Defender for Containers는 지원되는 런타임 환경 및 지원되는 컨테이너 레지스트리에서 컨테이너 이미지에 대한 에이전트 없는 취약성 평가를 수행합니다. 컨테이너 레지스트리 이미지 또는 실행 중인 컨테이너에서 검색된 취약성에 대한 관련 권장 사항이 생성됩니다.
Vulnerability assessment of images in supported container registries is performed when Registry access is enabled for the Defender for Cloud Security Posture Management or Defender for Containers plans.
실행 중인 컨테이너 이미지의 취약성 평가는 K8S API 액세스 또는 Defender 센서 확장과 함께 컴퓨터 확장에 대한 에이전트 없는 검사가 Defender for Cloud Security Posture Management 또는 Defender for Containers 계획에서 사용하도록 설정된 경우 원래 컨테이너 레지스트리와 관계 없이 수행됩니다. 지원되는 레지스트리에서 가져온 컨테이너 이미지에 대한 취약성 평가 결과도 생성됩니다.
Note
지원되는 환경에 대한 컨테이너용 Defender 지원 매트릭스를 검토하세요.
Microsoft Defender 취약성 관리에서 제공하는 컨테이너 이미지의 취약성 평가에는 다음과 같은 기능이 있습니다.
OS 패키지 검사 - 컨테이너 취약성 평가에는 Linux 및 Windows OS의 OS 패키지 관리자가 설치한 패키지의 취약성을 검사하는 기능이 있습니다. 지원되는 OS 및 해당 버전의 전체 목록을 참조하세요.
언어별 패키지 - Linux 전용 - 언어별 패키지 및 파일 및 OS 패키지 관리자 없이 설치 또는 복사된 해당 종속성을 지원합니다. 지원되는 언어의 전체 목록을 참조하세요.
Azure Private Link의 이미지 검사 - Azure 컨테이너 취약성 평가는 Azure Private Links를 통해 액세스할 수 있는 컨테이너 레지스트리의 이미지를 검색할 수 있습니다. 이 기능을 사용하려면 레지스트리를 사용하여 신뢰할 수 있는 서비스 및 인증에 액세스해야 합니다. 신뢰할 수 있는 서비스에서 액세스를 허용하는 방법을 알아봅니다.
Exploitability information - Each vulnerability report is searched through exploitability databases to assist our customers with determining actual risk associated with each reported vulnerability.
Reporting - Container Vulnerability Assessment for Azure powered by Microsoft Defender Vulnerability Management provides vulnerability reports using following recommendations:
Exploitability information - Each vulnerability report is searched through exploitability databases to assist our customers with determining actual risk associated with each reported vulnerability.
Reporting - Container Vulnerability Assessment powered by Microsoft Defender Vulnerability Management provides vulnerability reports using the following recommendations:
Azure Resource Graph를 통해 취약성 정보를 쿼리 - Azure Resource Graph를 통해 취약성 정보를 쿼리하는 기능. ARG를 통해 권장 사항을 쿼리하는 방법을 알아봅니다.
REST API를 통해 검색 결과 쿼리 - REST API를 통해 검색 결과를 쿼리하는 방법을 알아봅니다.
예외 지원 - 관리 그룹, 리소스 그룹 또는 구독에 대한 예외 규칙을 만드는 방법을 알아봅니다.
취약성 사용 안 함 지원 - 이미지에서 취약성을 사용하지 않도록 설정하는 방법을 알아봅니다.
취약성 발견 아티팩트 서명 및 확인 - 각 이미지의 취약성 조사 결과 아티팩트가 무결성 및 신뢰성을 위해 Microsoft 인증서로 서명되고 유효성 검사 요구 사항을 위해 레지스트리의 컨테이너 이미지와 연결됩니다.
취약성 평가 권장 사항
다음 새 미리 보기 권장 사항은 런타임 컨테이너 취약성 및 레지스트리 이미지 취약성에 대해 보고하며 미리 보기에 있는 동안 보안 점수에 포함되지 않습니다. 새 권장 사항에 대한 검색 엔진은 현재 GA 권장 사항과 동일하며 동일한 결과를 제공합니다. 새 권장 사항은 권장 사항에 대해 새로운 위험 기반 보기를 사용하고 Defender CSPM 계획을 사용하도록 설정한 고객에게 가장 적합합니다.
| Recommendation | Description | Assessment Key |
|---|---|---|
| [미리 보기] Azure 레지스트리의 컨테이너 이미지에 취약성 발견이 해결되어야 합니다. | 클라우드용 Defender는 레지스트리 이미지에서 CVE(알려진 취약성)를 검사하고 검사한 각 이미지에 대한 자세한 결과를 제공합니다. 레지스트리의 컨테이너 이미지에 대한 취약성을 검사하고 수정하면 안전하고 신뢰할 수 있는 소프트웨어 공급망을 유지하고 보안 인시던트 위험을 줄이며 업계 표준 준수를 보장할 수 있습니다. | 33422d8f-ab1e-42be-bc9a-38685bb567b9 |
| [미리 보기] Azure에서 실행되는 컨테이너에는 취약성 발견이 해결되어야 합니다. | 클라우드용 Defender는 현재 Kubernetes 클러스터에서 실행 중인 모든 컨테이너 워크로드의 인벤토리를 만들고, 사용 중인 이미지와 레지스트리 이미지에 대해 만들어진 취약성 보고서를 일치시켜 해당 워크로드에 대한 취약성 보고서를 제공합니다. 강력하고 안전한 소프트웨어 공급망을 보장하고 보안 인시던트 위험을 줄이며 업계 표준 준수를 보장하려면 컨테이너 워크로드의 취약성을 검사하고 수정해야 합니다. | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
다음 현재 GA 권장 사항은 Kubernetes 클러스터 내의 컨테이너 및 컨테이너 레지스트리 내의 컨테이너 이미지에 대한 취약성에 대해 보고합니다. 이러한 권장 사항은 권장 사항에 클래식 보기를 사용하고 Defender CSPM 계획을 사용하도록 설정하지 않은 고객에게 가장 적합합니다.
