Úvod do Microsoft Defenderu pro registry kontejnerů (zastaralé)

  • Článek

Důležité

Spustili jsme verzi Public Preview posouzení ohrožení zabezpečení Azure využívající MDVM. Další informace najdete v tématu Posouzení ohrožení zabezpečení pro Azure s využitím Microsoft Defender Správa zranitelností.

Azure Container Registry (ACR) je spravovaná privátní služba registru Dockeru, která ukládá a spravuje image kontejnerů pro nasazení Azure v centrálním registru. Je založená na opensourcovém registru Dockeru 2.0.

Pokud chcete chránit registry založené na Azure Resource Manageru ve vašem předplatném, povolte Microsoft Defender pro registry kontejnerů na úrovni předplatného. Defender for Cloud pak prohledá všechny image, když se nasdílí do registru, naimportuje do registru nebo se stáhne během posledních 30 dnů. Za každý naskenovaný obrázek se vám bude účtovat jednou za obrázek.

Dostupnost

Důležité

Program Microsoft Defender pro registry kontejnerů byl nahrazen programem Microsoft Defender for Containers. Pokud jste už v předplatném povolili Defender pro registry kontejnerů, můžete ho dál používat. Nebudete ale dostávat vylepšení Defenderu for Containers a nové funkce.

Tento plán už není k dispozici pro předplatná, která ještě nejsou povolená.

Pokud chcete upgradovat na Microsoft Defender for Containers, otevřete na portálu stránku plány Defenderu a povolte nový plán:

Na stránce plánů Defenderu povolte Microsoft Defender for Containers.

Další informace o této změně najdete v poznámce k verzi.

Aspekt Detaily
Stav vydání: Zastaralé (použití Microsoft Defenderu pro kontejnery)
Podporované registry a image: Image Linuxu v registrech ACR přístupné z veřejného internetu s přístupem k prostředí
Registry ACR chráněné službou Azure Private Link
Nepodporované registry a image: Image Windows
Privátní registry (pokud není udělen přístup důvěryhodným službám)
Super minimalistické image, jako jsou pomocné image Dockeru, nebo image bez distribuce, které obsahují jenom aplikaci a její závislosti modulu runtime bez správce balíčků, prostředí nebo operačního systému
Image se specifikací formátu image Open Container Initiative (OCI)
Požadované role a oprávnění: Čtenář zabezpečení a role a oprávnění služby Azure Container Registry
Mraky: Komerční cloudy
National (Azure Government, Microsoft Azure provozovaný společností 21Vianet)

Jaké jsou výhody Microsoft Defenderu pro registry kontejnerů?

Defender pro cloud identifikuje registry ACR založené na Azure Resource Manageru ve vašem předplatném a bezproblémově poskytuje posouzení a správu ohrožení zabezpečení nativní pro azure pro image vašeho registru.

Registry kontejnerů v programu Microsoft Defender pro kontejnery zahrnují kontrolu ohrožení zabezpečení, která kontroluje image v registrech Azure Container Registry založených na Azure Resource Manageru a poskytuje hlubší přehled o ohroženích zabezpečení vašich imagí.

Po nalezení problémů se zobrazí oznámení na řídicím panelu ochrany úloh. Pro každou chybu zabezpečení poskytuje Defender for Cloud užitečná doporučení spolu s klasifikací závažnosti a pokyny k nápravě problému. Podrobnosti o doporučeních defenderu pro cloud pro kontejnery najdete v referenčním seznamu doporučení.

Defender for Cloud filtruje a klasifikuje zjištění ze skeneru. Když je image v pořádku, Defender for Cloud ho tak označí. Defender for Cloud generuje doporučení zabezpečení jenom pro image, které mají problémy, které se mají vyřešit. Defender for Cloud poskytuje podrobnosti o každé nahlášené chybě zabezpečení a klasifikaci závažnosti. Kromě toho poskytuje pokyny k nápravě konkrétních ohrožení zabezpečení nalezených na jednotlivých imagích.

Upozorněním pouze v případě, že dojde k problémům, Defender for Cloud snižuje potenciál nežádoucích informačních výstrah.

