在受支持的环境中(Azure),Defender for Containers 可以对支持的容器注册表和正在运行的容器中的映像执行无代理漏洞评估。 为容器注册表映像或正在运行的容器中检测到的漏洞生成相关建议。
为 Defender for Cloud 安全态势管理或 Defender for Containers 计划启用“注册表访问”功能时,系统会对支持的容器注册表中的映像执行漏洞评估。 在 Defender for Cloud 安全态势管理或 Defender for Containers 计划中启用“计算机的无代理扫描”功能时,无论容器映像的来源为何,系统都会对运行中的容器执行漏洞评估。 与仅扫描受支持容器注册表中的映像相比,正在运行的容器的漏洞评估提供了更多价值,因为它还包括 Kubernetes 加载项和群集中运行的第三方工具。
注意
对于通过不受支持注册表中的映像创建的容器,仅当其在 AKS 环境中运行时,系统才会对其执行漏洞扫描评估。
由 Microsoft Defender 漏洞管理提供支持的容器映像的漏洞评估具有以下功能:
扫描 OS 包 - 容器漏洞评估能够扫描 Linux 和 Windows OS 中 OS 包管理器安装的包中的漏洞。 请参阅受支持的 OS 及其版本的完整列表。
特定于语言的包仅限 Linux - 支持特定于语言的包和文件,以及在没有 OS 包管理器的情况下安装或复制的依赖项。 - 请参阅受支持的语言的完整列表。
Azure 专用链接中的映像扫描 - Azure 容器漏洞评估可以扫描可通过 Azure 专用链接访问的容器注册表中的映像。 此功能需要访问受信任的服务并使用注册表进行身份验证。 了解如何允许受信任的服务进行访问。
可利用性信息 - 通过可利用性数据库搜索每个漏洞报告,以帮助客户确定与每个报告的漏洞关联的实际风险。
报告 - 由 Microsoft Defender 漏洞管理提供支持的 Azure 容器漏洞评估使用以下建议提供漏洞报告:
可利用性信息 - 通过可利用性数据库搜索每个漏洞报告,以帮助客户确定与每个报告的漏洞关联的实际风险。
报告 - 由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估使用以下建议提供漏洞报告:
通过 Azure Resource Graph 查询漏洞信息 - 能够通过 Azure Resource Graph 查询漏洞信息。 了解如何通过 ARG 查询建议。
通过 REST API 查询扫描结果 - 了解如何通过 REST API 查询扫描结果。
| 建议 | 说明 | 评估密钥 |
|---|---|---|
| Azure 注册表容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| 在 Azure 上运行的容器映像应已修复漏洞(由 Microsoft Defender 漏洞管理驱动) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
注意
必须启用 注册表访问 扩展才能对容器注册表中的映像进行漏洞评估。
扫描容器注册表中的映像时,系统会创建映像及其漏洞建议的清单。 支持的容器映像注册表包括:Azure 容器注册表(ACR)。 图像在以下情况下被扫描:
- 将新映像推送或导入到容器注册表。 图像会在几个小时内被扫描。
- 持续重新扫描触发 - 需要连续重新扫描以确保以前扫描过漏洞的图像被重新扫描,以便在发布新漏洞时更新其漏洞报告。
每天对以下内容执行一次重新扫描:
- 过去 90 天内推送的映像。*
- 最近 30 天内获取的图像。
- 当前在 Defender for Cloud 监视的 Kubernetes 群集上运行的映像(通过 Kubernetes 的无代理发现或 Defender 传感器监视)。
* 新的预览建议是针对过去 30 天内推送的映像生成的。
映像从容器注册表拉取后,会在 24 小时内完成扫描。
注意
在某些罕见情况下,镜像库中的新镜像可能需要长达 24 小时才能完成扫描。
此外,系统会每隔 24 小时扫描以下映像,以在发布新的漏洞时更新相应的漏洞建议。
过去 90 天内被推送或导入到容器注册表的映像。
过去 30 天内从容器注册表拉取的映像。
注意
对于 Defender for Containers 注册表(已弃用),映像将在推送和拉取时各扫描一次,并且每周仅重新扫描一次。
每隔 24 小时扫描群集工作负荷中运行的容器是否存在漏洞。 扫描过程不受运行中容器映像的源注册表影响,涵盖 Kubernetes 加载项及第三方工具。 为每个易受攻击的容器生成相关建议。
注意
启用以下两个扩展时,将对正在运行的容器执行无代理扫描:
- 无代理计算机扫描
- K8S API 访问或 Defender 传感器
注意
对于使用不受支持容器注册表中的映像创建的容器,仅当其在 AKS 环境中运行时,系统才会对其执行扫描。
使用受支持容器注册表中的映像运行容器的建议是从容器注册表映像扫描生成的,即使客户未启用 无代理计算机扫描也是如此。
注意
无法扫描容器运行时层是否存在漏洞。 此外,无法扫描以下容器是否存在漏洞:
- 使用 AKS 临时 OS 磁盘的节点中的容器
- Windows OS 容器
如果漏洞扫描时任何或所有群集节点已关闭,自动缩放配置的 AKS 群集可能会提供部分或无结果。
删除映像时,Azure 容器注册表会通知 Defender for Cloud,并在一小时内移除已删除映像的漏洞评估。 在极少数情况下,Defender for Cloud 可能不会收到有关删除的通知,并且最多可能需要三天才能删除此类情况中的相关漏洞。
- 详细了解 Defender for Cloud 的 Defender 计划。
- 查看有关 Defender for Containers 的常见问题。