлинности с помощью реестра. Узнайте, как разрешить доступ доверенным службам.
Сведения о возможности эксплуатации - Каждый отчет об уязвимостях проверяется с помощью баз данных, чтобы помочь нашим клиентам определить фактический риск, связанный с каждой указанной уязвимостью.
Отчеты. Оценка уязвимостей контейнеров для Azure с помощью Управление уязвимостями Microsoft Defender предоставляет отчеты об уязвимостях с помощью следующих рекомендаций:
Сведения об эксплуатируемости. Каждый отчет об уязвимостях проверяется по базам данных эксплуатационной возможности, чтобы помочь нашим клиентам определить фактический риск, связанный с каждой сообщаемой уязвимостью.
Отчеты . Оценка уязвимостей контейнеров, на основе управления уязвимостями Microsoft Defender, предоставляет отчеты об уязвимостях с помощью следующих рекомендаций:
Запрос сведений об уязвимостях с помощью Графа ресурсов Azure — возможность запрашивать сведения об уязвимостях с помощью Azure Resource Graph. Узнайте, как запрашивать рекомендации с помощью ARG.
Результаты сканирования запросов с помощью REST API — узнайте, как запрашивать результаты сканирования с помощью REST API.
Поддержка исключений . Узнайте, как создавать правила исключения для группы управления, группы ресурсов или подписки.
Поддержка отключения уязвимостей — узнайте, как отключить уязвимости на образах.
Артефакт результатов уязвимостей: подписывание и проверка. Артефакт результатов уязвимостей каждого образа подписан сертификатом Майкрософт для обеспечения целостности и подлинности и ассоциирован с образом контейнера в реестре для проверки.
Рекомендации по оценке уязвимостей
Следующие новые рекомендации предварительной версии сообщают об уязвимостях контейнера среды выполнения и уязвимостях образа реестра и не учитываются в отношении оценки безопасности во время предварительной версии. Модуль сканирования для новых рекомендаций совпадает с текущими рекомендациями по общедоступной версии и предоставляет те же результаты. Новые рекомендации лучше подходят для клиентов, использующих новую структуру рекомендаций на основе рисков и включивших план Defender CSPM.
Рекомендация | Описание | Ключ оценки |
---|---|---|
[предварительная версия] Образы контейнеров в реестре Azure должны быть устранены с результатами уязвимостей. | Defender для облака проверяет образы реестра на наличие известных уязвимостей (CVEs) и предоставляет подробные результаты для каждого сканированного образа. Сканирование и устранение уязвимостей для образов контейнеров в реестре помогает поддерживать безопасную и надежную цепочку поставок программного обеспечения, снижает риск инцидентов безопасности и обеспечивает соответствие отраслевым стандартам. | 33422d8f-ab1e-42be-bc9a-38685bb567b9 |
[Предварительная версия] Контейнеры, работающие в Azure, должны иметь устраненные уязвимости | Defender для облака создает инвентаризацию всех рабочих нагрузок контейнеров, работающих в кластерах Kubernetes, и предоставляет отчеты об уязвимостях для этих рабочих нагрузок, сопоставляя используемые образы и отчеты об уязвимостях, созданные для образов реестра. Сканирование и устранение уязвимостей рабочих нагрузок контейнеров критически важно для обеспечения надежной и безопасной цепочки поставок программного обеспечения, снижения риска инцидентов безопасности и обеспечения соответствия отраслевым стандартам. | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
Следующие текущие рекомендации по общедоступной доступности сообщают об уязвимостях в контейнерах в кластере Kubernetes и образах контейнеров в реестре контейнеров. Эти рекомендации лучше всего подходят для клиентов, использующих классическое представление рекомендаций и не включающих план CSPM Defender.
