Úvod do programu Microsoft Defender pro Registry kontejnerů
Poznámka
Azure Security Center a Azure Defender se teď označují jako Microsoft Defender pro Cloud. Také jsme plány Azure Defender přejmenovaly na plány Microsoft Defenderu . například Azure defender pro Storage je nyní Microsoft Defender pro Storage.
Přečtěte si další informace o nedávných přejmenování služeb zabezpečení společnosti Microsoft.
Azure Container Registry (ACR) je spravovaná privátní služba registru Docker, která ukládá a spravuje vaše image kontejnerů pro nasazení Azure v centrálním registru. Vychází z open source registru Docker Registry 2,0.
Pokud chcete chránit Registry založené na Azure Resource Manager ve vašem předplatném, povolte Microsoft Defender pro Registry kontejnerů na úrovni předplatného. Defender pro Cloud pak bude kontrolovat všechny image, když jsou vloženy do registru, importovány do registru nebo během posledních 30 dnů. Za každý obrázek, který se bude kontrolovat – jednou na obrázek, se vám bude účtovat.
Dostupnost
| Aspekt | Podrobnosti |
|---|---|
| Stav vydaných verzí: | Všeobecně dostupná (GA) |
| Stanov | Microsoft Defender pro Registry kontejnerů se účtuje, jak je znázorněno na stránce s cenami . |
| Podporované registry a Image: | Image Linux v registrech ACR přístupné z veřejného Internetu s přístupem k prostředí ACR Registry chráněné pomocí privátního propojení Azure |
| Nepodporované registry a Image: | Windows image "Soukromé" Registry (není-li přístup povolen pro důvěryhodné služby) Minimalist image, jako jsou pomocné obrázky Docker nebo Image "Distroless", které obsahují jenom aplikaci a její závislosti modulu runtime bez správce balíčků, prostředí nebo operačního systému Obrázky s specifikací formátu bitové kopie OCI (Open container Initiative) |
| Požadované role a oprávnění: | Azure Container Registry role a oprávnění pro čtenáře zabezpečení |
| Cloud | 
Komerční cloudy
National (Azure Government, Azure Čína 21Vianet) |
Jaké jsou výhody programu Microsoft Defender pro Registry kontejnerů?
Defender pro Cloud identifikuje Registry ACR založené na Azure Resource Manager ve vašem předplatném a hladce poskytuje Azure – nativní posouzení ohrožení zabezpečení a správu imagí registru.
Microsoft Defender pro Registry kontejnerů obsahuje skener ohrožení zabezpečení pro kontrolu imagí v Azure Container Registry Registry založeném na Azure Resource Manager a poskytuje hlubší přehled o chybách vašich imagí. Integrovaný skener používá Qualys, což je špičkové ohrožení zabezpečení od dodavatele.
Po nalezení problémů – pomocí Qualys nebo Defenderu pro Cloud – na řídicím panelu ochrany zatížení se dostanete oznámení. Pro každou chybu zabezpečení Defender pro Cloud poskytuje užitečná doporučení spolu se klasifikací závažnosti a pokyny, jak problém vyřešit. Podrobnosti o programu Defender pro cloudová doporučení pro kontejnery najdete v referenčním seznamu doporučení.
Defender pro filtry cloudu a třídění výsledků ze skeneru. V případě, že je obrázek v pořádku, je program Defender pro Cloud označen jako takový. Defender pro Cloud generuje doporučení zabezpečení jenom pro image, které mají problémy, které se mají vyřešit. Defender pro Cloud poskytuje podrobné informace o každé hlášené chybě zabezpečení a klasifikaci závažnosti. Kromě toho poskytuje návod, jak opravit konkrétní chyby zabezpečení nalezené na jednotlivých imagí.
Pouze oznámením, že se vyskytnou problémy, může Defender pro Cloud snížit možnosti nevyžádaných informativních výstrah.
