Kapsayıcı kayıt defterleri için Microsoft Defender'a giriş
Not
Azure Güvenlik Merkezi ve Azure Defender artık Bulut için Microsoft Defender olarak adlandırılan bir yazılımdır. Ayrıca, microsoft Azure Defender Microsoft Defender planları olarak yeniden adlandırıldı. Örneğin, Azure Defender artık Depolama için Microsoft Defender Depolama.
Azure Container Registry (ACR), merkezi bir kayıt defterinde Azure dağıtımları için kapsayıcı görüntülerinizi depolar ve yöneten, yönetilen, özel bir Docker kayıt defteri hizmetidir. Açık kaynak Docker Registry 2.0'ı temel alan bir dosyadır.
Aboneliğinizin Azure Resource Manager kayıt defterlerini korumak için abonelik düzeyinde kapsayıcı kayıt defterleri için Microsoft Defender'ı etkinleştirin. Ardından Bulut için Defender, kayıt defterine aktarılan, kayıt defterine aktarılan veya son 30 gün içinde çekilen tüm görüntüleri tarar. Taranan her görüntü (görüntü başına bir kez) için ücret tahsil edilecektir.
Kullanılabilirlik
| Görünüş | Ayrıntılar |
|---|---|
| Yayın durumu: | Genel kullanıma açık (GA) |
| Fiyatlandırma: | Kapsayıcı kayıt defterleri için Microsoft Defender, fiyatlandırma sayfasında gösterildiği gibi faturalandırıldı |
| Desteklenen kayıt defterleri ve görüntüler: | Kabuk erişimiyle genel internetten erişilebilen ACR kayıt defterleri içinde Linux görüntüleri ACR kayıt defterleri Azure Özel Bağlantı |
| Desteklenmeyen kayıt defterleri ve görüntüler: | Windows görüntüleri 'Özel' kayıt defterleri (Güvenilen Hizmetlere erişim verilmediği sürece) Docker karalama görüntüleri gibi süper görüntüler veya paket yöneticisi, kabuk veya işletim sistemi olmadan yalnızca bir uygulamayı ve çalışma zamanı bağımlılıklarını içeren "Distroless" görüntüleri Open Container Initiative (OCI) Görüntü Biçimi Belirtimi ile Görüntüler |
| Gerekli roller ve izinler: | Güvenlik okuyucusu ve Azure Container Registry izinlerini yönetme |
| Bulut: | 
Ticari bulutlar
Ulusal (Azure Kamu, Azure China 21Vianet) |
Kapsayıcı kayıt defterleri için Microsoft Defender'ın avantajları nelerdir?
Bulut için Defender Azure Resource Manager ACR kayıt defterlerini tanımlar ve kayıt defterinizin görüntüleri için Azure'a özel güvenlik açığı değerlendirmesi ve yönetimi sağlar.
Kapsayıcı kayıt defterleri için Microsoft Defender, Azure Resource Manager tabanlı Azure Container Registry kayıt defterlerinize görüntüleri taramak ve görüntü güvenlik açıklarına daha derin görünürlük sağlamak için bir güvenlik açığı tarayıcısı içerir. Tümleşik tarayıcı, sektör lideri güvenlik açığı tarama satıcısı Qualys tarafından güçlendirilmiştir.
Sorunlar (Qualys veya Bulut için Defender tarafından) bulunursa, iş yükü koruma panosunda size bildirilecek. Her güvenlik açığı için, Bulut için Defender, önem derecesi sınıflandırması ile birlikte eyleme değiştirilebilir öneriler ve sorunu düzeltmeye yönelik rehberlik sağlar. Bulut için Defender'ın kapsayıcılara ilişkin önerilerinin ayrıntıları için önerilerin başvuru listesine bakın.
Bulut için Defender, tarayıcıdaki bulguları filtreler ve sınıflar. Görüntü iyi durumda olduğunda, Bulut için Defender bunu bu şekilde işaretler. Bulut için Defender, yalnızca çözülmesi gereken sorunları olan görüntüler için güvenlik önerileri üretir. Bulut için Defender bildirilen her güvenlik açığının ayrıntılarını ve önem derecesi sınıflandırmasını sağlar. Ayrıca, her görüntüde bulunan belirli güvenlik açıklarını düzeltmeye yönelik rehberlik sağlar.
Yalnızca sorun olduğunda bildirerek, Bulut için Defender istenmeyen bilgilendirme uyarıları potansiyelini azaltır.
