Inleiding tot Azure Defender voor containerregistersIntroduction to Azure Defender for container registries

Azure Container Registry (ACR) is een beheerde, privé-Docker-registerservice die uw containerinstallatiekopieën voor Azure-implementaties in een centraal register opslaat en beheert.Azure Container Registry (ACR) is a managed, private Docker registry service that stores and manages your container images for Azure deployments in a central registry. Het is gebaseerd op het opensource Docker Registry 2.0.It's based on the open-source Docker Registry 2.0.

Om alle registers op basis van Azure Resource Manager in uw abonnement te beschermen, schakelt u Azure Defender voor containerregisters in op abonnementsniveau.To protect all the Azure Resource Manager based registries in your subscription, enable Azure Defender for container registries at the subscription level. Security Center scant vervolgens installatiekopieën die naar het register worden gepusht, of installatiekopieën die in de laatste 30 dagen zijn opgehaald.Security Center will then scan images that are pushed to the registry, imported into the registry, or any images pulled within the last 30 days. Deze functie wordt in rekening gebracht per installatiekopie.This feature is charged per image.

BeschikbaarheidAvailability

AspectAspect DetailsDetails
Releasestatus:Release state: Algemeen verkrijgbaar (GA)Generally available (GA)
Prijzen:Pricing: Voor Azure Defender voor containerregisters gelden de prijzen op de pagina PrijzenAzure Defender for container registries is billed as shown on the pricing page
Ondersteunde registers en installatiekopieën:Supported registries and images: Linux-installatiekopieën in ACR-registers die toegankelijk zijn via het internet en shell-toegang hebbenLinux images in ACR registries accessible from the public internet with shell access
Niet-ondersteunde registers en installatiekopieën:Unsupported registries and images: Windows-installatiekopieënWindows images
Privéregisters'Private' registries
Registers waarvan de toegang is afgeschermd met een firewall, service-eindpunt of privé-eindpunten als Azure Private LinkRegistries with access limited with a firewall, service endpoint, or private endpoints such as Azure Private Link
Superminimalistische installatiekopieën als Docker scratch of 'Distroless-installatiekopieën' die alleen een toepassing bevatten en de runtime-afhankelijkheden ervan, zonder pakketbeheerder, shell of besturingssysteemSuper-minimalist images such as Docker scratch images, or "Distroless" images that only contain an application and its runtime dependencies without a package manager, shell, or OS
Vereiste rollen en machtigingen:Required roles and permissions: Beveiligingslezer en Azure Container Registry-rollen en -machtigingenSecurity reader and Azure Container Registry roles and permissions
Clouds:Clouds: Commerciële clouds
US Gov en China Gov - Alleen de functie Scannen bij push is momenteel ondersteund. Meer leren in Wanneer worden installatiekopieën gescand?Learn more in When are images scanned?

Wat zijn de voordelen van Azure Defender voor containerregisters?What are the benefits of Azure Defender for container registries?

Security Center identificeert op Azure Resource Manager gebaseerde ACR-registers in uw abonnement en zorgt voor naadloze Azure-systeemeigen beoordeling van beveiligingsproblemen en beheer voor de installatiekopieën van uw register.Security Center identifies Azure Resource Manager based ACR registries in your subscription and seamlessly provides Azure-native vulnerability assessment and management for your registry's images.

Azure Defender voor containerregisters bevat een scanner voor beveiligingsproblemen die de installatiekopieën in uw op Azure Resource Manager gebaseerde Azure Container Registry-registers scant en dieper inzicht biedt in de beveiligingsproblemen van uw installatiekopieën.Azure Defender for container registries includes a vulnerability scanner to scan the images in your Azure Resource Manager-based Azure Container Registry registries and provide deeper visibility into your images' vulnerabilities. De geïntegreerde scanner wordt aangestuurd door Qualys, de toonaangevende leverancier voor het scannen op beveiligingsproblemen.The integrated scanner is powered by Qualys, the industry-leading vulnerability scanning vendor.

