Inleiding tot Microsoft Defender voor containerregisters
Notitie
Azure Security Center en Azure Defender heten nu Microsoft Defender for Cloud. We hebben de naam van de abonnementen Azure Defender gewijzigd in Microsoft Defender-plannen. Een voorbeeld: Azure Defender voor Storage is nu Microsoft Defender voor Storage.
Meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.
Azure Container Registry (ACR) is een beheerde, privé-Docker-registerservice die uw containerinstallatiekopieën voor Azure-implementaties in een centraal register opslaat en beheert. Het is gebaseerd op het opensource Docker Registry 2.0.
Als u de Azure Resource Manager in uw abonnement wilt beveiligen, moet u Microsoft Defender voor containerregisters inschakelen op abonnementsniveau. Defender for Cloud scant vervolgens alle afbeeldingen wanneer ze naar het register worden pushen, in het register zijn geïmporteerd of binnen de afgelopen 30 dagen zijn binnengehaald. Er worden eenmaal per afbeelding kosten in rekening gebracht voor elke afbeelding die wordt gescand.
Beschikbaarheid
| Aspect | Details |
|---|---|
| Releasestatus: | Algemeen verkrijgbaar (GA) |
| Prijzen: | Microsoft Defender voor containerregisters wordt gefactureerd zoals wordt weergegeven op de pagina met prijzen |
| Ondersteunde registers en installatiekopieën: | Linux-installatiekopieën in ACR-registers die toegankelijk zijn via het internet en shell-toegang hebben ACR-registers die zijn beveiligd met Azure Private Link |
| Niet-ondersteunde registers en installatiekopieën: | Windows-installatiekopieën Privéregisters (tenzij toegang wordt verleend aan vertrouwde services) Superminimalistische installatiekopieën als Docker scratch of 'Distroless-installatiekopieën' die alleen een toepassing bevatten en de runtime-afhankelijkheden ervan, zonder pakketbeheerder, shell of besturingssysteem Afbeeldingen met specificatie van de afbeeldingsindeling van Open Container Initiative (OCI) |
| Vereiste rollen en machtigingen: | Beveiligingslezer en Azure Container Registry-rollen en -machtigingen |
| Clouds: | 
Commerciële clouds
National (Azure Government, Azure China 21Vianet) |
Wat zijn de voordelen van Microsoft Defender voor containerregisters?
Defender for Cloud identificeert Azure Resource Manager op basis van ACR-registers in uw abonnement en biedt naadloos azure-systeemeigen evaluatie van beveiligingsleed en beheer voor de afbeeldingen van uw register.
Microsoft Defender voor containerregisters bevat een scanner voor beveiligingsproblemen om de afbeeldingen in uw Azure Resource Manager-Azure Container Registry-registers te scannen en meer inzicht te bieden in de beveiligingsproblemen van uw afbeeldingen. De geïntegreerde scanner wordt aangestuurd door Qualys, de toonaangevende leverancier voor het scannen op beveiligingsproblemen.
Wanneer er problemen worden gevonden, door Qualys of Defender for Cloud, krijgt u een melding in het dashboard voor workloadbeveiliging. Voor elk beveiligingsprobleem biedt Defender for Cloud aanbevelingen die kunnen worden uitgevoerd, samen met een ernstclassificatie en richtlijnen voor het oplossen van het probleem. Zie de referentielijst met aanbevelingen voor meer informatie over de aanbevelingen van Defender for Cloud voor containers.
Defender for Cloud filtert en classificeert bevindingen van de scanner. Wanneer een afbeelding in orde is, markeert Defender for Cloud deze als zodanig. Defender for Cloud genereert alleen beveiligingsaanbevelingen voor afbeeldingen met problemen die moeten worden opgelost. Defender for Cloud biedt details over elk gerapporteerd beveiligingsprobleem en een ernstclassificatie. Daarnaast geeft het richtlijnen voor het herstellen van de specifieke beveiligingsproblemen die in elke installatiekopie worden gevonden.
Door alleen te melden wanneer er problemen zijn, vermindert Defender for Cloud de kans op ongewenste informatiewaarschuwingen.
