Introduction à Azure Defender pour des registres de conteneursIntroduction to Azure Defender for container registries

Azure Container Registry (ACR) est un service de registre Docker privé et géré qui stocke et gère vos images conteneurs pour les déploiements Azure dans un registre central.Azure Container Registry (ACR) is a managed, private Docker registry service that stores and manages your container images for Azure deployments in a central registry. Il est basé sur le registre Docker open source 2.0.It's based on the open-source Docker Registry 2.0.

Pour protéger tous les registres basés sur Azure Resource Manager de votre abonnement, activez Azure Defender pour les registres de conteneurs au niveau de l’abonnement.To protect all the Azure Resource Manager based registries in your subscription, enable Azure Defender for container registries at the subscription level. Security Center analysera ensuite les images envoyées au registre, importées dans le registre, ou les images extraites au cours des 30 derniers jours.Security Center will then scan images that are pushed to the registry, imported into the registry, or any images pulled within the last 30 days. Cette fonctionnalité est facturée par image.This feature is charged per image.

Availability

Aspect Details
Release state: Generally available (GA)
Pricing: Azure Defender for container registries is billed as shown on the pricing page
Supported registries and images: Linux images in ACR registries accessible from the public internet with shell access
Unsupported registries and images: Windows images
'Private' registries
Registries with access limited with a firewall, service endpoint, or private endpoints such as Azure Private Link
Super-minimalist images such as Docker scratch images, or "Distroless" images that only contain an application and its runtime dependencies without a package manager, shell, or OS
Required roles and permissions: Security reader and Azure Container Registry roles and permissions
Clouds: Commercial clouds
US Gov - Only the scan on push feature is currently supported. Learn more in When are images scanned?
China Gov, Other Gov

Quels sont les avantages d’Azure Defender pour les registres de conteneurs ?What are the benefits of Azure Defender for container registries?

Security Center identifie les registres ACR basés sur Azure Resource Manager dans votre abonnement et fournit en toute transparence une évaluation et une gestion des vulnérabilités natives d’Azure pour les images de votre registre.Security Center identifies Azure Resource Manager based ACR registries in your subscription and seamlessly provides Azure-native vulnerability assessment and management for your registry's images.

Azure Defender pour les registres de conteneurs inclut un scanner de vulnérabilité pour analyser les images dans vos registres Azure Container Registry basés sur Azure Resource Manager et fournir une visibilité plus poussée des vulnérabilités de vos images.Azure Defender for container registries includes a vulnerability scanner to scan the images in your Azure Resource Manager-based Azure Container Registry registries and provide deeper visibility into your images' vulnerabilities. L'analyseur intégré est proposé par Qualys, un leader dans le secteur des solutions d’identification des vulnérabilités.The integrated scanner is powered by Qualys, the industry-leading vulnerability scanning vendor.

Si des problèmes sont détectés par Qualys ou Security Center, vous recevez une notification dans le tableau de bord de Security Center.When issues are found – by Qualys or Security Center – you'll get notified in the Security Center dashboard. Pour chaque vulnérabilité, Security Center fournit des recommandations actionnables, accompagnées d’une classification de gravité et de conseils sur la façon de corriger le problème.For every vulnerability, Security Center provides actionable recommendations, along with a severity classification, and guidance for how to remediate the issue. Pour plus d’informations concernant les recommandations de Security Center pour les conteneurs, consultez la liste de référence des recommandations.For details of Security Center's recommendations for containers, see the reference list of recommendations.

Security Center filtre et classifie les résultats à partir de l’analyseur.Security Center filters and classifies findings from the scanner. Quand une image est saine, Security Center la marque comme telle.When an image is healthy, Security Center marks it as such. Security Center génère des recommandations de sécurité uniquement pour les images qui ont des problèmes à résoudre.Security Center generates security recommendations only for images that have issues to be resolved. Security Center fournit des détails sur chaque vulnérabilité signalée et une classification de gravité.Security Center provides details of each reported vulnerability and a severity classification. En outre, il fournit des conseils sur la façon de corriger les vulnérabilités spécifiques détectées sur chaque image.Additionally, it gives guidance for how to remediate the specific vulnerabilities found on each image.

En n’avertissant qu’en cas de problème, Security Center réduit le risque d’alertes d’information indésirables.By only notifying when there are problems, Security Center reduces the potential for unwanted informational alerts.

Conseil

Pour en savoir plus sur les fonctionnalités de sécurité des conteneurs de Security Center, consultez :To learn more about Security Center's container security features, see:

Quand les images sont-elles analysées ?When are images scanned?

Il existe trois déclencheurs pour une analyse d’image :There are three triggers for an image scan:

  • On push (en mode « push ») : chaque fois qu’une image est envoyée à votre registre, Security Center analyse automatiquement cette image.On push - Whenever an image is pushed to your registry, Security Center automatically scans that image. Pour déclencher l’analyse d’une image, poussez-la vers votre référentiel.To trigger the scan of an image, push it to your repository.

