컨테이너 레지스트리용 Microsoft Defender 소개(더 이상 사용되지 않음)
Important
MDVM이 제공하는 Azure 취약성 평가의 공개 미리 보기를 시작했습니다. 자세한 내용은 Microsoft Defender 취약성 관리를 사용하는 Azure에 대한 취약성 평가를 참조하세요.
ACR(Azure Container Registry)은 중앙 레지스트리에서 Azure 배포에 대한 컨테이너 이미지를 저장하고 관리하는 관리형 프라이빗 Docker 레지스트리 서비스입니다. 오픈 소스 Docker 레지스트리 2.0을 기반으로 합니다.
구독의 Azure Resource Manager 기반 레지스트리를 보호하려면 구독 수준에서 컨테이너 레지스트리용 Microsoft Defender를 사용하도록 설정합니다. 그러면 Defender for Cloud가 최근 30일 이내에 레지스트리에 푸시한 이미지, 레지스트리로 가져온 이미지 또는 풀한 이미지를 모두 검사합니다. 검사되는 모든 이미지에 대해 이미지당 한 번씩 요금이 청구됩니다.
가용성
Important
컨테이너 레지스트리용 Microsoft Defender는 컨테이너용 Microsoft Defender로 대체되었습니다. 구독에서 컨테이너 레지스트리에 대해 Defender를 이미 사용하도록 설정한 경우 계속 사용할 수 있습니다. 그러나 컨테이너용 Defender의 개선 사항과 새로운 기능은 제공되지 않습니다.
이 플랜은 아직 사용하도록 설정되지 않은 구독에서 더 이상 사용할 수 없습니다.
컨테이너용 Microsoft Defender로 업그레이드하려면 포털에서 Defender 플랜 페이지를 열고 새 플랜을 사용하도록 설정합니다.
릴리스 정보에서 이 변경 내용에 관해 자세히 알아봅니다.
| 측면 | 세부 정보 |
|---|---|
| 릴리스 상태: | 사용되지 않음(컨테이너용 Microsoft Defender 사용) |
| 지원되는 레지스트리 및 이미지: | 셸 액세스를 사용하여 공용 인터넷에서 액세스할 수 있는 ACR 레지스트리의 Linux 이미지 Azure Private Link로 보호되는 ACR 레지스트리 |
| 지원되지 않는 레지스트리 및 이미지: | Windows 이미지 '프라이빗' 레지스트리(신뢰할 수 있는 서비스에 대한 액세스 권한이 부여된 경우는 제외) Docker 스크래치 이미지와 같은 초 미니멀 이미지 또는 패키지 관리자, 셸 또는 OS 없이 애플리케이션과 그 런타임 종속성만 포함하는 "Distroless" 이미지 OCI(Open Container Initiative) 이미지 형식 사양을 사용하는 이미지 |
| 필요한 역할 및 권한: | 보안 읽기 권한자 및 Azure Container Registry 역할 및 권한 |
| 클라우드: |  상용 클라우드 국가적(Azure Government, 21Vianet에서 운영하는 Microsoft Azure) |
컨테이너 레지스트리용 Microsoft Defender의 이점은 무엇인가요?
Defender for Cloud는 구독의 Azure Resource Manager 기반 ACR 레지스트리를 식별하고 레지스트리 이미지에 대한 Azure 네이티브 취약성 평가 및 관리를 원활하게 제공합니다.
컨테이너 레지스트리용 Microsoft Defender에는 Azure Resource Manager 기반 Azure Container Registry 레지스트리의 이미지를 검사하고 이미지의 취약성에 대한 보다 심층적인 가시성을 제공하는 취약성 검사기가 포함되어 있습니다.
문제가 발견되면 워크로드 보호 대시보드에 알림이 표시됩니다. Defender for Cloud는 모든 취약성에 대해 심각도 분류 및 문제 해결 방법에 대한 지침과 실행 가능한 권장 사항을 제공합니다. Defender for Cloud의 컨테이너 관련 권장 사항에 대한 자세한 내용은 권장 사항 참조 목록을 참조하세요.
Defender for Cloud는 검사기의 검사 결과를 필터링하고 분류합니다. 이미지가 정상인 경우 Defender for Cloud는 이를 정상으로 표시합니다. Defender for Cloud는 해결해야 할 문제가 있는 이미지에 대해서만 보안 권장 사항을 생성합니다. Defender for Cloud는 보고된 각 취약성 및 심각도 분류의 세부 정보를 제공합니다. 또한 각 이미지에 있는 특정 취약성을 해결하는 방법에 대한 지침을 제공합니다.