| Recommendation | Description | Assessment Key |
|---|---|---|
| Azure 레지스트리 컨테이너 이미지에 취약성이 해결되어야 합니다(Microsoft Defender 취약성 관리에 의해 구동됨). | 컨테이너 이미지 취약성 평가는 레지스트리에서 CVE(일반적으로 알려진 취약성)을 검사하고 각 이미지에 대한 자세한 취약성 보고서를 제공합니다. 취약성을 해결하면 보안 태세가 크게 향상되어 배포 전에 이미지를 안전하게 사용할 수 있습니다. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Azure에서 실행되는 컨테이너 이미지의 취약성이 Microsoft Defender 취약성 관리로 구동되어 해결되어야 합니다. | 컨테이너 이미지 취약성 평가는 레지스트리에서 CVE(일반적으로 알려진 취약성)을 검사하고 각 이미지에 대한 자세한 취약성 보고서를 제공합니다. 이 권장 사항은 현재 Kubernetes 클러스터에서 실행 중인 취약한 이미지에 대한 가시성을 제공합니다. 현재 실행 중인 컨테이너 이미지의 취약성을 수정하는 것은 보안 태세를 개선하고 컨테이너화된 워크로드에 대한 공격 표면을 크게 줄이는 데 중요합니다. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
이미지 및 컨테이너에 대한 취약성 평가 작동 방식
Defender for Containers 지원 레지스트리에서 이미지 검사
Note
The Registry access extension must be enabled for vulnerability assessment of images in container registries.
컨테이너 레지스트리에서 이미지를 검색하면 이미지의 인벤토리와 해당 취약성 권장 사항이 생성됩니다. 지원되는 컨테이너 이미지 레지스트리는 ACR(Azure Container Registry), AMAZON AWS ECR(Elastic Container Registry), GAR(Google Artifact Registry), GCR(Google Container Registry) 및 구성된 외부 레지스트리입니다. 이미지는 다음과 같은 경우에 검사됩니다.
- 새 이미지가 컨테이너 레지스트리로 푸시되거나 가져옵니다. 이미지는 몇 시간 내에 검사됩니다.
- 연속 다시 검사 트리거 – 새 취약성이 게시될 경우 취약성 보고서를 업데이트하기 위해 이전에 취약성을 검색한 이미지를 다시 검사하려면 연속 다시 검사가 필요합니다.
Re-scan is performed once a day for:
- 지난 90일 동안 푸시된 이미지입니다.*
- 지난 30일 동안 가져온 이미지.
- 현재 클라우드용 Defender에서 모니터링하는 Kubernetes 클러스터에서 실행 중인 이미지입니다(Kubernetes에 대한 에이전트 없는 검색 또는 Defender 센서를 통해).
* The new preview recommendation is generated for images pushed in the last 30 days.
Note
Defender for Container Registries(사용되지 않음)의 경우 이미지는 푸시, 풀에서 한 번 검색되고 일주일에 한 번만 다시 검사됩니다.
클러스터 워크로드에서 실행되는 컨테이너 검사
클러스터 워크로드의 컨테이너 이미지는 다음과 같이 검사됩니다.
- 지원되는 레지스트리에서 검색된 취약한 이미지는 검색 프로세스에 의해 클러스터에서 실행되는 것으로 식별됩니다. 실행 중인 컨테이너 이미지는 24시간마다 검사됩니다. Registry Access and either Kubernetes API access or Defender sensor must be enabled.
- 컨테이너 이미지는 런타임 환경에서 수집되고 원래 레지스트리에 관계 없이 취약성을 검사합니다. 검사에는 고객 소유 컨테이너, Kubernetes 추가 기능 및 클러스터에서 실행되는 타사 도구가 포함됩니다. 런타임 환경 이미지는 24시간마다 수집됩니다. 기계에 대한 에이전트 없는 스캔을 위해서는 Kubernetes API 액세스 또는 Defender 센서가 사용하도록 설정되어 있어야 합니다.
Note
- 컨테이너 런타임 계층에서 취약성을 검사할 수 없습니다.
- AKS 임시 OS 디스크 또는 Windows 노드를 사용하는 노드의 컨테이너 이미지는 취약성을 검사할 수 없습니다.
- 자동 크기 조정 구성된 AKS 클러스터는 검사 시 클러스터 노드 중 하나 또는 전부가 다운된 경우 부분 또는 전혀 결과를 제공하지 않을 수 있습니다.
내 레지스트리에서 이미지를 제거하는 경우 해당 이미지에 대한 취약성 보고가 제거되기까지 시간이 얼마나 걸리나요?
Azure Container Registries는 이미지가 삭제되면 클라우드용 Defender에 알리고 1시간 이내에 삭제된 이미지에 대한 취약성 평가를 제거합니다. 드문 경우지만 클라우드용 Defender가 삭제에 대한 알림을 받지 못할 수 있으며, 이러한 경우 관련 취약성을 삭제하는 데 최대 3일이 걸릴 수 있습니다.
Next steps
- Learn more about the Defender for Cloud Defender plans.
- Check out common questions about Defender for Containers.