Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Defender для контейнеров выполняет оценку уязвимостей без агента на образах контейнеров в поддерживаемых средах выполнения и поддерживаемых реестрах контейнеров. Соответствующие рекомендации создаются для уязвимостей, обнаруженных в образе реестра контейнеров или в работающем контейнере.
Оценка уязвимостей образов в поддерживаемых реестрах контейнеров выполняется, если доступ к реестру включен для планов Defender для управления облачной безопасностью или Defender для контейнеров.
Оценка уязвимостей запущенных образов контейнеров осуществляется независимо от исходного реестра контейнеров, если расширение агентского сканирования для машин включено вместе с доступом к API K8S или датчиком Defender в планах Defender для управления надежностью облачной безопасности или Defender для контейнеров. Результаты оценки уязвимостей также создаются для образов контейнеров, полученных из поддерживаемых реестров.
Примечание.
Просмотрите матрицу поддержки Defender для контейнеров для поддерживаемых сред.
Оценка уязвимостей образов контейнеров с помощью службы "Управление уязвимостями Microsoft Defender" имеет следующие возможности:
Сканирование пакетов ОС — оценка уязвимостей контейнера имеет возможность сканировать уязвимости в пакетах, установленных диспетчером пакетов ОС в Linux и Ос Windows. Полный список поддерживаемых ОС и их версий.
Языковые пакеты — только Linux — поддержка языковых пакетов и файлов, а также их зависимостей, установленных или скопированных без диспетчера пакетов ОС. Полный список поддерживаемых языков.
Сканирование изображений в Azure Private Link - Оценка уязвимостей контейнеров Azure может сканировать образы в реестрах контейнеров, доступных через Azure Private Link. Для этой возможности требуется доступ к доверенным службам и проверке подлинности с помощью реестра. Узнайте, как разрешить доступ доверенным службам.
Сведения об эксплойтируемости Каждый отчет об уязвимостях проводится поиск по базам данных эксплойтируемости, чтобы помочь нашим клиентам определить фактический риск, связанный с каждой сообщаемой уязвимостью.
Отчеты . Оценка уязвимостей контейнеров для Azure с помощью службы "Управление уязвимостями Microsoft Defender" предоставляет отчеты об уязвимостях с помощью следующих рекомендаций:
Сведения о возможности эксплуатации - Каждый отчет об уязвимости проверяется в базах данных по эксплуатационным возможностям, чтобы помочь нашим клиентам определить фактический риск, связанный с каждой сообщенной уязвимостью.
Отчеты . Оценка уязвимостей контейнеров, на основе управления уязвимостями Microsoft Defender, предоставляет отчеты об уязвимостях с помощью следующих рекомендаций:
Запрос сведений об уязвимостях с помощью Графа ресурсов Azure — возможность запрашивать сведения об уязвимостях с помощью Azure Resource Graph. Узнайте, как запрашивать рекомендации с помощью ARG.
Результаты сканирования запросов с помощью REST API — узнайте, как запрашивать результаты сканирования с помощью REST API.
Поддержка исключений . Узнайте, как создавать правила исключения для группы управления, группы ресурсов или подписки.
Поддержка отключения уязвимостей — узнайте, как отключить уязвимости на образах.
Подписание и проверка артефактов уязвимостей — Артефакт отчёта об уязвимостях каждого образа подписан сертификатом Microsoft для обеспечения целостности и подлинности и связан с образом контейнера в реестре для валидации.
Рекомендации по оценке уязвимостей
Следующие новые рекомендации предварительной версии сообщают об уязвимостях контейнера среды выполнения и уязвимостях образа реестра и не учитываются в отношении оценки безопасности во время предварительной версии. Модуль сканирования для новых рекомендаций совпадает с текущими рекомендациями по общедоступной версии и предоставляет те же результаты. Новые рекомендации лучше подходят для клиентов, использующих новую структуру рекомендаций на основе рисков и включивших план Defender CSPM.
| Рекомендация | Описание | Ключ оценки |
|---|---|---|
| [Предварительная версия] Уязвимости, выявленные в образах контейнеров в реестре Azure, должны быть устранены. | Defender для облака проверяет образы реестра на наличие известных уязвимостей (CVEs) и предоставляет подробные результаты для каждого сканированного образа. Сканирование и устранение уязвимостей для образов контейнеров в реестре помогает поддерживать безопасную и надежную цепочку поставок программного обеспечения, снижает риск инцидентов безопасности и обеспечивает соответствие отраслевым стандартам. | 33422d8f-ab1e-42be-bc9a-38685bb567b9 |
| [Предварительная версия] Контейнеры, работающие в Azure, должны иметь устранённые уязвимости | Defender для облака создает инвентаризацию всех рабочих нагрузок контейнеров, работающих в кластерах Kubernetes, и предоставляет отчеты об уязвимостях для этих рабочих нагрузок, сопоставляя используемые образы и отчеты об уязвимостях, созданные для образов реестра. Сканирование и устранение уязвимостей рабочих нагрузок контейнеров критически важно для обеспечения надежной и безопасной цепочки поставок программного обеспечения, снижения риска инцидентов безопасности и обеспечения соответствия отраслевым стандартам. | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
Следующие рекомендации по общей доступности сообщают об уязвимостях контейнеров в кластере Kubernetes, а также об образах контейнеров в реестре контейнеров. Эти рекомендации лучше всего подходят для клиентов, использующих классическое представление рекомендаций и не включающих план CSPM Defender.