Defender for Cloud는 문제가 있는 경우에만 알리는 방식으로 원치 않는 정보 알림이 발생할 가능성을 줄입니다.
이미지가 언제 검사되나요?
이미지 검사에 대한 트리거는 세 가지가 있습니다.
푸시할 때 - 이미지를 레지스트리에 푸시할 때마다 컨테이너 레지스트리용 Defender가 해당 이미지를 자동으로 검사합니다. 이미지 검사를 트리거하려면 리포지토리에 푸시하세요.
최근에 끌어온 경우 - 새로운 취약성은 매일 검색되므로 컨테이너 레지스트리용 Microsoft Defender는 최근 30일 이내에 가져온 이미지를 매주 검색합니다. 위에서 설명한 것처럼 이미지마다 한 번씩 요금이 청구되므로 이러한 재검사에 대한 추가 비용은 없습니다.
가져올 때 - Azure Container Registry에는 Docker Hub, Microsoft Container Registry 또는 다른 Azure Container Registry의 이미지를 사용자 레지스트리로 가져오는 가져오기 도구가 있습니다. 컨테이너 레지스트리용 Microsoft Defender는 사용자가 가져온 모든 지원 이미지를 검사합니다. 컨테이너 이미지를 컨테이너 레지스트리로 가져오기에서 자세히 알아보세요.
검사는 일반적으로 2분 이내에 완료되지만 최대 40분이 걸릴 수 있습니다. 검사 결과는 다음과 같은 보안 권장 사항으로 제공됩니다.
Defender for Cloud는 Azure Container Registry와 어떻게 작동하나요?
다음은 Defender for Cloud를 사용하여 레지스트리를 보호하는 경우의 구성 요소 및 이점에 대한 개략적인 다이어그램입니다.
FAQ - Azure Container Registry 이미지 검사
Defender for Cloud는 이미지를 어떻게 검사하나요?
클라우드용 Defender 레지스트리에서 이미지를 끌어와 스캐너를 사용하여 격리된 샌드박스에서 실행합니다. 스캐너는 알려진 취약성 목록을 추출합니다.
Defender for Cloud는 검사기의 검사 결과를 필터링하고 분류합니다. 이미지가 정상인 경우 Defender for Cloud는 이를 정상으로 표시합니다. Defender for Cloud는 해결해야 할 문제가 있는 이미지에 대해서만 보안 권장 사항을 생성합니다. Defender for Cloud는 문제가 있는 경우에만 알리는 방식으로 원치 않는 정보 알림이 발생할 가능성을 줄입니다.
REST API를 통해 검사 결과를 가져올 수 있나요?
예. 결과는 Sub-Assessments REST API에 있습니다. 또한 모든 리소스에 대한 Kusto 같은 API인 ARG(Azure Resource Graph)를 사용할 수 있습니다. 쿼리로 특정 검사를 페치할 수 있습니다.
어떤 레지스트리 유형이 검사되나요? 어떤 유형에 요금이 청구되나요?
컨테이너 레지스트리용 Microsoft Defender에서 지원하는 컨테이너 레지스트리 유형의 목록은 가용성을 참조하세요.
지원되지 않는 레지스트리를 Azure 구독에 연결하는 경우 Defender for Cloud는 해당 레지스트리를 검색하지 않고 요금을 청구하지 않습니다.
취약성 검사기의 결과를 사용자 지정할 수 있나요?
예. 조직에서 결과를 수정하지 않고 무시해야 하는 요구 사항이 있으면 필요에 따라 이 결과를 사용하지 않도록 설정할 수 있습니다. 사용하지 않도록 설정된 결과는 보안 점수에 영향을 주거나 원치 않는 노이즈를 생성하지 않습니다.
통합된 취약성 평가 도구의 결과를 사용하지 않는 규칙을 만드는 방법에 대해 알아봅니다.
Defender for Cloud에서 레지스트리에 없는 이미지에 대한 취약성을 경고하는 이유는 무엇인가요?
Defender for Cloud는 레지스트리에서 푸시하거나 레지스트리로 풀한 모든 이미지에 대한 취약성 평가를 제공합니다. 일부 이미지는 이미 스캔된 이미지에서 태그를 재사용할 수 있습니다. 예를 들어 다이제스트에 이미지를 추가할 때마다 “최신” 태그를 다시 할당할 수 있습니다. 이러한 경우 ‘이전’ 이미지는 여전히 레지스트리에 존재하며 해당 다이제스트에 의해 계속 끌어올 수 있습니다. 이미지에 보안 결과가 있고 끌어온 경우 보안 취약성이 노출됩니다.