Pengenalan Azure Defender untuk registri kontainer

Azure Container Registry (ACR) adalah layanan registri Docker pribadi terkelola yang menyimpan dan mengelola citra kontainer Anda untuk penyebaran Azure di registri pusat. ACR didasarkan pada Docker Registry 2.0 sumber terbuka.

Untuk melindungi semua registri berbasis Azure Resource Manager di langganan Anda, aktifkan Azure Defender untuk registri kontainer di tingkat langganan. Azure Defender kemudian akan memindai semua gambar yang didorong ke registri, yang diimpor ke registri, atau citra apa pun yang ditarik dalam 30 hari terakhir. Anda akan dikenakan biaya untuk setiap gambar yang akan dipindai - sekali per gambar.

Ketersediaan

Aspek Detail
Status rilis: Tersedia secara umum (GA)
Harga: Azure Defender untuk registri kontainer ditagih seperti yang ditunjukkan pada halaman harga
Registri dan gambar yang didukung: Gambar Linux dalam registri ACR dapat diakses dari internet publik dengan akses shell
Pendaftar ACR dilindungi dengan Azure Private Link
Registri dan gambar yang tidak didukung: Citra Windows
Pendaftar 'Privat' (kecuali akses diberikan kepada Layanan Tepercaya)
Gambar super minimalis seperti gambar goresan Docker, atau gambar "Distroless" yang hanya berisi aplikasi dan dependensi runtime-nya tanpa manajer paket, shell, atau OS
Gambar dengan Spesifikasi Format Gambar Open Container Initiative (OCI)
Peran dan izin akses yang diperlukan: Pembaca keamanan dan peran dan izin Azure Container Registry
Cloud: Cloud komersial
National/Sovereign (Azure Government, Azure Tiongkok)

Apa saja keuntungan Azure Defender untuk registri kontainer?

Azure Security Center mengidentifikasi registri ACR berbasis Azure Resource Manager dalam langganan Anda dan menyediakan penilaian dan manajemen kerentanan Azure asli secara lancar untuk citra registri Anda.

Azure Defender untuk registri kontainer mencakup pemindai kerentanan untuk memindai citra di registri Azure Container Registry berbasis Azure Resource Manager dan memberikan visibilitas yang lebih dalam pada kerentanan citra Anda. Pemindai terintegrasi didukung oleh Qualys, vendor pemindaian kerentanan terkemuka di industri.

Saat masalah ditemukan - oleh Qualys atau Security Center - Anda akan mendapatkan pemberitahuan di dasbor Security Center. Untuk setiap kerentanan, Security Center memberikan rekomendasi yang dapat dilaksanakan, bersama dengan klasifikasi tingkat keparahan, dan panduan tentang cara memperbaiki masalah. Untuk detail rekomendasi Security Center untuk kontainer, lihat daftar referensi rekomendasi.

Security Center memfilter dan mengklasifikasikan temuan dari pemindai. Saat kondisi citra baik, Security Center akan menandainya seperti itu. Security Center memberikan rekomendasi keamanan hanya untuk citra yang memiliki masalah yang harus diselesaikan. Security Center memberikan detail setiap kerentanan yang dilaporkan dan klasifikasi tingkat keparahan. Selain itu, Security Center memberikan panduan tentang cara memperbaiki kerentanan spesifik yang ditemukan pada setiap gambar.

Dengan memberikan pemberitahuan hanya saat ada masalah, Security Center mengurangi potensi pemberitahuan informasi yang tidak diinginkan.

Tip

Untuk mempelajari selengkapnya tentang fitur keamanan kontainer Security Center, lihat:

Kapan pemindaian citra dilakukan?

Ada tiga pemicu untuk pemindaian citra:

  • Saat pendorongan - Setiap kali citra didorong ke registri Anda, Security Center secara otomatis memindai citra tersebut. Untuk memicu pemindaian, dorong citra ke repositori Anda.

