Introdução ao Microsoft Defender para Registros de Contêiner (preterido)

Observação

A Central de Segurança do Azure e o Azure Defender agora se chamam Microsoft Defender para Nuvem. Também renomeamos os planos do Azure Defender para planos do Microsoft Defender. Por exemplo, o Azure Defender para Armazenamento agora é o Microsoft Defender para Armazenamento. Saiba mais sobre a renomeação recente dos serviços de segurança da Microsoft.

O ACR (Registro de Contêiner do Azure) é um serviço de registro gerenciado e privado do Docker que armazena e gerencia suas imagens de contêiner para implantações do Azure em um registro central. Ele é baseado no Registro do Docker 2.0 de software livre.

Para proteger os registros de sua assinatura baseados no Azure Resource Manager, habilite o Microsoft Defender para registros de contêiner no nível da assinatura. O Defender para Nuvem examinará todas as imagens quando elas forem enviadas por push para o registro, importadas para o registro ou extraídas nos últimos 30 dias. Você será cobrado uma vez por cada imagem examinada.

Disponibilidade

Importante

O Microsoft Defender para registros de contêiner foi substituído pelo Microsoft Defender para Contêineres. Se você já tiver habilitado o Defender para registros de contêiner em uma assinatura, poderá continuar a usá-lo. No entanto, você não obterá melhorias e novos recursos do Defender para Contêineres.

Esse plano não está mais disponível para assinaturas em que ele ainda não está habilitado.

Para atualizar para o Microsoft Defender para Contêineres, abra a página planos do Defender no portal e habilite o novo plano:

Enable Microsoft Defender for Containers from the Defender plans page.

Saiba mais sobre essa alteração na nota sobre a versão.

Aspecto Detalhes
Estado da versão: GA (em disponibilidade geral)
Preço: O Microsoft Defender para registros de contêiner é cobrado conforme mostrado na página de preços
Registros e imagens com suporte: Imagens do Linux em registros do ACR acessíveis na Internet pública com acesso de shell
Registros do ACR protegidos com Link Privado do Azure
Registros e imagens sem suporte: Imagens do Windows
Registros "privados" (a menos que seja concedido acesso aos Serviços Confiáveis)
Imagens extremamente minimalistas, como imagens scratch do Docker, ou imagens "Distroless" que contêm apenas um aplicativo e as dependências de runtime dele sem gerenciador de pacotes, shell nem SO
Imagens com Especificação de formato de imagem de OCI (Open Container Initiative)
Funções e permissões necessárias: Leitor de segurança e funções e permissões do Registro de Contêiner do Azure
Nuvens: Nuvens comerciais
Nacional (Azure Governamental, Azure China 21Vianet)

Quais são os benefícios do Microsoft Defender para registros de contêiner?

O Defender para Nuvem identifica os registros do ACR baseados no Azure Resource Manager de sua assinatura e fornece diretamente a avaliação e o gerenciamento nativos do Azure das vulnerabilidades para as imagens do registro.

O Microsoft Defender para registros de contêiner inclui um verificador de vulnerabilidade para verificar as imagens nos seus registros do Registro de Contêiner do Azure baseados no Azure Resource Manager e fornecer uma visibilidade mais profunda das vulnerabilidades de suas imagens. O verificador integrado é fornecido pela Qualys, o fornecedor líder do setor de verificação de vulnerabilidades.

Quando forem encontrados problemas, seja pela Qualys ou pelo Defender para Nuvem, você será notificado no painel de proteção de cargas de trabalho. Para cada vulnerabilidade, o Defender para Nuvem fornece recomendações práticas, juntamente com uma classificação de severidade e diretrizes sobre como corrigir o problema. Para obter detalhes das recomendações do Defender para Nuvem para contêineres, confira a lista de referência de recomendações.

O Defender para Nuvem filtra e classifica as descobertas do verificador. Quando uma imagem está íntegra, o Defender para Nuvem a marca como tal. O Defender para Nuvem gera recomendações de segurança apenas para as imagens que têm problemas a serem resolvidos. Ele fornece detalhes de cada vulnerabilidade relatada e uma classificação de severidade. Além disso, oferece diretrizes de como corrigir as vulnerabilidades específicas encontradas em cada imagem.

