你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Microsoft Defender 漏洞管理进行 Azure 漏洞评估
由 Microsoft Defender 漏洞管理提供支持的 Azure 漏洞评估是一种现成的解决方案,使安全团队能够轻松发现和修复容器映像中的漏洞,零配置启动,无需部署任何代理。
注意
此功能仅支持扫描 Azure 容器注册表 (ACR) 中的图像。 应将存储在其他容器注册表中的映像导入到 ACR 中以实现覆盖。 了解如何将容器映像导入容器注册表。
在启用此功能的每个订阅中,ACR 中存储的满足扫描触发器标准的所有映像都会被扫描以查找漏洞,而无需任何额外的用户或注册表配置。 为 ACR 中的所有映像,以及当前在 AKS 中运行的、从 ACR 注册表或任何其他 Defender for Cloud 支持的注册表(ECR、GCR 或 GAR)中拉取的映像提供了漏洞报告建议。 将映像添加到注册表后,将会立即对其进行扫描,并每隔 24 小时重新扫描一次新的漏洞。
由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估具有以下功能:
- 扫描 OS 包 - 容器漏洞评估能够扫描 Linux 和 Windows OS 中 OS 包管理器安装的包中的漏洞。 请参阅受支持的 OS 及其版本的完整列表。
- 特定于语言的包 - 仅限 Linux - 支持特定于语言的包和文件,以及在没有 OS 包管理器的情况下安装或复制的依赖项。 请参阅受支持的语言的完整列表。
- Azure 专用链接中的映像扫描 - Azure 容器漏洞评估提供扫描可通过 Azure 专用链接访问的容器注册表中的映像的功能。 此功能需要访问受信任的服务并使用注册表进行身份验证。 了解如何允许受信任的服务进行访问。
- 可利用性信息 - 通过可利用性数据库搜索每个漏洞报告,以帮助客户确定与每个报告的漏洞关联的实际风险。
- 报告 - 由 Microsoft Defender 漏洞管理提供支持的 Azure 容器漏洞评估使用以下建议提供漏洞报告:
这些新建议会报告运行时容器漏洞和注册表映像漏洞。 它们目前以预览版提供,但将来会取代旧建议。 这些新建议在预览期间不计入安全分数。 两组建议的扫描引擎是相同的。
| 建议 | 说明 | 评估密钥 |
|---|---|---|
| [预览] Azure 注册表中的容器映像应解决漏洞问题 | Defender for Cloud 会扫描注册表映像中是否存在已知漏洞 (CVE),并提供每个扫描映像的详细结果。 扫描并修正注册表中容器映像的漏洞有助于维护安全可靠的软件供应链,降低安全事件风险,并确保符合行业标准。 | 33422d8f-ab1e-42be-bc9a-38685bb567b9 |
| [预览]在 Azure 中运行的容器应解决漏洞问题 | Defender for Cloud 会创建 Kubernetes 群集中当前运行的所有容器工作负载的清单,并通过匹配正在使用的映像和为注册表映像创建的漏洞报告来提供这些工作负载的漏洞报告。 扫描并修正容器工作负载的漏洞对于确保强大且安全的软件供应链、降低安全事件风险和确保符合行业标准至关重要。 | e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 |
下面是当前即将停用的较旧建议:
| 建议 | 说明 | 评估密钥 |
|---|---|---|
| Azure 注册表容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Azure 运行容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
- 通过 Azure Resource Graph 查询漏洞信息 - 能够通过 Azure Resource Graph 查询漏洞信息。 了解如何通过 ARG 查询建议。
- 通过 REST API 查询扫描结果 - 了解如何通过 REST API 查询扫描结果。
- 支持免除 - 了解如何为管理组、资源组或订阅创建免除规则。
- 支持禁用漏洞 - 了解如何禁用映像上的漏洞。
扫描触发器
映像扫描的触发器为:
一次性触发:
- 每个推送或导入到容器注册表的映像都会被触发进行扫描。 在大多数情况下,扫描将在几分钟内完成,但在极少数情况下可能需要长达一个小时。
- 从注册表提取的每个映像将在 24 小时内触发扫描。
连续重新扫描触发 - 需要连续重新扫描,以确保重新扫描以前扫描过漏洞的映像,以便在发布新漏洞时更新其漏洞报告。
- 每天对以下内容执行一次重新扫描:
- 过去 90 天内推送的映像。
- 过去 30 天内拉取的图像。
- 当前运行在由 Defender for Cloud 监视的 Kubernetes 群集上的映像(通过Kubernetes 的无代理发现或Defender 传感器)。
- 每天对以下内容执行一次重新扫描:
映像扫描的工作原理是什么?
扫描过程的详细说明如下所述:
启用由 Microsoft Defender 漏洞管理提供支持的 Azure 容器漏洞评估时,授权 Defender for Cloud 扫描 Azure 容器注册表中的容器映像。
Defender for Cloud 会自动发现所有容器注册表、存储库和映像(在启用此功能之前或之后创建)。
每当将新映像推送到 Azure 容器注册表时,Defender for Cloud 将会收到通知。 然后,新映像会立即添加到由 Defender for Cloud 维护的映像目录中,并理解将操作排队以扫描映像。
每天一次,对于推送到注册表的新映像:
- 拉取所有新发现的映像,并为每个映像创建一个清单。 保留映像清单以避免进一步的映像拉取,除非新的扫描程序功能要求。
- 使用清单为新映像生成漏洞报表,并在报表中更新显示之前已扫描的映像,这些映像在过去 90 天内推送到注册表,或者当前正在运行。 为了确定映像当前是否正在运行,Defender for Cloud 会同时使用Kubernetes 的无代理发现和通过 AKS 节点上运行的 Defender 代理收集的清单
- 注册表容器映像的漏洞报告是作为建议提供的。
对于使用 Kubernetes 的无代理发现或通过 AKS 节点上运行的 Defender 传感器收集的清单的客户,Defender for Cloud 还会创建一个建议,用于修正 AKS 群集上运行的易受攻击的映像的漏洞。 对于仅使用 Kubernetes 的无代理发现的客户,此建议中的清单刷新时间为每七小时一次。 同时运行Defender 传感器的群集的清单刷新时间为每两小时一次。 将基于这两种情况下的注册表扫描来更新映像扫描结果,因此每 24 小时仅刷新一次。
注意
对于 Defender for Container Registries(已弃用),将在推送、拉取映像时扫描一次映像,并且每周仅重新扫描一次。
如果我从注册表中移除某个映像,多久之后会移除有关该映像的漏洞报告?
删除映像时,Azure 容器注册表会通知 Defender for Cloud,并在一小时内移除已删除映像的漏洞评估。 在极少数情况下,Defender for Cloud 可能不会收到有关删除的通知,并且最多可能需要三天才能删除此类情况中的相关漏洞。
后续步骤
- 详细了解 Defender for Cloud 的 Defender 计划。
- 查看有关 Defender for Containers 的常见问题。