重要
注意:根据世纪互联发布的公告,2026 年 8 月 18 日,中国地区的 Azure 中将正式停用所有 Microsoft Defender for Cloud 功能。
Defender for Containers 对受支持运行时环境和支持的容器注册表中的容器映像执行无代理漏洞评估。 为容器注册表映像或正在运行的容器中检测到的漏洞生成相关建议。
为 Defender for Cloud 安全态势管理或 Defender for Containers 计划启用“注册表访问”功能时,系统会对支持的容器注册表中的映像执行漏洞评估。
当计算机无代理扫描扩展以及 K8S API 访问或 Defender 传感器扩展在 Defender for Cloud 安全态势管理或 Defender for Containers 计划中启用时,对运行的容器映像的漏洞评估是独立于源容器注册表进行的。 还会为从支持的注册表中拉取的容器映像创建漏洞评估结果。
注意
查看 Defender for Containers 支持矩阵,以了解支持的环境。
由 Microsoft Defender 漏洞管理提供支持的容器映像的漏洞评估具有以下功能:
扫描 OS 包 - 容器漏洞评估能够扫描 Linux 和 Windows OS 中 OS 包管理器安装的包中的漏洞。 请参阅受支持的 OS 及其版本的完整列表。
特定于语言的包仅限 Linux - 支持特定于语言的包和文件,以及在没有 OS 包管理器的情况下安装或复制的依赖项。 - 请参阅受支持的语言的完整列表。
Azure 专用链接中的映像扫描 - Azure 容器漏洞评估可以扫描可通过 Azure 专用链接访问的容器注册表中的映像。 此功能需要访问受信任的服务并使用注册表进行身份验证。 了解如何允许受信任的服务进行访问。
可利用性信息 - 通过可利用性数据库搜索每个漏洞报告,以帮助客户确定与每个报告的漏洞关联的实际风险。
报告 - 由 Microsoft Defender 漏洞管理提供支持的 Azure 容器漏洞评估使用以下建议提供漏洞报告:
可利用性信息 - 通过可利用性数据库搜索每个漏洞报告,以帮助客户确定与每个报告的漏洞关联的实际风险。
报告 - 由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估使用以下建议提供漏洞报告:
通过 Azure Resource Graph 查询漏洞信息 - 能够通过 Azure Resource Graph 查询漏洞信息。 了解如何通过 ARG 查询建议。
通过 REST API 查询扫描结果 - 了解如何通过 REST API 查询扫描结果。
漏洞发现项目签名和验证 - 每个映像的漏洞发现项目都使用Microsoft证书进行签名,以保持完整性和真实性,并与注册表中的容器映像相关联,以满足验证需求。
漏洞评估建议
| 建议 | 说明 | 评估密钥 |
|---|---|---|
| Azure 注册表容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| 在 Azure 上运行的容器映像应已修复漏洞(由 Microsoft Defender 漏洞管理驱动) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
映像和容器的漏洞评估的工作原理
扫描 Defender for Containers 支持的注册表中的映像
注意
必须启用 注册表访问 扩展才能对容器注册表中的映像进行漏洞评估。
扫描容器注册表中的映像时,系统会创建映像及其漏洞建议的清单。 支持的容器映像注册表包括:Azure 容器注册表(ACR)。 图像在以下情况下被扫描:
- 将新映像推送或导入到容器注册表。 图像会在几个小时内被扫描。
-
连续重新扫描触发 - 需要持续重新扫描以确保以前扫描漏洞的图像被重新扫描,以便在发布新漏洞时更新其漏洞报告。
每天对以下内容执行一次重新扫描:
- 过去 90 天内推送的映像。*
- 最近 30 天内获取的图像。
- 当前在 Defender for Cloud 监视的 Kubernetes 群集上运行的映像(通过 Kubernetes 的无代理发现或 Defender 传感器监视)。
* 新的预览建议是针对过去 30 天内推送的映像生成的。
注意
对于 Defender for Containers 注册表(已弃用),映像将在推送和拉取时各扫描一次,并且每周仅重新扫描一次。
扫描群集工作负载中运行的容器
群集工作负载中的容器映像按如下方式扫描:
- 在支持的注册表中扫描的易受攻击的映像通过发现过程被标识为在群集上运行。 每隔 24 小时扫描一次正在运行的容器映像。 必须启用注册表访问和 Kubernetes API 访问或 Defender 传感器。
- 容器映像从运行时环境中收集,并被扫描以查找漏洞,这独立于源注册表。 扫描包括客户拥有的容器、Kubernetes 加载项以及群集上运行的第三方工具。 运行时环境映像每 24 小时收集一次。 计算机无代理扫描必须启用 Kubernetes API 访问或 Defender 传感器。
注意
- 无法扫描容器运行时层是否存在漏洞。
- 无法扫描使用 AKS 临时 OS 磁盘或 Windows 节点的节点中的容器映像是否存在漏洞。
- 如果扫描时任何或所有群集节点已关闭,则自动缩放配置的 AKS 群集可能会提供部分或无结果。
如果我从注册表中移除某个映像,多久之后会移除有关该映像的漏洞报告?
删除映像时,Azure 容器注册表会通知 Defender for Cloud,并在一小时内移除已删除映像的漏洞评估。 在极少数情况下,Defender for Cloud 可能不会收到有关删除的通知,并且最多可能需要三天才能删除此类情况中的相关漏洞。
后续步骤
- 详细了解 Defender for Cloud 的 Defender 计划。
- 查看有关 Defender for Containers 的常见问题。