Microsoft Defender 취약성 관리를 통한 GCP 취약성 평가

  • 아티클

Microsoft Defender 취약성 관리 기반에서 제공하는 GCP에 대한 취약성 평가는 보안팀이 온보딩을 위한 구성이 없고 센서를 배포하지 않고 Linux 컨테이너 이미지에서 취약성을 쉽게 검색하고 수정할 수 있도록 하는 기본 솔루션입니다.

이 기능 사용하도록 설정이 완료된 모든 계정에서 검사 트리거 기준을 충족하는 Google 레지스트리(GAR 및 GCR)에 저장된 모든 이미지는 사용자 또는 레지스트리를 추가로 구성하지 않고도 취약성을 검사합니다. Google 레지스트리(GAR 및 GCR)의 모든 이미지, Google 레지스트리(GAR 및 GCR) 또는 기타 클라우드용 Defender 지원 레지스트리(ACR 또는 ECR)에서 끌어온 GKE에서 현재 실행 중인 이미지에 대해 취약성 보고서가 포함된 권장 사항이 제공됩니다. 이미지는 레지스트리에 추가된 직후에 검사되고 24시간마다 한 번씩 새로운 취약성을 다시 검사합니다.

Microsoft Defender 취약성 관리에서 제공하는 컨테이너 취약성 평가에는 다음과 같은 기능이 있습니다.

  • OS 패키지 검사 - 컨테이너 취약성 평가에는 Linux 및 Windows 운영 체제의 OS 패키지 관리자가 설치한 패키지의 취약성을 검사하는 기능이 있습니다. 지원되는 OS 및 해당 버전의 전체 목록을 참조하세요.

  • 언어별 패키지Linux에만 해당 - 언어별 패키지 및 파일과 OS 패키지 관리자 없이 설치되거나 복사된 해당 종속성을 지원합니다. 지원되는 언어의 전체 목록을 확인합니다.

  • 악용 가능성 정보 - 각 취약성 보고서는 악용 가능성 데이터베이스를 통해 검색되어 고객이 보고된 각 취약성과 관련된 실제 위험을 판단할 수 있도록 지원합니다.

  • 보고 - Microsoft Defender 취약성 관리 기반에서 제공하는 GCP용 컨테이너 취약성 평가는 다음 권장 사항을 사용하여 취약성 보고서를 제공합니다.

이는 런타임 컨테이너 취약성 및 레지스트리 이미지 취약성에 대해 보고하는 새로운 권장 사항입니다. 현재 미리 보기 상태이지만 이전 권장 사항을 바꾸기 위한 것입니다. 이러한 새로운 권장 사항은 미리 보기 상태에서는 보안 점수에 포함되지 않습니다. 두 권장 사항 집합에 대한 검사 엔진은 동일합니다.

추천 설명 평가 키
[미리 보기] GCP 레지스트리의 컨테이너 이미지에 취약성 결과가 해결되어야 합니다. 클라우드용 Defender는 레지스트리 이미지에서 CVE(알려진 취약성)를 검사하고 검사한 각 이미지에 대한 자세한 결과를 제공합니다. 레지스트리의 컨테이너 이미지에 대한 취약성을 검사하고 수정하면 안전하고 신뢰할 수 있는 소프트웨어 공급망을 유지하고 보안 인시던트 위험을 줄이며 업계 표준 준수를 보장할 수 있습니다. 24e37609-dcf5-4a3b-b2b0-b7d76f2e4e04
[미리 보기] GCP에서 실행되는 컨테이너에는 취약성 결과가 해결되어야 합니다. 클라우드용 Defender는 현재 Kubernetes 클러스터에서 실행 중인 모든 컨테이너 워크로드의 인벤토리를 만들고, 사용 중인 이미지와 레지스트리 이미지에 대해 만들어진 취약성 보고서를 일치시켜 해당 워크로드에 대한 취약성 보고서를 제공합니다. 강력하고 안전한 소프트웨어 공급망을 보장하고 보안 인시던트 위험을 줄이며 업계 표준 준수를 보장하려면 컨테이너 워크로드의 취약성을 검사하고 수정해야 합니다. c7c1d31d-a604-4b86-96df-63448618e165

현재 사용 중지 경로에 있는 이전 권장 사항은 다음과 같습니다.