İpucu
Bulut için Defender'ın kapsayıcı güvenliği özellikleri hakkında daha fazla bilgi edinmek için bkz:
Görüntüler ne zaman taranır?
Görüntü taraması için üç tetikleyici vardır:
Anında yüklemede - Kayıt defterinize bir görüntü her görüntü her itilirken, kapsayıcı kayıt defterleri için Defender bu görüntüyü otomatik olarak tarar. Bir görüntünün taramasını tetiklemek için bunu depoya itin.
Son zamanlarda çekme - Her gün yeni güvenlik açıkları keşfedilen kapsayıcı kayıt defterleri için Microsoft Defender, son 30 gün içinde çekilen tüm görüntüleri haftalık olarak tarar. Bu yenidencan'lar için ek ücret yoktur; Yukarıda belirtildiği gibi, görüntü başına bir kez faturalandırabilirsiniz.
İçeri aktarmada - Azure Container Registry, depolama veya başka bir Azure kapsayıcı kayıt defterinden Docker Hub Microsoft Container Registry içeri aktarma araçları vardır. Kapsayıcı kayıt defterleri için Microsoft Defender, içeri aktarmış olduğunuz desteklenen görüntüleri tarar. Kapsayıcı görüntülerini kapsayıcı kayıt defterine aktarma hakkında daha fazla bilgi edinin.
Tarama genellikle 2 dakika içinde tamamlanır, ancak 40 dakikaya kadar sürebilir. Bulgular, şöyle bir güvenlik önerisi olarak kullanılabilir:
Bulut için Defender bulut ile nasıl Azure Container Registry
Aşağıda, Bulut için Defender ile kayıt defterlerinizi korumanın bileşenlerine ve avantajlarına yönelik üst düzey bir diyagram verilmiştir.
SSS - Azure Container Registry tarama
Bulut için Defender bir görüntüyü nasıl tarar?
Bulut için Defender, görüntüyü kayıt defterinden çeker ve Qualys tarayıcısıyla yalıtılmış bir korumalı alanda çalıştırır. Tarayıcı, bilinen güvenlik açıklarının listesini ayıklar.
Bulut için Defender, tarayıcıdaki bulguları filtreler ve sınıflar. Görüntü iyi durumda olduğunda, Bulut için Defender bunu bu şekilde işaretler. Bulut için Defender, yalnızca çözülmesi gereken sorunları olan görüntüler için güvenlik önerileri üretir. Yalnızca sorun olduğunda size bildirerek, Bulut için Defender istenmeyen bilgilendirme uyarıları potansiyelini azaltır.
Tarama sonuçlarını REST API?
Evet. Sonuçlar Alt Değerlendirmeler REST API’si altında yer alır. Ayrıca, tüm kaynaklarınız için Kusto Graph API'si olan Azure Resource Graph (ARG) kullanabilirsiniz: Sorgu belirli bir taramayı getirebilirsiniz.
Hangi kayıt defteri türleri taranır? Hangi türler faturalandır?
Kapsayıcı kayıt defterleri için Microsoft Defender tarafından desteklenen kapsayıcı kayıt defterleri türlerinin listesi için bkz. Kullanılabilirlik.
Desteklenmeyen kayıt defterlerini Azure aboneliğinize bağlarsanız, Bulut için Defender bunları taramaz ve sizin için faturalandıramaz.
Güvenlik açığı tarayıcılarından gelen bulguları özelleştirilebilir miyim?
Evet. Bir bulma özelliğini yok saymanız gereken bir kuruluş varsa, bunu düzeltmek yerine isteğe bağlı olarak devre dışı abilirsiniz. Devre dışı bulgular güvenlik puanınızı etkilemez veya istenmeyen gürültü oluşturmaz.
Bulut için Defender neden kayıt defterimde olmayan bir görüntüyle ilgili güvenlik açıkları konusunda beni uyarıyor?
Bulut için Defender, bir kayıt defterine itilmiş veya çekilmiş her görüntü için güvenlik açığı değerlendirmeleri sağlar. Bazı görüntüler, taranmış bir görüntüdeki etiketleri yeniden kullanabilir. Örneğin, bir özete her görüntü eklerken "Latest" etiketini yeniden atamanız gerekir. Bu gibi durumlarda, 'eski' görüntü kayıt defterinde hala mevcuttur ve yine de özeti tarafından çekilebilir. Görüntüde güvenlik bulguları varsa ve çekilirse güvenlik açıkları ortaya çıkar.