Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Defender for Containers realiza uma avaliação de vulnerabilidade sem agente em imagens de contentores, tanto em ambientes de tempo de execução suportados como em registos de contentores suportados. Recomendações relevantes são geradas para vulnerabilidades detetadas em uma imagem de registro de contêiner ou contêiner em execução.
A avaliação de vulnerabilidade de imagens em registros de contêineres suportados é realizada quando o acesso ao Registro está habilitado para os planos Defender for Cloud Security Posture Management ou Defender for Containers.
A avaliação da vulnerabilidade das imagens de contêiner em execução é realizada de forma independente do registro do contêiner de origem, quando a extensão de varredura sem agente para máquinas juntamente com o acesso à API K8S ou as extensões do sensor Defender estão habilitadas nos planos Defender for Cloud Security Posture Management ou Defender for Containers. As avaliações de vulnerabilidade também são realizadas para imagens de contentores obtidas de registos suportados.
Note
Analise a matriz de suporte do Defender for Containers para ambientes suportados.
A avaliação de vulnerabilidade de imagens de contêiner, fornecida pelo Microsoft Defender Vulnerability Management, tem os seguintes recursos:
Verificação de pacotes do sistema operacional - a avaliação de vulnerabilidade do contêiner tem a capacidade de verificar vulnerabilidades em pacotes instalados pelo gerenciador de pacotes do sistema operacional no sistema operacional Linux e no sistema operacional Windows. Veja a lista completa do sistema operacional suportado e suas versões.
Pacotes específicos de idioma – somente Linux – suporte para pacotes e arquivos específicos de idioma e suas dependências instaladas ou copiadas sem o gerenciador de pacotes do sistema operacional. Consulte a lista completa de idiomas suportados.
Verificação de imagens no Azure Private Link - A avaliação de vulnerabilidade de contêiner do Azure pode verificar imagens em registros de contêiner acessíveis por meio de Links Privados do Azure. Esse recurso requer acesso a serviços confiáveis e autenticação com o registro. Saiba como permitir o acesso por serviços confiáveis.
Informações de exploração - Cada relatório de vulnerabilidade é pesquisado através de bancos de dados de exploração para ajudar nossos clientes a determinar o risco real associado a cada vulnerabilidade relatada.
Reporting - Container Vulnerability Assessment for Azure powered by Microsoft Defender Vulnerability Management fornece relatórios de vulnerabilidade usando as seguintes recomendações:
Informações de exploração - Cada relatório de vulnerabilidade é pesquisado através de bancos de dados de exploração para ajudar nossos clientes a determinar o risco real associado a cada vulnerabilidade relatada.
Reporting - Container Vulnerability Assessment powered by Microsoft Defender Vulnerability Management fornece relatórios de vulnerabilidade usando as seguintes recomendações:
Consultar informações de vulnerabilidade através do Gráfico de Recursos do Azure - Capacidade de consultar informações de vulnerabilidade através do Gráfico de Recursos do Azure. Saiba como consultar recomendações via ARG.
Consultar resultados da verificação via API REST - Saiba como consultar os resultados da verificação por meio da API REST.
Suporte para isenções - Saiba como criar regras de isenção para um grupo de gerenciamento, grupo de recursos ou assinatura.
Suporte para desativar vulnerabilidades - Saiba como desativar vulnerabilidades em imagens.
Assinatura e verificação de artefatos de descobertas de vulnerabilidade - O artefato de descobertas de vulnerabilidade de cada imagem é assinado com um certificado da Microsoft para integridade e autenticidade e está associado à imagem de contêiner no Registro para necessidades de validação.
Recomendações de avaliação de vulnerabilidade
As seguintes novas recomendações de pré-visualização relatam vulnerabilidades de contentor em tempo de execução e vulnerabilidades de imagem de registo, e não contam para a pontuação de segurança enquanto estiverem na versão preliminar. O mecanismo de verificação para as novas recomendações é o mesmo que as recomendações atuais da AG e fornece as mesmas descobertas. As novas recomendações são mais adequadas para clientes que usam a nova visão baseada em risco para recomendações e têm o plano Defender CSPM habilitado.