Als er problemen worden gevonden - door Qualys of Security Center - krijgt u een melding in het dashboard van Security Center.When issues are found – by Qualys or Security Center – you'll get notified in the Security Center dashboard. Security Center geeft voor elk beveiligingsprobleem praktische aanbevelingen, een classificatie van de ernst en richtlijnen voor het oplossen van het probleem.For every vulnerability, Security Center provides actionable recommendations, along with a severity classification, and guidance for how to remediate the issue. Zie voor meer informatie over de aanbevelingen van Security Center voor containers de Verwijzingenlijst met aanbevelingen.For details of Security Center's recommendations for containers, see the reference list of recommendations.

Security Center filtert en classificeert de resultaten van de scanner.Security Center filters and classifies findings from the scanner. Wanneer een installatiekopie in orde is, wordt deze als zodanig gemarkeerd door Security Center.When an image is healthy, Security Center marks it as such. Security Center genereert alleen aanbevelingen voor de beveiliging ten aanzien van installatiekopieën waarvoor problemen moeten worden opgelost.Security Center generates security recommendations only for images that have issues to be resolved. Security Center geeft details en een classificatie van de ernst voor elk gemeld beveiligingsprobleem.Security Center provides details of each reported vulnerability and a severity classification. Daarnaast geeft het richtlijnen voor het herstellen van de specifieke beveiligingsproblemen die in elke installatiekopie worden gevonden.Additionally, it gives guidance for how to remediate the specific vulnerabilities found on each image.

Door alleen een melding te geven als er problemen zijn, vermindert Security Center het potentieel voor ongewenste informatieve waarschuwingen.By only notifying when there are problems, Security Center reduces the potential for unwanted informational alerts.

Tip

Zie voor meer informatie over beveiligingsfuncties voor containers van Security Center:To learn more about Security Center's container security features, see:

Wanneer worden installatiekopieën gescand?When are images scanned?

Er zijn drie triggers voor het scannen van installatiekopieën:There are three triggers for an image scan:

  • Bij push: wanneer een installatiekopie naar het register wordt gepusht, wordt deze automatisch door Security Center gescand.On push - Whenever an image is pushed to your registry, Security Center automatically scans that image. U kunt het scannen van een installatiekopie activeren door deze naar uw opslagplaats te pushen.To trigger the scan of an image, push it to your repository.

  • Recent opgehaald: aangezien er elke dag nieuwe beveiligingsproblemen worden ontdekt, scant Azure Defender voor containerregisters ook alle installatiekopieën die de afgelopen 30 dagen zijn opgehaald.Recently pulled - Since new vulnerabilities are discovered every day, Azure Defender for container registries also scans any image that has been pulled within the last 30 days. Er zijn geen extra kosten verbonden aan het opnieuw scannen. Zoals hierboven gezegd, wordt u één keer per installatiekopie gefactureerd.There's no additional charge for a rescan; as mentioned above, you're billed once per image.

  • Bij import: Azure Container Registry heeft functies voor het importeren van installatiekopieën in uw register vanuit Docker Hub, Microsoft-containerregister of een ander Azure-containerregister.On import - Azure Container Registry has import tools to bring images to your registry from Docker Hub, Microsoft Container Registry, or another Azure container registry. Azure Defender voor containerregisters scant alle ondersteunde installatiekopieën die u importeert.Azure Defender for container registries scans any supported images you import. Zie Containerinstallatiekopieën importeren in een containerregister voor meer informatie.Learn more in Import container images to a container registry.

De scan wordt doorgaans binnen 2 minuten voltooid, maar kan tot 15 minuten duren.The scan completes typically within 2 minutes, but it might take up to 15 minutes. Bevindingen worden beschikbaar gesteld als Security Center-aanbevelingen zoals deze:Findings are made available as Security Center recommendations such as this one:

Voorbeeldaanbeveling van Azure Security Center over beveiligingsproblemen die zijn gedetecteerd in een gehoste installatiekopie in Azure Container Registry (ACR)Sample Azure Security Center recommendation about vulnerabilities discovered in an Azure Container Registry (ACR) hosted image

Hoe werkt Security Center met Azure Container Registry?How does Security Center work with Azure Container Registry

Hieronder vindt u een diagram op hoog niveau van de onderdelen en voordelen van het beveiligen van uw registers met Security Center.Below is a high-level diagram of the components and benefits of protecting your registries with Security Center.

