Общие сведения об Azure Defender для реестров контейнеров

Реестр контейнеров Azure (ACR) — это управляемая служба частного реестра контейнеров Docker, которая сохраняет образы контейнеров для развертываний Azure в центральном реестре и управляет ими. Она основана на решении Docker Registry 2.0 с открытым кодом.

Для защиты всех реестров на основе Azure Resource Manager в своей подписке включите Azure Defender для реестров контейнеров на уровне подписки. После этого Центр безопасности начнет проверять образы, отправляемые в реестр, импортируемые в реестр или извлеченные за последние 30 дней. Плата за использование этой функции взимается за каждый образ.

Доступность

Аспект Сведения
Состояние выпуска: Общедоступная версия (GA)
Цены Плата за использование Azure Defender для реестров контейнеров начисляется по тарифам, приведенным на странице с ценами.
Поддерживаемые реестры и образы: Образы Linux в реестрах ACR, доступные из общедоступного Интернета через оболочку.
Неподдерживаемые реестры и образы: Образы Windows
"Частные" реестры.
Реестры с доступом, ограниченным брандмауэром, конечной точкой службы или частными конечными точками, например Приватным каналом Azure.
Сверхминималистические образы, например временные образы Docker или "бездистрибутивные" образы, которые содержат только приложение и его зависимости для среды выполнения без диспетчера пакетов, оболочки или ОС.
Требуемые роли и разрешения Читатель сведений о безопасности, а также роли и разрешения Реестра контейнеров Azure.
Облако. Коммерческие облака
US Gov и China Gov — в настоящее время поддерживается только функция проверки или принудительной отправки. Подробные сведения см. в статье Когда проверяются образы?

Каковы преимущества Azure Defender для реестров контейнеров?

Центр безопасности идентифицирует реестры ACR на основе Azure Resource Manager в вашей подписке и обеспечивает эффективную оценку уязвимостей в образах реестров и управление ими.

Azure Defender для реестров контейнеров включает средство проверки уязвимостей для проверки образов в реестрах ACR на основе Azure Resource Manager и позволяет больше узнать об уязвимостях образов. Интегрированное средство проверки работает на основе Qualys, ведущего поставщика решений для проверки уязвимостей.

При обнаружении проблем службами Qualys или самого Центра безопасности вы получите уведомления на панели мониторинга Центра безопасности. Для каждой обнаруженной уязвимости Центр безопасности предоставляет практические рекомендации, а также классификацию серьезности и инструкции по исправлению проблемы. Подробные сведения о рекомендациях Центра безопасности для контейнеров см. в справочном списке рекомендаций.

Центр безопасности фильтрует и классифицирует результаты работы сканера. Если образ считается работоспособным, Центр безопасности присваивает ему соответствующий статус. Центр безопасности создает рекомендации по безопасности только для тех образов, в которых есть требующие решения проблемы. Центр безопасности предоставляет сведения о каждой зарегистрированной уязвимости, а также классификации серьезности. Кроме того, он создает рекомендации по устранению определенных уязвимостей, обнаруженных в каждом образе.

Благодаря тому, что Центр безопасности извещает только о наличии проблем, снижается вероятность нежелательных информационных оповещений.

Совет

Дополнительные сведения о возможностях защиты контейнеров в Центре безопасности см. в следующих статьях:

Когда проверяются образы?

Проверка образов запускается по трем триггерам:

  • При отправке. Центр безопасности автоматически проверяет образ при его отправке в реестр. Чтобы запустить проверку, выполните операцию отправки образа в репозиторий.

  • Недавно извлеченные. Так как новые уязвимости обнаруживаются каждый день, Azure Defender для реестров контейнеров также еженедельно проверяет все образы, которые были извлечены за последние 30 дней. Дополнительная плата за такие повторные проверки не взимается. Как сказано выше, счет выставляется за образ.

  • При импорте. Реестр контейнеров Azure включает средства импорта, позволяющие переносить в реестр образы из Docker Hub, Реестра контейнеров Майкрософт и других реестров контейнеров Azure. Azure Defender для реестров контейнеров проверяет все поддерживаемые импортируемые образы. Подробные сведения см. в статье Импорт образов контейнеров в реестр контейнеров.

Обычно проверка выполняется за 2 минуты, но в некоторых случаях может длиться до 15 минут. Результаты предоставляются в виде рекомендаций Центра безопасности, например такой:

Пример рекомендации Центра безопасности Azure об уязвимостях, которые были обнаружены в образе, размещенном в Реестре контейнеров Azure (ACR)

Принципы работы Центра безопасности с Реестром контейнеров Azure

Ниже приведена подробная схема компонентов для защиты реестров с помощью Центра безопасности и преимущества такой защиты.

Подробный обзор Центра безопасности Azure и Реестра контейнеров Azure (ACR)

Вопросы и ответы по проверке образов в Реестре контейнеров Azure

Как Центр безопасности проверяет образ?

Центр безопасности извлекает образ из реестра и запускает его в изолированной песочнице с помощью средства проверки Qualys. Средство проверки извлекает список известных уязвимостей.

Центр безопасности фильтрует и классифицирует результаты работы сканера. Если образ считается работоспособным, Центр безопасности присваивает ему соответствующий статус. Центр безопасности создает рекомендации по безопасности только для тех образов, в которых есть требующие решения проблемы. Благодаря тому, что Центр безопасности информирует только об обнаруженных проблемах, снижается вероятность получения нежелательных информационных оповещений.

Можно ли получить результаты проверки через REST API?

Да. Результаты предоставляются через REST API дополнительных оценок. Кроме того, вы можете использовать Azure Resource Graph (работающий по принципу Kusto API) для всех ресурсов: запрос может получать данные об определенной проверке.

Какие типы реестра проверяются? За какие типы взимается плата?

Список типов реестров контейнеров, поддерживаемых Azure Defender, см. в разделе Доступность.

Если вы подключаете неподдерживаемые реестры к подписке Azure, Azure Defender не будет проверять их и не будет выставлять счета за них.

Можно ли настроить результаты проверки уязвимостей?

Да. Если правила вашей организации требуют игнорировать обнаруженную проблему, а не исправлять ее, вы можете исключить ее из результатов поиска. Отключенные результаты не учитываются в оценке безопасности и не создают нежелательный шум.

См. сведения о создании правил для отключения результатов из встроенного средства оценки уязвимостей.

Почему Центр безопасности предупреждает об уязвимостях образа, которого нет в моем реестре?

Центр безопасности выполняет оценку уязвимостей для каждого образа, отправляемого в реестр или извлекаемого из него. В некоторых образах могут повторно использоваться теги из уже проверенного образа. Например, тег Latest (Последний) можно повторно назначать каждый раз при добавлении образа в хэш. В таких случаях "старый" образ по-прежнему существует в реестре и по-прежнему может быть извлечен его хэшем. Если образ содержит проблемы безопасности, при извлечении он представляет собой уязвимость для системы безопасности.

Дальнейшие действия