| Recommendation | Description | Chave de avaliação |
|---|---|---|
| [Pré-visualização] As imagens de contêiner no registro do Azure devem ter as descobertas de vulnerabilidade resolvidas | O Defender for Cloud verifica as imagens do Registro em busca de vulnerabilidades conhecidas (CVEs) e fornece descobertas detalhadas para cada imagem digitalizada. A verificação e correção de vulnerabilidades para imagens de contêiner no registro ajuda a manter uma cadeia de suprimentos de software segura e confiável, reduz o risco de incidentes de segurança e garante a conformidade com os padrões do setor. | 33422d8f-ab1e-42be-bc9a-38685bb567b9 |
| [Pré-visualização] Os contêineres em execução no Azure devem ter as descobertas de vulnerabilidade resolvidas | O Defender for Cloud cria um inventário de todas as cargas de trabalho de contêiner atualmente em execução em seus clusters Kubernetes e fornece relatórios de vulnerabilidade para essas cargas de trabalho combinando as imagens que estão sendo usadas e os relatórios de vulnerabilidade criados para as imagens do Registro. A verificação e correção de vulnerabilidades de cargas de trabalho de contêineres é fundamental para garantir uma cadeia de suprimentos de software robusta e segura, reduzir o risco de incidentes de segurança e garantir a conformidade com os padrões do setor. | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
As seguintes recomendações atuais do GA relatam vulnerabilidades em contêineres dentro de um cluster Kubernetes e em imagens de contêiner dentro de um registro de contêiner. Essas recomendações são mais adequadas para clientes que usam o modo de exibição clássico para recomendações e não têm o plano Defender CSPM habilitado.
| Recommendation | Description | Chave de avaliação |
|---|---|---|
| As imagens de contêiner do Registro do Azure devem ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| As imagens de contentores em execução no Azure devem ter as vulnerabilidades resolvidas (impulsionado por Microsoft Defender Vulnerability Management) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. Essa recomendação fornece visibilidade para imagens vulneráveis atualmente em execução em seus clusters Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente a superfície de ataque para suas cargas de trabalho conteinerizadas. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Como funciona a avaliação de vulnerabilidade para imagens e contêineres
Digitalização de imagens em registos suportados pelo Defender for Containers
Note
A extensão de acesso ao Registro deve ser habilitada para avaliação de vulnerabilidade de imagens em registros de contêiner.
A varredura de uma imagem em um registro de contêiner cria um inventário da imagem e suas recomendações de vulnerabilidade. Os registros de imagem de contêiner compatíveis são: Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR), Google Container Registry (GCR) e registros externos configurados. Uma imagem é digitalizada quando:
- Uma nova imagem é enviada ou importada para o registo de contêineres. A imagem é digitalizada em poucas horas.
-
Acionamento de nova varredura contínua – a nova verificação contínua é necessária para garantir que as imagens que foram verificadas anteriormente em busca de vulnerabilidades sejam examinadas novamente para atualizar seus relatórios de vulnerabilidade caso uma nova vulnerabilidade seja publicada.
-
A nova varredura é realizada uma vez por dia para:
- Imagens enviadas nos últimos 30 dias.
- Imagens extraídas nos últimos 30 dias.
- Imagens que estão atualmente em execução nos clusters Kubernetes que são monitorados pelo Defender for Cloud (seja através de descoberta sem agente para Kubernetes ou do sensor Defender).
-
A nova varredura é realizada uma vez por dia para:
Note
Para o Defender for Container Registries (preterido), as imagens são digitalizadas uma vez ao push, ao pull e redigitalizadas apenas uma vez por semana.
Examinando contêineres em execução na carga de trabalho do cluster
As imagens de contêiner na carga de trabalho do cluster são verificadas da seguinte maneira:
- As imagens vulneráveis digitalizadas em registos compatíveis são identificadas como estando em execução no cluster através do processo de descoberta. As imagens de contêiner em execução são digitalizadas a cada 24 horas. O acesso ao Registro e o acesso à API do Kubernetes ou ao sensor Defender devem estar habilitados.
- As imagens de contentores são recolhidas do ambiente de tempo de execução e verificadas em busca de vulnerabilidades, independentemente do registo de origem. A verificação inclui contêineres de propriedade do cliente, complementos do Kubernetes e ferramentas de terceiros em execução no cluster. As imagens do ambiente de tempo de execução são recolhidas a cada 24 horas. A verificação sem agente para máquinas requer que o acesso à API do Kubernetes ou o sensor Defender estejam ativados.
Note
- A camada de tempo de execução do contêiner não pode ser verificada em busca de vulnerabilidades.
- Imagens de contêiner de nós usando discos do sistema operacional efêmero AKS ou nós do Windows não podem ser verificadas em busca de vulnerabilidades.
- Os clusters AKS configurados em escala automática podem fornecer resultados parciais ou inexistentes se algum ou todos os nós do cluster estiverem inativos no momento da verificação.
Se eu remover uma imagem do meu registo, quanto tempo antes de os relatórios de vulnerabilidades sobre essa imagem serem removidos?
Os Registros de Contêiner do Azure notificam o Defender for Cloud quando as imagens são excluídas e removem a avaliação de vulnerabilidade para imagens excluídas em uma hora. Em alguns casos raros, o Defender for Cloud pode não ser notificado sobre a exclusão, e a exclusão de vulnerabilidades associadas nesses casos pode levar até três dias.
Próximos passos
- Saiba mais sobre os planos do Defender for Cloud Defender.
- Confira perguntas comuns sobre o Defender for Containers.