Рекомендация | Описание | Ключ оценки |
---|---|---|
Уязвимости образов контейнеров реестра Azure должны быть устранены (при поддержке Управления уязвимостями Microsoft Defender) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Устранение уязвимостей может значительно повысить безопасность, обеспечивая безопасность образов для использования до развертывания. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
У запущенных образов контейнеров Azure должны быть устранены уязвимости (на базе управления уязвимостями Microsoft Defender) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация позволяет увидеть уязвимые образы, на данный момент работающие в кластерах Kubernetes. Исправление уязвимостей в образах контейнеров, которые находятся в работе, является ключевым шагом к улучшению вашей безопасности, значительно уменьшая поверхность атаки для контейнерных рабочих нагрузок. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Как работает оценка уязвимостей для образов и контейнеров
Сканирование образов в реестрах, поддерживаемых Defender для контейнеров
Примечание.
Расширение доступа к реестру должно быть включено для оценки уязвимостей образов в реестрах контейнеров.
Сканирование образа в реестре контейнеров создает инвентаризацию образа и рекомендации по уязвимостям. Поддерживаемые реестры образов контейнеров: Реестр контейнеров Azure (ACR), Реестр эластичных контейнеров Amazon AWS (ECR), Реестр артефактов Google (GAR), Реестр контейнеров Google (GCR) и настроенные внешние реестры. Изображение сканируется, когда:
- Новый образ отправляется или импортируется в реестр контейнеров. Изображение сканируется в течение нескольких часов.
-
Непрерывное повторное сканирование триггера — непрерывное повторное сканирование требуется для обеспечения повторного сканирования образов, которые ранее сканировались на наличие уязвимостей, чтобы обновить отчеты об уязвимостях в случае публикации новой уязвимости.
Повторная проверка выполняется один раз в день:
- Изображения, отправленные за последние 90 дней.*
- Изображения были загружены за последние 30 дней.
- Образы, работающие в кластерах Kubernetes, отслеживаемые Defender для облака (с помощью обнаружения без агента для Kubernetes или датчика Defender).
* Новая рекомендация по предварительной версии создается для изображений, отправленных за последние 30 дней.
Примечание.
Для Defender для контейнерных реестров (устаревший) изображения сканируются один раз при отправке, при получении и повторно сканируются только один раз в неделю.
Сканирование контейнеров, работающих в рабочей нагрузке кластера
Образы контейнеров в рабочей нагрузке кластера сканируются следующим образом:
- Уязвимые образы, сканированные в поддерживаемых реестрах, определяются как работающие в кластере путем обнаружения. Образы контейнеров сканируются каждые 24 часа. Доступ к реестру и доступ к API Kubernetes или датчик Defender должны быть включены.
- Образы контейнеров собираются из среды выполнения и сканируются на наличие уязвимостей, независимо от исходного реестра. Проверка включает в себя контейнеры, принадлежащие клиентам, надстройки Kubernetes и сторонние средства, работающие в кластере. Образы среды выполнения собираются каждые 24 часа. Безагентная проверка для машин должна быть включена через доступ к API Kubernetes или датчик Defender.
Примечание.
- Уровень среды выполнения контейнера не может быть проверен на наличие уязвимостей.
- Контейнерные образы с узлов, которые используют эфемерные диски ОС AKS или диски ОС Windows, не могут быть проверены на наличие уязвимостей.
- Настроенные кластеры AKS с функцией автоматического масштабирования могут предоставлять частичные или не предоставлять результаты, если один или все узлы кластера отключены во время сканирования.
Если я удалю образ из реестра, сколько времени пройдет, прежде чем будут удалены отчеты об уязвимостях на этом образе?
Реестры контейнеров Azure уведомляют Defender для облака о удалении образов и в течение часа удаляют оценку уязвимостей для удаленных образов. В некоторых редких случаях Defender для облака могут не получать уведомления об удалении и удалении связанных уязвимостей в таких случаях может занять до трех дней.
Следующие шаги
- Дополнительные сведения о планах Defender для облака Defender.
- Ознакомьтесь с общими вопросами о Defender для контейнеров.