Overzicht op hoog niveau van Azure Security Center en Azure Container Registry (ACR)

Veelgestelde vragen over het scannen van Azure Container Registry-installatiekopieënFAQ for Azure Container Registry image scanning

Hoe scant Security Center een installatiekopie?How does Security Center scan an image?

De installatiekopie wordt opgehaald uit het register.The image is pulled from the registry. Vervolgens wordt hij uitgevoerd in een geïsoleerde sandbox met de Qualys-scanner, die een lijst met bekende beveiligingsproblemen extraheert.It's then run in an isolated sandbox with the Qualys scanner that extracts a list of known vulnerabilities.

Security Center filtert en classificeert de resultaten van de scanner.Security Center filters and classifies findings from the scanner. Wanneer een installatiekopie in orde is, wordt deze als zodanig gemarkeerd door Security Center.When an image is healthy, Security Center marks it as such. Security Center genereert alleen aanbevelingen voor de beveiliging ten aanzien van installatiekopieën waarvoor problemen moeten worden opgelost.Security Center generates security recommendations only for images that have issues to be resolved. Door alleen een melding te geven als er problemen zijn, vermindert Security Center het potentieel voor ongewenste informatieve waarschuwingen.By only notifying when there are problems, Security Center reduces the potential for unwanted informational alerts.

Kan ik de scanresultaten verkrijgen via REST API?Can I get the scan results via REST API?

Ja.Yes. De resultaten staan onder Subevaluaties REST API.The results are under Sub-Assessments Rest API. U kunt ook gebruikmaken van Azure Resource Graph (ARG), de Kusto-achtige API voor al uw resources: een query kan een specifieke scan ophalen.Also, you can use Azure Resource Graph (ARG), the Kusto-like API for all of your resources: a query can fetch a specific scan.

Welke registertypen worden gescand?What registry types are scanned? Welke typen worden gefactureerd?What types are billed?

Zie Beschikbaarheidvoor een lijst met de typen containerregisters die worden ondersteund door Azure Defender voor containerregisters.For a list of the types of container registries supported by Azure Defender for container registries, see Availability.

Als u niet-ondersteunde registers verbindt met uw Azure-abonnement, worden deze niet gescand en worden er geen kosten in rekening gebracht.If you connect unsupported registries to your Azure subscription, they won't be scanned and you won't be billed for them.

Kan ik de bevindingen van de kwetsbaarheidsscanner aanpassen?Can I customize the findings from the vulnerability scanner?

Ja.Yes. Als u een organisatorische behoefte hebt om een resultaat te negeren in plaats van dit te herstellen, kunt u het eventueel uitschakelen.If you have an organizational need to ignore a finding, rather than remediate it, you can optionally disable it. Uitgeschakelde resultaten hebben geen invloed op uw beveiligingsscore en genereren geen ongewenste ruis.Disabled findings don't impact your secure score or generate unwanted noise.

Meer informatie over het maken van rollen om bevindingen uit te schakelen uit het geïntegreerde evaluatiehulpprogramma voor beveiligingsproblemen.Learn about creating rules to disable findings from the integrated vulnerability assessment tool.

Waarom krijg ik waarschuwingen van Security Center over kwetsbaarheden voor een installatiekopie die zich niet in mijn register bevindt?Why is Security Center alerting me to vulnerabilities about an image that isn’t in my registry?

Security Center biedt evaluaties van beveiligingsproblemen voor elke push- of pullbewerking voor een installatiekopie in een register.Security Center provides vulnerability assessments for every image pushed or pulled in a registry. Het kan zijn dat sommige installatiekopieën tags gebruiken van een installatiekopie die al is gescand.Some images may reuse tags from an image that was already scanned. U kunt bijvoorbeeld de tag 'Meest recent' telkens opnieuw toewijzen wanneer u een installatiekopie aan een samenvatting toevoegt.For example, you may reassign the tag “Latest” every time you add an image to a digest. In dergelijke gevallen is de 'oude' installatiekopie nog steeds aanwezig in het register en kan deze nog steeds worden opgehaald door de samenvatting.In such cases, the ‘old’ image does still exist in the registry and may still be pulled by its digest. Als er beveiligingsresultaten voor deze installatiekopie zijn en deze wordt opgehaald, worden er beveiligingsproblemen vastgesteld.If the image has security findings and is pulled, it'll expose security vulnerabilities.

Volgende stappenNext steps