Penilaian kerentanan untuk Azure dengan Pengelolaan Kerentanan Microsoft Defender
Penilaian kerentanan untuk Azure, yang didukung oleh Pengelolaan Kerentanan Microsoft Defender, adalah solusi siap pakai yang memberdayakan tim keamanan untuk dengan mudah menemukan dan memulihkan kerentanan dalam gambar kontainer, dengan konfigurasi nol untuk onboarding, dan tanpa penyebaran agen apa pun.
Catatan
Fitur ini hanya mendukung pemindaian gambar di Azure Container Registry (ACR). Gambar yang disimpan di registri kontainer lain harus diimpor ke ACR untuk cakupan. Pelajari cara mengimpor gambar kontainer ke registri kontainer.
Dalam setiap langganan tempat kemampuan ini diaktifkan, semua gambar yang disimpan di ACR yang memenuhi kriteria pemicu pemindaian dipindai untuk kerentanan tanpa konfigurasi tambahan pengguna atau registri. Rekomendasi dengan laporan kerentanan disediakan untuk semua gambar di ACR serta gambar yang saat ini berjalan di AKS yang ditarik dari registri ACR atau registri lain yang didukung Defender untuk Cloud (ECR, GCR, atau GAR). Gambar dipindai segera setelah ditambahkan ke registri, dan dipindai kembali untuk kerentanan baru setiap 24 jam sekali.
Penilaian kerentanan kontainer yang didukung oleh Pengelolaan Kerentanan Microsoft Defender memiliki kemampuan berikut:
- Memindai paket OS - penilaian kerentanan kontainer memiliki kemampuan untuk memindai kerentanan dalam paket yang diinstal oleh manajer paket OS di Linux dan OS Windows. Lihat daftar lengkap OS yang didukung dan versinya.
- Paket khusus bahasa – Hanya Linux - dukungan untuk paket dan file spesifik bahasa, dan dependensinya diinstal atau disalin tanpa manajer paket OS. Lihat daftar lengkap bahasa yang didukung.
- Pemindaian gambar di Azure Private Link - Penilaian kerentanan kontainer Azure menyediakan kemampuan untuk memindai gambar di registri kontainer yang dapat diakses melalui Azure Private Links. Kemampuan ini memerlukan akses ke layanan dan autentikasi tepercaya dengan registri. Pelajari cara mengizinkan akses oleh layanan tepercaya.
- Informasi eksploitasi - Setiap laporan kerentanan dicari melalui database eksploitasi untuk membantu pelanggan kami menentukan risiko aktual yang terkait dengan setiap kerentanan yang dilaporkan.
- Pelaporan - Penilaian Kerentanan Kontainer untuk Azure yang didukung oleh Pengelolaan Kerentanan Microsoft Defender memberikan laporan kerentanan menggunakan rekomendasi berikut:
Ini adalah rekomendasi baru yang melaporkan kerentanan kontainer runtime dan kerentanan gambar registri. Mereka saat ini dalam pratinjau, tetapi dimaksudkan untuk menggantikan rekomendasi lama. Rekomendasi baru ini tidak dihitung dalam skor aman saat dalam pratinjau. Mesin pemindaian untuk kedua set rekomendasi sama.
| Rekomendasi | Deskripsi | Kunci Penilaian |
|---|---|---|
| [Pratinjau] Gambar kontainer di registri Azure harus menyelesaikan temuan kerentanan | Defender untuk Cloud memindai gambar registri Anda untuk kerentanan (CVE) yang diketahui dan memberikan temuan terperinci untuk setiap gambar yang dipindai. Memindai dan memulihkan kerentanan untuk gambar kontainer dalam registri membantu menjaga rantai pasokan perangkat lunak yang aman dan andal, mengurangi risiko insiden keamanan, dan memastikan kepatuhan terhadap standar industri. | 33422d8f-ab1e-42be-bc9a-38685bb567b9 |
| [Pratinjau] Kontainer yang berjalan di Azure harus memiliki temuan kerentanan yang diselesaikan | Defender untuk Cloud membuat inventaris semua beban kerja kontainer yang saat ini berjalan di kluster Kubernetes Anda dan memberikan laporan kerentanan untuk beban kerja tersebut dengan mencocokkan gambar yang digunakan dan laporan kerentanan yang dibuat untuk gambar registri. Memindai dan memulihkan kerentanan beban kerja kontainer sangat penting untuk memastikan rantai pasokan perangkat lunak yang kuat dan aman, mengurangi risiko insiden keamanan, dan memastikan kepatuhan terhadap standar industri. | e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 |
Ini adalah rekomendasi lama yang saat ini berada di jalur pensiun:
| Rekomendasi | Deskripsi | Kunci Penilaian |
|---|---|---|
| Gambar kontainer registri Azure harus memiliki kerentanan yang diselesaikan (didukung oleh Pengelolaan Kerentanan Microsoft Defender) | Penilaian kerentanan gambar kontainer memindai registri Anda untuk kerentanan (CVE) yang umum diketahui dan memberikan laporan kerentanan terperinci untuk setiap gambar. Mengatasi kerentanan dapat sangat meningkatkan postur keamanan Anda, memastikan gambar aman digunakan sebelum penyebaran. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Gambar kontainer yang menjalankan Azure harus memiliki kerentanan yang diselesaikan (didukung oleh Pengelolaan Kerentanan Microsoft Defender) | Penilaian kerentanan gambar kontainer memindai registri Anda untuk kerentanan (CVE) yang umum diketahui dan memberikan laporan kerentanan terperinci untuk setiap gambar. Rekomendasi ini memberikan visibilitas ke gambar rentan yang saat ini berjalan di kluster Kubernetes Anda. Memulihkan kerentanan dalam gambar kontainer yang saat ini berjalan adalah kunci untuk meningkatkan postur keamanan Anda, secara signifikan mengurangi permukaan serangan untuk beban kerja kontainer Anda. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
- Mengkueri informasi kerentanan melalui Azure Resource Graph - Kemampuan untuk mengkueri informasi kerentanan melalui Azure Resource Graph. Pelajari cara mengkueri rekomendasi melalui ARG.