Kdy se naskenují obrázky?

Pro kontrolu obrázku existují tři triggery:

  • Při nabízení – Při každém nasdílení image do vašeho registru defender pro registry kontejnerů tuto image automaticky prohledá. Pokud chcete spustit kontrolu image, nasdílejte ji do úložiště.

  • Nedávno staženo – protože se každý den zjistila nová ohrožení zabezpečení, kontroluje Microsoft Defender pro registry kontejnerů každý týden všechny image, které byly staženy během posledních 30 dnů. Za tyto opakované prohledání se neúčtují žádné další poplatky; jak už jsme zmínili výše, účtuje se vám jednou za obrázek.

  • Při importu – Azure Container Registry obsahuje nástroje pro import, které do registru přinesou image z Docker Hubu, Služby Microsoft Container Registry nebo jiného registru kontejneru Azure. Microsoft Defender pro registry kontejnerů prohledá všechny podporované image, které importujete. Další informace najdete v části Import imagí kontejneru do registru kontejneru.

Kontrola se obvykle dokončí během 2 minut, ale může to trvat až 40 minut. Zjištění jsou k dispozici jako doporučení zabezpečení, jako je tato:

Ukázkové doporučení Microsoft Defenderu pro cloud týkající se ohrožení zabezpečení zjištěných v hostované imagi služby Azure Container Registry (ACR).

Jak Funguje Defender pro cloud se službou Azure Container Registry

Níže je základní diagram komponent a výhod ochrany registrů pomocí defenderu pro cloud.

Základní přehled služby Microsoft Defender for Cloud a Azure Container Registry (ACR).

Nejčastější dotazy – Prohledávání imagí služby Azure Container Registry

Jak Defender pro cloud naskenuje obrázek?

Defender for Cloud stáhne image z registru a spustí ji v izolovaném sandboxu se skenerem. Kontrola extrahuje seznam známých ohrožení zabezpečení.

Defender for Cloud filtruje a klasifikuje zjištění ze skeneru. Když je image v pořádku, Defender for Cloud ho tak označí. Defender for Cloud generuje doporučení zabezpečení jenom pro image, které mají problémy, které se mají vyřešit. Tím, že vás Defender for Cloud upozorní jen na problémy, snižuje potenciál nežádoucích informačních výstrah.

Můžu získat výsledky kontroly přes rozhraní REST API?

Ano. Výsledky jsou pod rozhraním REST API dílčích posouzení. Můžete také použít Azure Resource Graph (ARG), rozhraní API podobné Kusto pro všechny vaše prostředky: dotaz může načíst konkrétní kontrolu.

Jaké typy registru se naskenují? Jaké typy se účtují?

Seznam typů registrů kontejnerů podporovaných programem Microsoft Defender pro registry kontejnerů najdete v tématu Dostupnost.

Pokud k předplatnému Azure připojíte nepodporované registry, Defender for Cloud je nebude kontrolovat a nebude vám účtovat poplatky.

Můžu si přizpůsobit zjištění kontroly ohrožení zabezpečení?

Ano. Pokud potřebujete, aby organizace hledání ignorovala a nemusela ji opravovat, můžete ji volitelně zakázat. Zakázaná zjištění nemají vliv na vaše skóre zabezpečení ani negenerují nežádoucí šum.

Přečtěte si o vytváření pravidel, která zakazují zjištění z integrovaného nástroje pro posouzení ohrožení zabezpečení.

Proč mi Defender for Cloud upozorní na ohrožení zabezpečení image, která není v registru?

Defender for Cloud poskytuje posouzení ohrožení zabezpečení pro každou vloženou nebo nasdílenou image v registru. Některé obrázky můžou opakovaně používat značky z obrázku, který už byl naskenován. Při každém přidání obrázku do přehledu můžete například značku "Latest" znovu přiřadit. V takových případech image "old" v registru stále existuje a může být stále načítaná hodnotou hash. Pokud image obsahuje zjištění zabezpečení a načítá se, zobrazí se ohrožení zabezpečení.

Další kroky

Kontrola ohrožení zabezpečení imagí