  • Recently pulled (extraites récemment) : étant donné que de nouvelles vulnérabilités sont découvertes chaque jour, Azure Defender pour les registres de conteneurs analyse également les images extraites au cours des 30 derniers jours.Recently pulled - Since new vulnerabilities are discovered every day, Azure Defender for container registries also scans any image that has been pulled within the last 30 days. Aucuns frais supplémentaires ne sont facturés pour une nouvelle analyse. Comme indiqué ci-dessus, vous êtes facturé une fois par image.There's no additional charge for a rescan; as mentioned above, you're billed once per image.

  • Lors de l’importation : Azure Container Registry inclut des outils d’importation pour importer des images dans votre registre à partir de Dockr Hub, d’un registre de conteneurs Microsoft ou d’un autre registre de conteneurs Azure.On import - Azure Container Registry has import tools to bring images to your registry from Docker Hub, Microsoft Container Registry, or another Azure container registry. Azure Defender pour les registres de conteneurs analyse toutes les images prises en charge que vous importez.Azure Defender for container registries scans any supported images you import. Pour plus d’informations, consultez Importation d’images conteneur dans un registre de conteneurs.Learn more in Import container images to a container registry.

L’analyse se termine généralement dans un délai de 2 minutes, mais elle peut prendre jusqu’à 15 minutes.The scan completes typically within 2 minutes, but it might take up to 15 minutes. Les résultats sont mis à disposition en tant que recommandations du Security Center, par exemple :Findings are made available as Security Center recommendations such as this one:

Exemple de suggestion Azure Security Center sur les vulnérabilités découvertes dans une image hébergée Azure Container Registry (ACR)Sample Azure Security Center recommendation about vulnerabilities discovered in an Azure Container Registry (ACR) hosted image

Interaction entre Azure Security Center et Azure Container RegistryHow does Security Center work with Azure Container Registry

Vous trouverez ci-dessous un diagramme de haut niveau des composants et des avantages qu’offre la protection de vos registres avec Security Center.Below is a high-level diagram of the components and benefits of protecting your registries with Security Center.

Présentation globale d’Azure Security Center et Azure Container Registry (ACR)

FAQ sur l’analyse des images Azure Container RegistryFAQ for Azure Container Registry image scanning

Comment Security Center analyse-t-il une image ?How does Security Center scan an image?

L’image est extraite du registre.The image is pulled from the registry. Elle est ensuite exécutée dans un bac à sable isolé à l’aide de l’analyseur Qualys qui extrait une liste de vulnérabilités connues.It's then run in an isolated sandbox with the Qualys scanner that extracts a list of known vulnerabilities.

Security Center filtre et classifie les résultats à partir de l’analyseur.Security Center filters and classifies findings from the scanner. Quand une image est saine, Security Center la marque comme telle.When an image is healthy, Security Center marks it as such. Security Center génère des recommandations de sécurité uniquement pour les images qui ont des problèmes à résoudre.Security Center generates security recommendations only for images that have issues to be resolved. En n’avertissant qu’en cas de problème, Security Center réduit le risque d’alertes d’information indésirables.By only notifying when there are problems, Security Center reduces the potential for unwanted informational alerts.

Puis-je obtenir les résultats de l’analyse via l’API REST ?Can I get the scan results via REST API?

Oui.Yes. Les résultats se trouvent sous l’API REST Sub-Assessments.The results are under Sub-Assessments Rest API. De plus, vous pouvez utiliser Azure Resource Graph (ARG), l’API de type Kusto pour toutes vos ressources : une requête peut extraire une analyse spécifique.Also, you can use Azure Resource Graph (ARG), the Kusto-like API for all of your resources: a query can fetch a specific scan.

Quels sont les types de registres analysés ?What registry types are scanned? Quels types sont facturés ?What types are billed?

Pour une liste des types de registres de conteneurs pris en charge par Azure Defender pour les registres de conteneurs, consultez Disponibilité.For a list of the types of container registries supported by Azure Defender for container registries, see Availability.

Si vous connectez des registres non pris en charge à votre abonnement Azure, ils ne seront pas analysés et ne vous seront pas facturés.If you connect unsupported registries to your Azure subscription, they won't be scanned and you won't be billed for them.

Puis-je personnaliser les résultats de l’analyseur de vulnérabilités ?Can I customize the findings from the vulnerability scanner?

Oui.Yes. Si votre organisation préfère ignorer un résultat, plutôt que de le corriger, vous pouvez éventuellement désactiver cette fonction.If you have an organizational need to ignore a finding, rather than remediate it, you can optionally disable it. Les résultats désactivés n’ont pas d’impact sur votre Niveau de sécurité ni ne génèrent de bruit indésirable.Disabled findings don't impact your secure score or generate unwanted noise.

Découvrir la création de règles pour désactiver les résultats à partir de l’outil d’évaluation des vulnérabilités intégré.Learn about creating rules to disable findings from the integrated vulnerability assessment tool.

Étapes suivantesNext steps