Tip
Zie voor meer informatie over de beveiligingsfuncties voor containers van Defender for Cloud:
Wanneer worden installatiekopieën gescand?
Er zijn drie triggers voor het scannen van installatiekopieën:
Bij push: wanneer een afbeelding naar het register wordt pusht, scant Defender voor containerregisters die afbeelding automatisch. U kunt het scannen van een installatiekopie activeren door deze naar uw opslagplaats te pushen.
Onlangs uitgehaald: omdat er elke dag nieuwe beveiligingsproblemen worden ontdekt, scant Microsoft Defender voor containerregisters ook wekelijks een afbeelding die in de afgelopen 30 dagen is opgetrokken. Er zijn geen extra kosten voor deze opnieuw scannen; zoals hierboven vermeld, wordt u eenmaal per afbeelding gefactureerd.
Bij import: Azure Container Registry heeft functies voor het importeren van installatiekopieën in uw register vanuit Docker Hub, Microsoft-containerregister of een ander Azure-containerregister. Microsoft Defender voor containerregisters scant alle ondersteunde afbeeldingen die u importeert. Zie Containerinstallatiekopieën importeren in een containerregister voor meer informatie.
De scan wordt doorgaans binnen 2 minuten voltooid, maar dit kan wel 40 minuten duren. Bevindingen worden beschikbaar gesteld als beveiligingsaanbevelingen, zoals deze:
Hoe werkt Defender for Cloud met Azure Container Registry
Hieronder vindt u een diagram op hoog niveau van de onderdelen en voordelen van het beveiligen van uw registers met Defender for Cloud.
Veelgestelde vragen Azure Container Registry scannen van afbeeldingen
Hoe scant Defender for Cloud een afbeelding?
Defender for Cloud haalt de afbeelding op uit het register en voert deze uit in een geïsoleerde sandbox met de Qualys-scanner. De scanner extraheert een lijst met bekende beveiligingsproblemen.
Defender for Cloud filtert en classificeert bevindingen van de scanner. Wanneer een afbeelding in orde is, markeert Defender for Cloud deze als zodanig. Defender for Cloud genereert alleen beveiligingsaanbevelingen voor afbeeldingen met problemen die moeten worden opgelost. Door u alleen op de hoogte te stellen wanneer er problemen zijn, vermindert Defender for Cloud de kans op ongewenste informatiewaarschuwingen.
Kan ik de scanresultaten verkrijgen via REST API?
Ja. De resultaten staan onder Subevaluaties REST API. U kunt ook gebruikmaken van Azure Resource Graph (ARG), de Kusto-achtige API voor al uw resources: een query kan een specifieke scan ophalen.
Welke registertypen worden gescand? Welke typen worden gefactureerd?
Zie Beschikbaarheid voor een lijst met de typen containerregisters die worden ondersteund door Microsoft Defender voor containerregisters.
Als u niet-ondersteunde registers verbindt met uw Azure-abonnement, worden deze niet gescand door Defender for Cloud en worden er geen kosten voor gefactureerd.
Kan ik de bevindingen van de kwetsbaarheidsscanner aanpassen?
Ja. Als u een organisatorische behoefte hebt om een resultaat te negeren in plaats van dit te herstellen, kunt u het eventueel uitschakelen. Uitgeschakelde resultaten hebben geen invloed op uw beveiligingsscore en genereren geen ongewenste ruis.
Waarom wordt ik door Defender for Cloud gewaarschuwd voor beveiligingsproblemen met een afbeelding die niet in mijn register staat?
Defender for Cloud biedt evaluaties van beveiligingsleed voor elke afbeelding die in een register wordt pusht of binnengehaald. Het kan zijn dat sommige installatiekopieën tags gebruiken van een installatiekopie die al is gescand. U kunt bijvoorbeeld de tag 'Meest recent' telkens opnieuw toewijzen wanneer u een installatiekopie aan een samenvatting toevoegt. In dergelijke gevallen is de 'oude' installatiekopie nog steeds aanwezig in het register en kan deze nog steeds worden opgehaald door de samenvatting. Als er beveiligingsresultaten voor deze installatiekopie zijn en deze wordt opgehaald, worden er beveiligingsproblemen vastgesteld.