Introduktion till Microsoft Defender för containerregister
Anteckning
Azure Security Center och Azure Defender heter nu Microsoft Defender för molnet. Vi har också bytt namn Azure Defender till Microsoft Defender-planer. Till exempel är Azure Defender för Storage microsoft Defender för Storage.
Läs mer om det senaste namnbytet av Microsofts säkerhetstjänster.
Azure Container Registry (ACR) är en hanterad, privat Docker-registertjänst som lagrar och hanterar dina containeravbildningar för Azure-distributioner i ett centralt register. Den baseras på Docker Registry 2.0 med öppen källkod.
För att skydda Azure Resource Manager-baserade register i din prenumeration aktiverar du Microsoft Defender för containerregister på prenumerationsnivå. Defender for Cloud genomsöker sedan alla avbildningar när de push-skickas till registret, importeras till registret eller hämtas under de senaste 30 dagarna. Du debiteras för varje bild som genomsöks – en gång per bild.
Tillgänglighet
| Aspekt | Information |
|---|---|
| Utgivningstillstånd: | Allmänt tillgänglig (GA) |
| Prissättning: | Microsoft Defender för containerregister faktureras enligt prissättningssidan |
| Register och avbildningar som stöds: | Linux-avbildningar i ACR-register som är tillgängliga från det offentliga Internet med gränssnittsåtkomst ACR-register som skyddas med Azure Private Link |
| Register och avbildningar som inte stöds: | Windows bilder "Privata" register (såvida inte åtkomst beviljas till betrodda tjänster) Super minimalistiska avbildningar som Docker-scratchavbildningar eller "Distroless"-avbildningar som endast innehåller ett program och dess körningsberoenden utan pakethanterare, gränssnitt eller operativsystem Bildformatspecifikation för bilder med Open Container Initiative (OCI) |
| Nödvändiga roller och behörigheter: | Säkerhetsläsare och Azure Container Registry roller och behörigheter |
| Moln: | 
Kommersiella moln
Nationella (Azure Government, Azure China 21Vianet) |
Vilka är fördelarna med Microsoft Defender för containerregister?
Defender for Cloud identifierar Azure Resource Manager ACR-register i din prenumeration och tillhandahåller sömlös azure-intern sårbarhetsbedömning och hantering för registrets avbildningar.
Microsoft Defender för containerregister innehåller en sårbarhetsskanner som genomsöker bilderna i dina Azure Resource Manager-baserade Azure Container Registry-register och ger djupare insyn i bildernas sårbarheter. Den integrerade skannern drivs av Qualys, den branschledande leverantören av sårbarhetsgenomsökning.
När problem hittas – av Qualys eller Defender for Cloud – får du ett meddelande på instrumentpanelen för arbetsbelastningsskydd. För varje säkerhetsrisk ger Defender for Cloud användbara rekommendationer, tillsammans med en allvarlighetsgrad och vägledning för hur du åtgärdar problemet. Mer information om Defender for Clouds rekommendationer för containrar finns i referenslistan över rekommendationer.
Defender for Cloud filtrerar och klassificerar resultat från skannern. När en avbildning är felfri markerar Defender för moln den som sådan. Defender for Cloud genererar endast säkerhetsrekommendationer för avbildningar som har problem som ska lösas. Defender for Cloud innehåller information om varje rapporterad säkerhetsrisk och en allvarlighetsgrad. Dessutom ger den vägledning för hur du åtgärdar de specifika säkerhetsrisker som finns på varje avbildning.
Genom att endast meddela när det finns problem minskar Defender for Cloud risken för oönskade informationsaviseringar.
Tips
Mer information om Defender för molnets funktioner för containersäkerhet finns i:
När genomsöks bilder?
Det finns tre utlösare för en bildsökning:
Push-meddelanden – När en avbildning skickas till registret genomsöker Defender för containerregister automatiskt avbildningen. Du utlöser genomsökningen av en avbildning genom att push-skicka den till din lagringsplats.
Nyligen draget – Eftersom nya sårbarheter upptäcks varje dag genomsöker Microsoft Defender för containerregister även varje vecka alla avbildningar som har tagits under de senaste 30 dagarna. Det tillkommer inga extra avgifter för dessa nya genomsökningar. som nämnts ovan debiteras du en gång per bild.
Vid import – Azure Container Registry har importverktyg för att hämta avbildningar till registret från Docker Hub, Microsoft Container Registry eller något annat Azure-containerregister. Microsoft Defender för containerregister genomsöker alla avbildningar som stöds och som du importerar. Läs mer i Importera containeravbildningar till ett containerregister.
Genomsökningen slutförs vanligtvis inom 2 minuter, men det kan ta upp till 40 minuter. Resultaten görs tillgängliga som säkerhetsrekommendationer som den här:
Hur fungerar Defender for Cloud med Azure Container Registry
Nedan visas ett översiktsdiagram över komponenterna och fördelarna med att skydda dina register med Defender for Cloud.
Vanliga frågor och svar – Azure Container Registry bildgenomsökning
Hur genomsöker Defender for Cloud en avbildning?
Defender for Cloud hämtar avbildningen från registret och kör den i en isolerad sandbox-miljö med Qualys-skannern. Skannern extraherar en lista över kända säkerhetsrisker.
Defender for Cloud filtrerar och klassificerar resultat från skannern. När en avbildning är felfri markerar Defender för moln den som sådan. Defender for Cloud genererar endast säkerhetsrekommendationer för avbildningar som har problem som ska lösas. Genom att endast meddela dig när det uppstår problem minskar Defender for Cloud risken för oönskade informationsaviseringar.
Kan jag få genomsökningsresultaten via REST API?
Ja. Resultaten finns i REST API för underutvärderingar. Du kan också använda Azure Resource Graph (ARG), det Kusto-liknande API:et för alla dina resurser: en fråga kan hämta en specifik genomsökning.
Vilka registertyper genomsöks? Vilka typer faktureras?
En lista över de typer av containerregister som stöds av Microsoft Defender för containerregister finns i Tillgänglighet.
Om du ansluter register som inte stöds till din Azure-prenumeration genomsöker inte Defender for Cloud dem och debiterar dig inte för dem.
Kan jag anpassa resultaten från sårbarhetsskannern?
Ja. Om du har en organisation som behöver ignorera en upptäckt i stället för att åtgärda den kan du inaktivera den om du vill. Inaktiverade resultat påverkar inte din säkerhetspoäng eller genererar oönskade brus.
Varför varnar Defender for Cloud mig om sårbarheter om en avbildning som inte finns i mitt register?
Defender for Cloud tillhandahåller sårbarhetsbedömningar för varje avbildning som push-skickas eller hämtas i ett register. Vissa bilder kan återanvända taggar från en bild som redan har genomsökts. Du kan till exempel omtilldela taggen "Senaste" varje gång du lägger till en avbildning i en sammanfattning. I sådana fall finns den "gamla" avbildningen fortfarande i registret och kan fortfarande hämtas av dess sammanfattning. Om avbildningen har säkerhetsresultat och hämtas exponeras säkerhetsproblem.