| Рекомендация | Описание | Ключ оценки |
|---|---|---|
| Уязвимости в образах контейнеров реестра Azure должны быть устранены (на основе управления уязвимостями Microsoft Defender) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Устранение уязвимостей может значительно повысить безопасность, обеспечивая безопасность образов для использования до развертывания. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| У запущенных образов контейнеров Azure должны быть устранены уязвимости (на базе управления уязвимостями Microsoft Defender) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация позволяет увидеть уязвимые образы, на данный момент работающие в кластерах Kubernetes. Исправление уязвимостей в образах контейнеров, которые находятся в работе, является ключевым шагом к улучшению вашей безопасности, значительно уменьшая поверхность атаки для контейнерных рабочих нагрузок. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Как работает оценка уязвимостей для образов и контейнеров
Сканирование образов в реестрах, поддерживаемых Defender для контейнеров
Примечание.
Расширение доступа к реестру должно быть включено для оценки уязвимостей образов в реестрах контейнеров.
Сканирование образа в реестре контейнеров создает инвентаризацию образа и рекомендации по уязвимостям. Поддерживаемые реестры образов контейнеров: Реестр контейнеров Azure (ACR), Реестр эластичных контейнеров Amazon AWS (ECR), Реестр артефактов Google (GAR), Реестр контейнеров Google (GCR) и настроенные внешние реестры. Изображение сканируется, когда:
- Новый образ отправляется или импортируется в реестр контейнеров. Изображение сканируется в течение нескольких часов.
-
Непрерывное повторное сканирование триггера — непрерывное повторное сканирование требуется для обеспечения повторного сканирования образов, которые ранее сканировались на наличие уязвимостей, чтобы обновить отчеты об уязвимостях в случае публикации новой уязвимости.
Повторная проверка выполняется один раз в день:
- Изображения, отправленные за последние 90 дней.*
- Изображения были загружены за последние 30 дней.
- Образы, работающие в кластерах Kubernetes, отслеживаемых Defender for Cloud (через безагентное обнаружение для Kubernetes или сенсор Defender).
* Новая рекомендация по предварительной версии создается для изображений, отправленных за последние 30 дней.
Примечание.
Для Defender для контейнерных реестров (не рекомендуется) изображения сканируются один раз при отправке, один раз при вытягивании и повторно сканируются только один раз в неделю.
Сканирование контейнеров, работающих в рабочей среде кластера
Образы контейнеров в рабочей нагрузке кластера сканируются следующим образом:
- Уязвимые образы, сканированные в поддерживаемых реестрах, определяются как работающие в кластере путем обнаружения. Образы контейнеров сканируются каждые 24 часа. Доступ к реестру и доступ к API Kubernetes или датчик Defender должны быть включены.
- Образы контейнеров собираются из среды выполнения и сканируются на наличие уязвимостей, независимо от исходного реестра. Проверка включает в себя контейнеры, принадлежащие клиентам, надстройки Kubernetes и сторонние средства, работающие в кластере. Образы среды выполнения собираются каждые 24 часа. Проверка без агента для компьютеров с доступом к API Kubernetes или датчиком Defender должна быть включена .
Примечание.
- Уровень среды выполнения контейнера не может быть проверен на наличие уязвимостей.
- Контейнерные образы с узлов, которые используют эфемерные диски ОС AKS или диски ОС Windows, не могут быть проверены на наличие уязвимостей.
- Настроенные кластеры AKS с функцией автоматического масштабирования могут предоставлять частичные или не предоставлять результаты, если один или все узлы кластера отключены во время сканирования.
Если я удалю образ из реестра, сколько времени пройдет, прежде чем будут удалены отчеты об уязвимостях на этом образе?
Реестры контейнеров Azure уведомляют Defender для облака о удалении образов и в течение часа удаляют оценку уязвимостей для удаленных образов. В некоторых редких случаях Defender для облака могут не получать уведомления об удалении и удалении связанных уязвимостей в таких случаях может занять до трех дней.
Следующие шаги
- Узнайте больше о планах Microsoft Defender для облака.
- Ознакомьтесь с общими вопросами о Defender для контейнеров.