- Hasil pemindaian kueri melalui REST API - Pelajari cara mengkueri hasil pemindaian melalui REST API.
- Dukungan untuk pengecualian - Pelajari cara membuat aturan pengecualian untuk grup manajemen, grup sumber daya, atau langganan.
- Dukungan untuk menonaktifkan kerentanan - Pelajari cara menonaktifkan kerentanan pada gambar.
Pindai pemicu
Pemicu untuk pemindaian gambar adalah:
Pemicu satu kali:
- Setiap gambar yang didorong atau diimpor ke registri kontainer dipicu untuk dipindai. Dalam kebanyakan kasus, pemindaian selesai dalam beberapa menit, tetapi dalam kasus yang jarang terjadi mungkin perlu waktu hingga satu jam.
- Setiap gambar yang ditarik dari registri dipicu untuk dipindai dalam waktu 24 jam.
Pemicu pemindaian ulang berkelanjutan - pemindaian ulang berkelanjutan diperlukan untuk memastikan gambar yang sebelumnya telah dipindai untuk kerentanan dipindai kembali untuk memperbarui laporan kerentanan mereka jika kerentanan baru diterbitkan.
- Pemindaian ulang dilakukan sekali sehari untuk:
- Gambar didorong dalam 90 hari terakhir.
- Gambar ditarik dalam 30 hari terakhir.
- Gambar yang saat ini berjalan pada kluster Kubernetes yang dipantau oleh Defender untuk Cloud (baik melalui penemuan Tanpa Agen untuk Kubernetes atau sensor Defender).
- Pemindaian ulang dilakukan sekali sehari untuk:
Bagaimana cara kerja pemindaian gambar?
Deskripsi terperinci tentang proses pemindaian dijelaskan sebagai berikut:
Saat Anda mengaktifkan penilaian kerentanan kontainer untuk Azure yang didukung oleh Pengelolaan Kerentanan Microsoft Defender, Anda mengotorisasi Defender untuk Cloud untuk memindai gambar kontainer di registri Kontainer Azure Anda.
Defender untuk Cloud secara otomatis menemukan semua registri kontainer, repositori, dan gambar (dibuat sebelum atau sesudah mengaktifkan kemampuan ini).
Defender untuk Cloud menerima pemberitahuan setiap kali gambar baru didorong ke Azure Container Registry. Gambar baru kemudian segera ditambahkan ke katalog gambar yang Defender untuk Cloud pertahankan, dan mengantrekan tindakan untuk segera memindai gambar.
Sekali sehari, dan untuk gambar baru yang didorong ke registri:
- Semua gambar yang baru ditemukan ditarik, dan inventaris dibuat untuk setiap gambar. Inventaris gambar disimpan untuk menghindari penarikan gambar lebih lanjut, kecuali diperlukan oleh kemampuan pemindai baru.
- Menggunakan inventori, laporan kerentanan dihasilkan untuk gambar baru, dan diperbarui untuk gambar yang sebelumnya dipindai yang didorong dalam 90 hari terakhir ke registri, atau saat ini sedang berjalan. Untuk menentukan apakah gambar sedang berjalan, Defender untuk Cloud menggunakan penemuan Tanpa Agen untuk Kubernetes dan inventori yang dikumpulkan melalui sensor Defender yang berjalan pada simpul AKS
- Laporan kerentanan untuk gambar kontainer registri disediakan sebagai rekomendasi.
Untuk pelanggan yang menggunakan penemuan Tanpa Agen untuk Kubernetes atau inventori yang dikumpulkan melalui sensor Defender yang berjalan pada node AKS, Defender untuk Cloud juga membuat rekomendasi untuk memulihkan kerentanan untuk gambar yang rentan berjalan pada kluster AKS. Untuk pelanggan yang hanya menggunakan penemuan Tanpa Agen untuk Kubernetes, waktu refresh untuk inventori dalam rekomendasi ini adalah setiap tujuh jam sekali. Kluster yang juga menjalankan sensor Defender mendapat manfaat dari laju refresh inventori dua jam. Hasil pemindaian gambar diperbarui berdasarkan pemindaian registri dalam kedua kasus, dan oleh karena itu hanya di-refresh setiap 24 jam.
Catatan
Untuk Defender for Container Registries (tidak digunakan lagi), gambar dipindai sekali saat didorong, ditarik, dan dipindai kembali hanya seminggu sekali.
Jika saya menghapus gambar dari registri saya, berapa lama sebelum kerentanan melaporkan gambar tersebut akan dihapus?
Azure Container Registries memberi tahu Defender untuk Cloud saat gambar dihapus, dan menghapus penilaian kerentanan untuk gambar yang dihapus dalam waktu satu jam. Dalam beberapa kasus yang jarang terjadi, Defender untuk Cloud mungkin tidak diberi tahu tentang penghapusan, dan penghapusan kerentanan terkait dalam kasus tersebut mungkin memakan waktu hingga tiga hari.
Langkah berikutnya
- Pelajari selengkapnya tentang paket Defender untuk Cloud Defender.
- Lihat pertanyaan umum tentang Defender untuk Kontainer.