Introduktion till Azure Defender för containerregister

Azure Container Registry (ACR) är en hanterad, privat Docker-registertjänst som lagrar och hanterar dina containeravbildningar för Azure-distributioner i ett centralt register. Den baseras på Docker Registry 2.0 med öppen källkod.

För att skydda Azure Resource Manager-baserade register i din prenumeration aktiverar du Azure Defender för containerregister på prenumerationsnivå. Azure Defender sedan igenom alla avbildningar när de push-skickas till registret, importeras till registret eller hämtas under de senaste 30 dagarna. Du debiteras för varje bild som genomsöks – en gång per bild.

Tillgänglighet

Aspekt Information
Utgivningstillstånd: Allmänt tillgänglig (GA)
Prissättning: Azure Defender för containerregister faktureras enligt prissättningssidan
Register och avbildningar som stöds: Linux-avbildningar i ACR-register som är tillgängliga från det offentliga Internet med gränssnittsåtkomst
ACR-register som skyddas med Azure Private Link
Register och avbildningar som inte stöds: Windows bilder
"Privata" register (såvida inte åtkomst beviljas till betrodda tjänster)
Super minimalistiska avbildningar som Docker-scratchavbildningar eller "Distroless"-avbildningar som endast innehåller ett program och dess körningsberoenden utan pakethanterare, gränssnitt eller operativsystem
Bildformatspecifikation för bilder med Open Container Initiative (OCI)
Nödvändiga roller och behörigheter: Säkerhetsläsare och Azure Container Registry roller och behörigheter
Moln: Kommersiella moln
Nationella/nationella (Azure Government, Azure China 21Vianet)

Vilka är fördelarna med Azure Defender för containerregister?

Security Center identifierar Azure Resource Manager ACR-register i din prenumeration och ger sömlös azure-intern sårbarhetsbedömning och hantering för registrets avbildningar.

Azure Defender för containerregister innehåller en sårbarhetsskanner som genomsöker bilderna i dina Azure Resource Manager-baserade Azure Container Registry-register och ger djupare insyn i bildernas sårbarheter. Den integrerade skannern drivs av Qualys, den branschledande leverantören av sårbarhetsgenomsökning.

När problem hittas – av Qualys eller Security Center – får du ett meddelande i Security Center instrumentpanel. För varje säkerhetsrisk Security Center rekommendationer, tillsammans med en allvarlighetsgrad och vägledning för hur du åtgärdar problemet. Mer information om Security Center rekommendationerna för containrar finns i referenslistan över rekommendationer.

Security Center filtrerar och klassificerar resultat från skannern. När en bild är felfri Security Center markerar den som sådan. Security Center genererar endast säkerhetsrekommendationer för avbildningar som har problem som ska lösas. Security Center innehåller information om varje rapporterad säkerhetsrisk och en allvarlighetsgrad. Dessutom ger den vägledning för hur du åtgärdar de specifika säkerhetsrisker som finns på varje avbildning.

Genom att endast meddela när det finns problem Security Center minskar risken för oönskade informationsaviseringar.

Tips

Mer information om Security Center säkerhetsfunktioner för containrar finns i:

När genomsöks bilder?

Det finns tre utlösare för en bildgenomsökning:

  • Push-meddelanden – När en avbildning skickas till registret genomsöks Security Center avbildningen automatiskt. Du utlöser genomsökningen av en avbildning genom att skicka den till din lagringsplats.

  • Nyligen draget – Eftersom nya sårbarheter upptäcks varje dag, genomsöker Azure Defender för containerregister också varje vecka alla avbildningar som har tagits under de senaste 30 dagarna. Det tillkommer inga extra avgifter för dessa nya genomsökningar. som nämnts ovan debiteras du en gång per bild.

  • Vid import – Azure Container Registry har importverktyg för att hämta avbildningar till registret från Docker Hub, Microsoft Container Registry eller något annat Azure-containerregister. Azure Defender efter containerregister genomsöker alla avbildningar som stöds och som du importerar. Läs mer i Importera containeravbildningar till ett containerregister.

Genomsökningen slutförs vanligtvis inom 2 minuter, men det kan ta upp till 15 minuter. Resultaten görs tillgängliga som Security Center rekommendationer som den här:

Exempel Azure Security Center om sårbarheter som identifierats i en ACR Azure Container Registry avbildning (Azure Container Registry).

Hur fungerar Security Center med Azure Container Registry

Nedan visas ett översiktsdiagram över komponenterna och fördelarna med att skydda dina register med Security Center.

Azure Security Center översikt Azure Container Registry (ACR) på hög nivå.

Vanliga frågor och svar – Azure Container Registry bildgenomsökning

Hur skannar Security Center en bild?

Security Center hämtar avbildningen från registret och kör den i en isolerad sandbox-miljö med Qualys-skannern. Skannern extraherar en lista över kända säkerhetsrisker.

Security Center filtrerar och klassificerar resultat från skannern. När en bild är felfri Security Center markerar den som sådan. Security Center genererar endast säkerhetsrekommendationer för avbildningar som har problem som ska lösas. Genom att endast meddela dig när det finns problem Security Center minskar risken för oönskade informationsaviseringar.

Kan jag få genomsökningsresultaten via REST API?

Ja. Resultaten finns i REST API för underutvärderingar. Du kan också använda Azure Resource Graph (ARG), det Kusto-liknande API:et för alla dina resurser: en fråga kan hämta en specifik genomsökning.

Vilka registertyper genomsöks? Vilka typer faktureras?

En lista över de typer av containerregister som stöds av Azure Defender för containerregister finns i Tillgänglighet.

Om du ansluter register som inte stöds till din Azure-prenumeration Azure Defender inte igenom dem och debiterar dig inte för dem.

Kan jag anpassa resultaten från sårbarhetsskannern?

Ja. Om du har en organisation som behöver ignorera en finding (hitta) i stället för att åtgärda den kan du inaktivera den om du vill. Inaktiverade resultat påverkar inte din säkerhetspoäng eller genererar oönskade brus.

Lär dig mer om att skapa regler för att inaktivera resultat från det integrerade sårbarhetsbedömningsverktyget.

Varför Security Center avisering om sårbarheter i en avbildning som inte finns i mitt register?

Security Center sårbarhetsbedömningar för varje avbildning som push-skickas eller hämtas i ett register. Vissa bilder kan återanvända taggar från en bild som redan har genomsökts. Du kan till exempel omtilldela taggen "Senaste" varje gång du lägger till en avbildning i en sammanfattning. I sådana fall finns den "gamla" avbildningen fortfarande i registret och kan fortfarande hämtas av dess sammanfattning. Om avbildningen har säkerhetsresultat och hämtas exponeras säkerhetsproblem.

Nästa steg