Tip
Další informace o programu Defender pro funkce zabezpečení kontejneru cloudu najdete v těchto tématech:
Kdy jsou naskenované obrázky?
Pro kontrolu imagí jsou k dispozici tři aktivační události:
Při vložení – pokaždé, když se do registru pošle obrázek, Defender pro Registry kontejnerů automaticky zkontroluje tuto image. Pokud chcete spustit kontrolu obrázku, nahrajte ho do úložiště.
Nedávno načteno – protože se nové chyby zabezpečení zjišťují každý den, Microsoft Defender pro Registry kontejnerů také prohledává každý týden každý obrázek, který byl během posledních 30 dnů získán. Za tato prověřování se neúčtují žádné další poplatky. Jak je uvedeno výše, Fakturuje se jednou na obrázek.
při importu Azure Container Registry nástroje pro import do registru přinášejí image z docker Hub, Microsoft Container Registry nebo jiného registru kontejneru Azure. Microsoft Defender pro Registry kontejneru prohledává všechny podporované bitové kopie, které importujete. Další informace najdete v importu imagí kontejneru do registru kontejneru.
Kontrola se dokončí obvykle do 2 minut, ale může to trvat až 40 minut. Zjištění jsou k dispozici jako doporučení zabezpečení, jako je tato:
Jak funguje Defender pro Cloud s Azure Container Registry
Níže je uvedený diagram vysoké úrovně komponent a výhod ochrany vašich registrů pomocí programu Defender pro Cloud.
Nejčastější dotazy k Azure Container Registry kontrole imagí
Jak program Defender pro Cloud prohledává obrázek?
Defender pro Cloud načte image z registru a spustí ji v izolovaném izolovaném prostoru (sandbox) se skenerem Qualys. Skener extrahuje seznam známých chyb zabezpečení.
Defender pro filtry cloudu a třídění výsledků ze skeneru. V případě, že je obrázek v pořádku, je program Defender pro Cloud označen jako takový. Defender pro Cloud generuje doporučení zabezpečení jenom pro image, které mají problémy, které se mají vyřešit. Až se vám upozorní, že se vyskytnou problémy, Defender pro Cloud snižuje potenciál nevyžádaných informativních výstrah.
Můžu získat výsledky kontroly prostřednictvím REST API?
Ano. Výsledky jsou k dispozici v rozhraní REST API pro dílčí posouzení. můžete také použít Azure Resource Graph (ARG), což je Kusto rozhraní API pro všechny vaše prostředky: dotaz může načíst konkrétní kontrolu.
Jaké typy registru jsou prohledávány? Jaké typy se účtují?
Seznam typů registrů kontejnerů, které Microsoft Defender podporuje pro Registry kontejnerů, najdete v tématu dostupnost.
Pokud k předplatnému Azure připojíte nepodporované Registry, Defender pro Cloud se nebude kontrolovat a nebude se za ně účtovat.
Můžu přizpůsobit zjištění ze skeneru ohrožení zabezpečení?
Ano. Pokud máte organizaci, kterou je třeba ignorovat, místo toho, aby ji bylo možné opravit, můžete ji případně zakázat. Zakázané závěry neovlivňují vaše zabezpečené skóre nebo generují nežádoucí hluk.
Proč je Defender pro Cloud upozorňující na ohrožení zabezpečení pro image, která není v registru?
Defender pro Cloud poskytuje posouzení ohrožení zabezpečení pro každý nabízený nebo vyžádaný obrázek v registru. Některé obrázky mohou znovu použít značky z obrázku, který již byl zkontrolován. Můžete například změnit přiřazení značky "poslední" pokaždé, když přidáte obrázek do Digest. V takových případech stále existuje image Old v registru a je možné ji i nadále vyhlašovat její hodnotou Digest. Pokud bitová kopie obsahuje zjištění zabezpečení a je vyžádána, zveřejňuje chyby zabezpečení.