Introducción a Azure Defender para registros de contenedor

Azure Container Registry (ACR) es un servicio de registro de Docker privado y administrado que almacena y administra las imágenes de contenedor de las implementaciones de Azure en un registro central. Se basa en el registro 2.0 de Docker de código abierto.

Para proteger todos los registros basados en Azure Resource Manager de su suscripción, habilite Azure Defender para registros de contenedor en el nivel de suscripción. A continuación, Security Center examinará las imágenes insertadas en el registro o importadas en el registro, así como las imágenes extraídas en los últimos 30 días. Esta característica se cobra por imagen.

Disponibilidad

Aspecto Detalles
Estado de la versión: Disponible con carácter general
Precios: Azure Defender para registros de contenedor se factura como se muestra en la página de precios.
Registros e imágenes compatibles: Imágenes de Linux en registros de ACR accesibles desde la red pública de Internet con acceso al shell
Registros e imágenes no compatibles: Imágenes de Windows
Registros "privados"
Registros con acceso limitado con un firewall, un punto de conexión de servicio o puntos de conexión privados, como Azure Private Link.
Imágenes excesivamente minimalistas, como las imágenes base de Docker o imágenes "sin distribución" que solo contienen una aplicación y sus dependencias en tiempo de ejecución sin un administrador de paquetes, shell o sistema operativo.
Roles y permisos necesarios: Lector de seguridad y roles y permisos de Azure Container Registry
Nubes: Nubes comerciales
US Gov y China Gov: actualmente solo se admite el examen en la característica de inserción. Más información en ¿Cuándo se examinan las imágenes?

¿Cuáles son las ventajas de Azure Defender para registros de contenedor?

Security Center identifica registros de ACR basados Azure Resource Manager en la suscripción y brinda una función fluida de evaluación y administración de vulnerabilidades nativa de Azure para las imágenes del registro.

Azure Defender para registros de contenedor incluye un detector de vulnerabilidades para examinar las imágenes de los registros de Azure Container Registry basados en Azure Resource Manager y proporciona una mayor visibilidad de las vulnerabilidades de las imágenes. El detector integrado lo proporciona el proveedor de análisis de vulnerabilidades líder del sector, Qualys.

Si Qualys o Security Center encuentran incidencias, recibirá una notificación en el panel de Security Center. Por cada vulnerabilidad, Security Center proporciona recomendaciones útiles, junto con una clasificación de gravedad e información sobre cómo corregir el problema. Para más información sobre las recomendaciones de Security Center para los contenedores, consulte la lista de recomendaciones de referencia.

Security Center filtra y clasifica los resultados del análisis. Cuando una imagen es correcta, Security Center la marca como tal. Security Center solo genera recomendaciones de seguridad para las imágenes que tienen incidencias sin resolver. Security Center proporciona detalles de cada vulnerabilidad detectada y una clasificación de gravedad. Asimismo, ofrece instrucciones sobre cómo corregir las vulnerabilidades específicas encontradas en cada imagen.

Al enviar notificaciones solo cuando hay problemas, Security Center reduce las alertas informativas no deseadas.

Sugerencia

Para obtener más información sobre las características de seguridad de los contenedores de Security Center, consulte:

¿Cuándo se examinan las imágenes?

Hay tres desencadenadores para un examen de imagen:

  • Al insertar: cada vez que se inserta una imagen en el registro, Security Center la examina de forma automática. Para desencadenar el examen de una imagen, insértela en el repositorio.

  • Extraído recientemente: dado que se detectan nuevas vulnerabilidades cada día, Azure Defender para registros de contenedor también examina semanalmente cualquier imagen que se haya extraído en los últimos 30 días. No se aplican cargos adicionales por los nuevos exámenes; como se ha mencionado anteriormente, se le facturará una vez por imagen.

  • Al importar: Azure Container Registry tiene herramientas de importación para incorporar imágenes al registro desde Docker Hub, Microsoft Container Registry u otro registro de contenedor de Azure. Azure Defender para registros de contenedor examina las imágenes admitidas que importe. Obtenga más información en Importación de imágenes de contenedor en un registro de contenedor.

El análisis se completa normalmente en 2 minutos, pero puede tardar hasta 15 minutos. Los resultados se publican como recomendaciones de Security Center, como en este caso:

Ejemplo de recomendación Azure Security Center sobre puntos vulnerables detectados en una imagen hospedada de Azure Container Registry (ACR)

Funcionamiento de Security Center con Azure Container Registry

A continuación se muestra un diagrama detallado de los componentes y las ventajas de proteger los registros con Security Center.

Introducción de alto nivel de Azure Security Center y Azure Container Registry (ACR)

Preguntas más frecuentes sobre el análisis de imágenes de Azure Container Registry

¿De qué forma analiza Security Center las imágenes?

Security Center extrae la imagen del registro y la ejecuta en un espacio aislado con el detector de Qualys. El detector extrae una lista de vulnerabilidades conocidas.

Security Center filtra y clasifica los resultados del análisis. Cuando una imagen es correcta, Security Center la marca como tal. Security Center solo genera recomendaciones de seguridad para las imágenes que tienen incidencias sin resolver. Al enviar notificaciones solo cuando hay problemas, Security Center reduce las posibles alertas informativas no deseadas.

¿Se pueden obtener los resultados del examen mediante la API REST?

Sí. Los resultados se encuentran en API REST de valoración secundaria. Asimismo, puede usar Azure Resource Graph (ARG), la API similar a Kusto para todos los recursos: una consulta puede recuperar un análisis específico.

¿Qué tipos de registros se analizan? ¿Qué tipos se facturan?

Para ver los tipos de registros de contenedor que admite Azure Defender para registros de contenedor, consulte Disponibilidad.

Si conecta registros no admitidos a su suscripción de Azure, Azure Defender no los examinará y no se facturarán.

¿Puedo personalizar los resultados del detector de vulnerabilidades?

Sí. Si tiene una necesidad organizativa de omitir un resultado, en lugar de corregirlo, tiene la opción de deshabilitarlo. Los resultados deshabilitados no afectan a la puntuación de seguridad ni generan ruido no deseado.

Aprenda a crear reglas para deshabilitar los resultados desde la herramienta integrada de valoración de vulnerabilidades.

¿Por qué me está avisando Security Center de las vulnerabilidades de una imagen que no está en mi registro?

Security Center proporciona evaluaciones de vulnerabilidades de cada imagen que se inserta o se extrae en un registro. Algunas imágenes pueden volver a usar etiquetas de una imagen que ya se ha examinado. Por ejemplo, puede reasignar la etiqueta "Más reciente" cada vez que se agrega una imagen a un código hash. En esos casos, la imagen "antigua" todavía existe en el registro y es posible que todavía se pueda extraer mediante su código hash. Si la imagen tiene resultados de seguridad y se extrae, mostrará vulnerabilidades de seguridad.

Pasos siguientes