由 Qualys 提供支持的 Azure 漏洞评估(已弃用)

由 Qualys 提供支持的 Azure 漏洞评估是一种现成的解决方案,使安全团队能够轻松地发现和修正 Linux 容器映像中的漏洞,无需进行任何载入配置,且无需部署任何代理。

注意

此功能仅支持扫描 Azure 容器注册表 (ACR) 中的图像。 如果要查找存储在其他容器注册表中的漏洞,可以将映像导入 ACR,然后由内置的漏洞评估解决方案扫描导入的映像。 了解如何将容器映像导入容器注册表

在启用此功能的每个订阅中,ACR 中存储的所有映像 (现有和新的) 都会自动扫描漏洞,而无需进行任何额外的用户或注册表配置。 为 ACR 中的所有映像以及从 ACR 注册表拉取的 AKS 中当前运行的映像提供了漏洞报告建议。 将映像添加到注册表后不久就会进行扫描,并每周重新扫描一次新的漏洞。

由 Qualys 提供支持的容器漏洞评估具有以下功能:

扫描触发器

  • 一次性触发
    • 推送/导入到容器注册表的每个映像在推送到注册表后不久都会得到扫描。 大多数情况下,扫描会在几分钟内完成,但有时最多可能需要一个小时。
    • 会对过去 7 天内未扫描从容器注册表提取的每个映像进行扫描。
  • 连续重新扫描触发 - 需要连续重新扫描,以确保重新扫描以前扫描过漏洞的映像,以便在发布新漏洞时更新其漏洞报告。
    • 每隔 7 天执行一次重新扫描
      • 过去 30 天内拉取的图像
      • 由 Defender 代理监视的 Kubernetes 群集上当前运行的映像

先决条件

必须先在订阅上启用 Defender for Containers 计划,然后才能扫描 ACR 映像。

有关 Microsoft Defender for Containers 支持的映像和容器注册表类型的列表,请参阅可用性

查看和修正结果

  1. 若要查看发现结果,请打开“建议”页面。 如果发现了问题,你将看到建议 Azure 注册表容器映像应该已解决漏洞(由 Qualys 提供支持)

    Screenshot showing the recommendation line.

  2. 选择建议。

    “建议详细信息”页随即打开,并且其中包含其他信息。 这些信息包括具有易受攻击映像(“受影响的资源”)的注册表列表以及补救步骤。

  3. 选择特定的注册表以查看其中具有易受攻击存储库的存储库。

    Screenshot showing where to select a specific registry.

    “注册表详细信息”页随即打开,并列出受影响的存储库。

  4. 选择特定的存储库以查看其中具有易受攻击映像的存储库。

    Screenshot showing select specific image to see vulnerabilities.

    “存储库详细信息”页随即打开。 它列出了易受攻击的映像以及对发现结果严重性的评估。

  5. 选择特定映像以查看漏洞。

    Select images.

    所选映像的发现结果列表随即打开。

    Screenshot showing list of findings for the selected image.

  6. 若要详细了解发现结果,请选择“发现结果”。

    发现结果详细信息窗格随即打开。

    Screenshot showing details about a specific finding.

    此窗格包括问题的详细说明,以及有助于缓解威胁的外部资源的链接。

  7. 按照此窗格的“修正”部分中的步骤进行操作。

  8. 执行修复安全问题所需的步骤后,请替换注册表中的映像:

    1. 推送更新的映像以触发扫描。

    2. 查看建议页面以获取建议容器注册表映像应已解决漏洞评估结果(由 Qualys 提供支持)

      如果建议仍然显示,并且你处理的映像仍显示在易受攻击映像列表中,请再次检查修正步骤。

    3. 确定更新的映像已推送、已扫描,且不再显示在建议中后,请从注册表中删除“旧”版本易受攻击的映像。

禁用特定结果

注意

Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

如果组织需要忽略发现结果,而不是修正漏洞,则可以选择禁用发现结果。 禁用发现结果不会影响安全分数,也不会产生有害的噪音。

当发现结果与在禁用规则中定义的条件相匹配时,它不会显示在发现结果列表中。 典型方案包括:

  • 禁用严重性低于中等的结果
  • 禁用不可修补的结果
  • 禁用 CVSS 分数低于 6.5 的发现结果
  • 禁用在安全检查或类别中带有特定文本的发现结果(例如,“RedHat”或“CentOS Security Update for sudo”)

重要

若要创建规则,需要有在 Azure Policy 中编辑策略的权限。

若要了解详细信息,请参阅 Azure Policy 中的 Azure RBAC 权限

可以使用以下任一条件:

  • 发现结果 ID
  • CVE
  • 类别
  • 安全检查
  • CVSS v3 分数
  • 严重性
  • 可修补状态

若要创建规则,请执行以下操作:

  1. 在建议详情页面查看建议 Azure 注册表容器映像应已解决漏洞(由 Qualys 提供支持),选择“禁用规则”。

  2. 选择相关范围。

    Screenshot showing how to create a disable rule for VA findings on registry.

  3. 定义你的条件。

  4. 选择“应用规则”。

  5. 若要查看、替代或删除规则,请执行以下操作:

    1. 选择“禁用规则”。
    2. 在范围列表中,具有有效规则的订阅显示为“已应用规则”。 Screenshot showing the scope list.
    3. 若要查看或删除规则,请选择省略号菜单(“...”)。

查看 AKS 群集上运行的映像的漏洞

Defender for Cloud 使客户能够使用建议 Azure 正在运行的容器映像应已解决漏洞(由 Qualys 提供支持),优先修正其环境中当前使用的映像中的漏洞。

为了提供建议的结果,Defender for Cloud 收集由 Defender 代理收集的正在运行的容器的清单。 Defender for Cloud 将清单与 ACR 中存储的映像的漏洞评估扫描相关联。 建议会显示正在运行的容器以及与每个容器使用的映像关联的漏洞,并提供漏洞报告和修正步骤。

Screenshot of recommendations showing your running containers with the vulnerabilities associated with the images used by each container.

后续步骤