추천 설명 평가 키
GCP 레지스트리 컨테이너 이미지에는 해결된 취약성 결과가 있어야 합니다(Microsoft Defender 취약성 관리 제공) - Microsoft Azure CVE(일반적으로 알려진 취약성)에 대해 GCP 레지스트리 컨테이너 이미지를 검사하고 각 이미지에 대한 자세한 취약성 보고서를 제공합니다. 취약성을 해결하면 보안 태세가 크게 향상되어 배포 전에 이미지를 안전하게 사용할 수 있습니다. c27441ae-775c-45be-8ffa-655de37362ce
컨테이너 이미지를 실행하는 GCP에는 취약성 결과가 해결되어야 합니다(Microsoft Defender 취약성 관리 제공) - Microsoft Azure 컨테이너 이미지 취약성 평가는 레지스트리에서 CVE(일반적으로 알려진 취약성)을 검사하고 각 이미지에 대한 자세한 취약성 보고서를 제공합니다. 이 권장 사항은 현재 Google Kubernetes 클러스터에서 실행 중인 취약한 이미지에 대한 표시 여부를 제공합니다. 현재 실행 중인 컨테이너 이미지의 취약성을 수정하는 것은 보안 태세를 개선하고 컨테이너화된 워크로드에 대한 공격 표면을 크게 줄이는 데 중요합니다. 5cc3a2c1-8397-456f-8792-fe9d0d4c9145

검사 트리거

이미지 검사에 대한 트리거는 다음과 같습니다.

  • 일회성 트리거:

    • 컨테이너 레지스트리에 푸시된 각 이미지는 검사를 위해 트리거됩니다. 대부분의 경우 검사는 몇 시간 내에 완료되지만 드물게 최대 24시간이 걸릴 수도 있습니다.
    • 레지스트리에서 가져온 각 이미지는 24시간 이내에 검사되도록 트리거됩니다.

  • 연속 다시 검사 트리거 – 새 취약성이 게시된 경우 취약성 보고서를 업데이트하기 위해 이전에 취약성을 검사한 이미지를 다시 검사하려면 연속 다시 검사가 필요합니다.

    • 다시 검사는 다음에 대해 하루에 한 번 수행됩니다.

이미지 검사는 어떻게 작동하나요?

검사 프로세스에 대한 자세한 설명은 다음과 같습니다.

  • Microsoft Defender 취약성 관리 기반 GCP에 대한 컨테이너 취약성 평가를 사용하도록 설정하면 클라우드용 Defender가 Elastic Container Registry의 컨테이너 이미지를 검사할 수 있는 권한을 부여하게 됩니다.

  • 클라우드용 Defender는 모든 컨테이너 레지스트리, 리포지토리 및 이미지를 자동으로 검색합니다(이 기능을 사용하도록 설정하기 전이나 후에 생성됨).

  • 하루에 한 번, 레지스트리에 푸시된 새 이미지의 경우:

    • 새로 검색된 모든 이미지가 풀되고 각 이미지에 대한 인벤토리가 만들어집니다. 이미지 인벤토리는 새 스캐너 기능에 필요한 경우가 아니면 추가 이미지 풀을 방지하기 위해 유지됩니다.
    • 인벤토리를 사용하여 새 이미지에 대한 취약성 보고서가 생성되고, 지난 90일 동안 레지스트리에 푸시되었거나 현재 실행 중인 이전에 검사한 이미지에 대해 업데이트됩니다. 이미지가 현재 실행 중인지 확인하기 위해 클라우드용 Defender는 Kubernetes에 대한 에이전트 없는 검색GKE 노드에서 실행되는 Defender 센서를 통해 수집된 인벤토리를 모두 사용합니다.
    • 레지스트리 컨테이너 이미지에 대한 취약성 보고서는 권장 사항으로 제공됩니다.

  • Kubernetes에 대한 에이전트 없는 검색을 사용하거나 GKE 노드에서 실행되는 Defender 센서를 통해 수집된 인벤토리를 사용하는 고객의 경우 클라우드용 Defender는 GKE 클러스터에서 실행되는 취약한 이미지에 대한 취약성을 수정하기 위한 권장 사항도 만듭니다. Kubernetes에 대한 에이전트 없는 검색만 사용하는 고객의 경우 이 권장 사항의 인벤토리 새로 고침 시간은 7시간에 한 번입니다. Defender 센서도 실행 중인 클러스터는 2시간 인벤토리 새로 고침 빈도의 이점을 활용할 수 있습니다. 이미지 검사 결과는 두 경우 모두 레지스트리 검사에 따라 업데이트되며, 따라서 24시간마다 새로 고쳐집니다.

참고 항목

컨테이너 레지스트리용 Defender(사용되지 않음)의 경우 이미지는 푸시, 풀에서 한 번 검사되고 일주일에 한 번만 다시 검사됩니다.

내 레지스트리에서 이미지를 제거하는 경우 해당 이미지에 대한 취약성 보고가 제거되기까지 시간이 얼마나 걸리나요?

Google 레지스트리(GAR 및 GCR)에서 이미지를 삭제한 후 보고서가 삭제되기까지 30시간이 걸립니다.

다음 단계