Notificando você apenas quando há problemas, o Defender para Nuvem reduz o potencial de alertas informativos indesejados.

Quando as imagens são verificadas?

Há três gatilhos para uma verificação de imagem:

  • No momento do push – sempre que uma imagem é enviada por push ao registro, o Defender para registros de contêiner verifica automaticamente essa imagem. Para disparar a verificação de uma imagem, envie-a por push ao repositório.

  • Recém-extraída – como novas vulnerabilidades são descobertas todos os dias, o Microsoft Defender para registros de contêiner também verifica, semanalmente, qualquer imagem que tenha sido extraída nos últimos 30 dias. Não há nenhum custo adicional para esses novos exames; conforme mencionado acima, você é cobrado uma vez por imagem.

  • No momento da importação: o Registro de Contêiner do Azure tem ferramentas de importação para levar as imagens do Docker Hub, do Registro de Contêiner da Microsoft ou de outro registro de contêiner do Azure para o seu registro. O Microsoft Defender para registros de contêiner examina as imagens compatíveis importadas. Saiba mais em Importar imagens de contêiner para um registro de contêiner.

Normalmente, a verificação é concluída em 2 minutos, mas pode levar até 40 minutos. As descobertas são disponibilizadas como recomendações de segurança como esta:

Sample Microsoft Defender for Cloud recommendation about vulnerabilities discovered in an Azure Container Registry (ACR) hosted image.

Como o Defender para Nuvem funciona com o Registro de Contêiner do Azure

Veja abaixo um diagrama de alto nível dos componentes e dos benefícios de proteger seus registros com o Defender para Nuvem.

Microsoft Defender for Cloud and Azure Container Registry (ACR) high-level overview.

Perguntas frequentes sobre a verificação de imagens do Registro de Contêiner do Azure

Como o Defender para Nuvem examina uma imagem?

O Defender para Nuvem efetua pull da imagem do registro e a executa em uma área restrita isolada com o verificador Qualys. O verificador extrai uma lista de vulnerabilidades conhecidas.

O Defender para Nuvem filtra e classifica as descobertas do verificador. Quando uma imagem está íntegra, o Defender para Nuvem a marca como tal. O Defender para Nuvem gera recomendações de segurança apenas para as imagens que têm problemas a serem resolvidos. Notificando você apenas quando há problemas, o Defender para Nuvem reduz o potencial de alertas informativos indesejados.

Posso obter os resultados da verificação por meio da API REST?

Sim. Os resultados ficam na API REST de Subavaliações. Além disso, você pode usar o ARG (Azure Resource Graph), a API semelhante ao Kusto para todos os seus recursos: uma consulta pode buscar uma verificação específica.

Quais tipos de registro são verificados? Quais tipos são cobrados?

Para obter uma lista dos tipos de registros de contêiner compatíveis com o Microsoft Defender para registros de contêiner, confira Disponibilidade.

Se você conectar registros sem suporte à sua assinatura do Azure, o Defender para Nuvem não os verificará nem cobrará por eles.

Posso personalizar as descobertas do verificador de vulnerabilidades?

Sim. Caso você tenha uma necessidade organizacional para ignorar uma descoberta, em vez de corrigi-la, você pode opcionalmente desabilitá-la. As descobertas desabilitadas não afetam sua classificação de segurança nem geram um ruído indesejado.

Saiba mais sobre como criar regras para desabilitar as descobertas da ferramenta de avaliação de vulnerabilidade integrada.

Por que o Defender para Nuvem está me alertando sobre as vulnerabilidades de uma imagem que não está no meu registro?

O Defender para Nuvem fornece avaliações de vulnerabilidade de todas as imagens das quais foi efetuado pull ou push em um registro. Algumas imagens podem reutilizar marcações de uma imagem que já foi verificada. Por exemplo, você pode transferir a marcação "Mais recente" sempre que adicionar uma imagem a um resumo. Nesses casos, a imagem antiga ainda existe no registro e pode ser extraída pelo resumo. Se a imagem tiver descobertas de segurança e for extraída, ela vai expor vulnerabilidades.

Próximas etapas