使用 Microsoft Defender 漏洞管理进行 Azure 漏洞评估

由 Microsoft Defender 漏洞管理提供支持的 Azure 漏洞评估是一种现成的解决方案,使安全团队能够轻松发现和修复容器映像中的漏洞,零配置启动,无需部署任何代理。

注意

此功能仅支持扫描 Azure 容器注册表 (ACR) 中的图像。 应将存储在其他容器注册表中的映像导入到 ACR 中以实现覆盖。 了解如何将容器映像导入容器注册表

在启用此功能的每个订阅中,ACR 中存储的满足扫描触发器标准的所有映像都会被扫描以查找漏洞,而无需任何额外的用户或注册表配置。 为 ACR 中的所有映像以及从 ACR 注册表拉取的 AKS 中当前运行的映像提供了漏洞报告建议。 将映像添加到注册表后,将会立即对其进行扫描,并每隔 24 小时重新扫描一次新的漏洞。

由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估具有以下功能:

  • 扫描 OS 包 - 容器漏洞评估能够扫描 Linux 和 Windows OS 中 OS 包管理器安装的包中的漏洞。 请参阅受支持的 OS 及其版本的完整列表
  • 特定于语言的包 - 仅限 Linux - 支持特定于语言的包和文件,以及在没有 OS 包管理器的情况下安装或复制的依赖项。 请参阅受支持的语言的完整列表
  • Azure 专用链接中的映像扫描 - Azure 容器漏洞评估提供扫描可通过 Azure 专用链接访问的容器注册表中的映像的功能。 此功能需要访问受信任的服务并使用注册表进行身份验证。 了解如何允许受信任的服务进行访问
  • 可利用性信息 - 通过可利用性数据库搜索每个漏洞报告,以帮助客户确定与每个报告的漏洞关联的实际风险。
  • 报告 - 由 Microsoft Defender 漏洞管理提供支持的 Azure 容器漏洞评估使用以下建议提供漏洞报告:
建议 说明 评估密钥
Azure 注册表容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 c0b7cfc6-3172-465a-b378-53c7ff2cc0d5
Azure 运行容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

扫描触发器

映像扫描的触发器为:

  • 一次性触发

    • 每个推送或导入到容器注册表的映像都会被触发进行扫描。 在大多数情况下,扫描将在几分钟内完成,但在极少数情况下可能需要长达一个小时。
    • 从注册表提取的每个映像都会在 24 小时内触发扫描。
  • 连续重新扫描触发 - 需要连续重新扫描,以确保重新扫描以前扫描过漏洞的映像,以便在发布新漏洞时更新其漏洞报告。

    • 每天对以下内容执行一次重新扫描

映像扫描的工作原理是什么?

扫描过程的详细说明如下所述:

  • 启用由 Microsoft Defender 漏洞管理提供支持的 Azure 容器漏洞评估时,授权 Defender for Cloud 扫描 Azure 容器注册表中的容器映像。

  • Defender for Cloud 会自动发现所有容器注册表、存储库和映像(在启用此功能之前或之后创建)。

  • 每当将新映像推送到 Azure 容器注册表时,Defender for Cloud 将会收到通知。 然后,新映像会立即添加到由 Defender for Cloud 维护的映像目录中,并理解将操作排队以扫描映像。

  • 每天一次,对于推送到注册表的新映像:

    • 拉取所有新发现的映像,并为每个映像创建一个清单。 保留映像清单以避免进一步的映像拉取,除非新的扫描程序功能要求。
    • 使用清单为新映像生成漏洞报表,并在报表中更新显示之前已扫描的映像,这些映像在过去 90 天内推送到注册表,或者当前正在运行。 为了确定映像当前是否正在运行,Defender for Cloud 会同时使用Kubernetes 的无代理发现通过 AKS 节点上运行的 Defender 代理收集的清单
    • 注册表容器映像的漏洞报告是作为建议提供的。
  • 对于使用 Kubernetes 的无代理发现通过 AKS 节点上运行的 Defender 传感器收集的清单的客户,Defender for Cloud 还会创建一个建议,用于修正 AKS 群集上运行的易受攻击的映像的漏洞。 对于仅使用 Kubernetes 的无代理发现的客户,此建议中的清单刷新时间为每七小时一次。 同时运行Defender 传感器的群集的清单刷新时间为每两小时一次。 将基于这两种情况下的注册表扫描来更新映像扫描结果,因此每 24 小时仅刷新一次。

注意

对于 Defender for Container Registries(已弃用),将在推送、拉取映像时扫描一次映像,并且每周仅重新扫描一次。

如果我从注册表中移除某个映像,多久之后会移除有关该映像的漏洞报告?

删除映像时,Azure 容器注册表会通知 Defender for Cloud,并在一小时内移除已删除映像的漏洞评估。 在极少数情况下,Defender for Cloud 可能不会收到有关删除的通知,并且最多可能需要三天才能删除此类情况中的相关漏洞。

后续步骤