  • Baru-baru ini ditarik - Karena kerentanan baru ditemukan setiap hari, Azure Defender untuk registri kontainer juga memindai citra apa pun yang telah ditarik dalam 30 hari terakhir setiap minggu. Tidak ada biaya tambahan untuk pemindaian ulang ini; seperti disebutkan di atas, Anda dikenai tagihan sekali per citra.

  • Saat mengimpor - Azure Container Registry memiliki alat impor untuk membawa citra ke registri Anda dari Docker Hub, Microsoft Container Registry, atau registri kontainer Azure lainnya. Azure Defender untuk registri kontainer memindai semua citra terdukung yang Anda impor. Pelajari lebih lanjut di Mengimpor gambar kontainer ke registri kontainer.

Pemindaian biasanya selesai dalam 2 menit, tetapi mungkin bisa memakan waktu hingga 15 menit. Temuan tersedia sebagai rekomendasi Security Center seperti berikut:

Sampel rekomendasi Azure Security Center tentang kerentanan yang ditemukan dalam citra yang dihosting Azure Container Registry (ACR).

Cara kerja Security Center dengan Azure Container Registry

Di bawah ini adalah diagram tingkat tinggi dari komponen dan keuntungan melindungi registri Anda dengan Security Center.

Gambaran umum tingkat tinggi Azure Security Center dan Azure Container Registry (ACR).

Tanya Jawab Umum - Pemindaian citra Azure Container Registry

Bagaimana Security Center memindai gambar?

Security Center menarik citra dari registri dan menjalankannya dalam kotak pasir terisolasi dengan pemindai Qualys. Pemindai mengekstrak daftar kerentanan yang diketahui.

Security Center memfilter dan mengklasifikasikan temuan dari pemindai. Saat kondisi citra baik, Security Center akan menandainya seperti itu. Security Center memberikan rekomendasi keamanan hanya untuk citra yang memiliki masalah yang harus diselesaikan. Dengan memberi tahu Anda hanya saat ada masalah, Security Center mengurangi potensi pemberitahuan informasi yang tidak diinginkan.

Bisakah saya mendapatkan hasil pemindaian melalui REST API?

Ya. Hasilnya berada di Sub-Assesment Rest API. Selain itu, Anda dapat menggunakan Azure Resource Graph (ARG), API yang mirip Kusto untuk semua sumber daya Anda: kueri dapat mengambil pemindaian tertentu.

Jenis registri apa yang dipindai? Jenis apa yang ditagih?

Untuk daftar jenis registri kontainer yang didukung oleh Azure Defender untuk registri kontainer, lihat Ketersediaan.

Jika Anda menyambungkan registri yang tidak didukung ke langganan Azure Anda, Azure Defender tidak akan memindainya dan tidak akan menagih Anda.

Dapatkah saya menyesuaikan temuan dari pemindai kerentanan?

Ya. Jika Anda memiliki kebutuhan organisasi untuk mengabaikan temuan, daripada melakukan remediasi, Anda dapat menonaktifkannya secara opsional. Temuan yang dinonaktifkan tidak memengaruhi skor aman Anda atau menghasilkan kebisingan yang tidak diinginkan.

Pelajari cara membuat aturan untuk menonaktifkan temuan dari alat penilaian kerentanan terintegrasi.

Mengapa Security Center memberi tahu saya kerentanan tentang citra yang tidak ada di registri saya?

Security Center menyediakan penilaian kerentanan untuk setiap citra yang didorong atau ditarik dalam registri. Beberapa citra mungkin menggunakan ulang tag dari citra yang sudah dipindai. Misalnya, Anda dapat menggunakan ulang tag "Terbaru" setiap kali Anda menambahkan citra ke hash. Dalam kasus seperti itu, citra yang 'lama' masih ada di registri dan mungkin masih ditarik oleh hash-nya. Jika citra memiliki temuan keamanan dan ditarik, citra akan mengekspos kerentanan keamanan.

Langkah berikutnya