你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Defender for Containers 对受支持运行时环境和支持的容器注册表中的容器映像执行无代理漏洞评估。 为容器注册表映像或正在运行的容器中检测到的漏洞生成相关建议。
为 Defender for Cloud 安全态势管理或 Defender for Containers 计划启用“注册表访问”功能时,系统会对支持的容器注册表中的映像执行漏洞评估。
当计算机无代理扫描扩展以及 K8S API 访问或 Defender 传感器扩展在 Defender for Cloud 安全态势管理或 Defender for Containers 计划中启用时,对运行的容器映像的漏洞评估是独立于源容器注册表进行的。 还会为从支持的注册表中拉取的容器映像创建漏洞评估结果。
Note
查看 Defender for Containers 支持矩阵,以了解支持的环境。
由 Microsoft Defender 漏洞管理提供支持的容器映像的漏洞评估具有以下功能:
扫描 OS 包 - 容器漏洞评估能够扫描 Linux 和 Windows OS 中 OS 包管理器安装的包中的漏洞。 请参阅支持的操作系统及其版本的完整列表。
特定于语言的包 - 仅限 Linux - 支持特定于语言的包和文件,以及在没有 OS 包管理器的情况下安装或复制的依赖项。 请参阅支持的语言完整列表。
Azure 专用链接中的映像扫描 - Azure 容器漏洞评估可以扫描可通过 Azure 专用链接访问的容器注册表中的映像。 此功能需要访问受信任的服务并使用注册表进行身份验证。 了解如何允许受信任的服务进行访问。
可利用性信息 - 通过可利用性数据库搜索每个漏洞报告,以帮助客户确定与每个报告的漏洞关联的实际风险。
报告 - 由 Microsoft Defender 漏洞管理提供支持的 Azure 容器漏洞评估使用以下建议提供漏洞报告:
可利用性信息 - 通过可利用性数据库搜索每个漏洞报告,以帮助客户确定与每个报告的漏洞关联的实际风险。
报告 - 由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估使用以下建议提供漏洞报告:
通过 Azure Resource Graph 查询漏洞信息 - 能够通过 Azure Resource Graph 查询漏洞信息。 了解如何通过 ARG 查询建议。
通过 REST API 查询扫描结果 - 了解如何通过 REST API 查询扫描结果。
支持免除 - 了解如何为管理组、资源组或订阅创建免除规则。
支持禁用漏洞 - 了解如何禁用映像上的漏洞。
漏洞发现项目签名和验证 - 每个映像的漏洞发现项目都使用Microsoft证书进行签名,以保持完整性和真实性,并与注册表中的容器映像相关联,以满足验证需求。
漏洞评估建议
以下新的预览版建议报告运行时容器漏洞和注册表映像漏洞,在预览版中不计入安全功能分数。 新建议的扫描引擎与当前的 GA 建议相同,并提供相同的发现。 新建议最适合使用基于风险的新建议视图并启用 Defender CSPM 计划的客户。
| Recommendation | Description | 评估密钥 |
|---|---|---|
| [预览] Azure 注册表中的容器映像应解决漏洞问题 | Defender for Cloud 会扫描注册表映像中是否存在已知漏洞 (CVE),并提供每个扫描映像的详细结果。 扫描并修正注册表中容器映像的漏洞有助于维护安全可靠的软件供应链,降低安全事件风险,并确保符合行业标准。 | 33422d8f-ab1e-42be-bc9a-38685bb567b9 |
| [预览]在 Azure 中运行的容器应解决漏洞问题 | Defender for Cloud 会创建 Kubernetes 群集中当前运行的所有容器工作负载的清单,并通过匹配正在使用的映像和为注册表映像创建的漏洞报告来提供这些工作负载的漏洞报告。 扫描并修正容器工作负载的漏洞对于确保强大且安全的软件供应链、降低安全事件风险和确保符合行业标准至关重要。 | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
以下当前 GA 建议针对 Kubernetes 群集中容器内的漏洞,以及容器注册表中的容器映像进行报告。 这些建议最适合使用经典视图提供建议且未启用 Defender CSPM 计划的客户。
| Recommendation | Description | 评估密钥 |
|---|---|---|
| 应已解决 Azure 注册表容器映像的漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| 应已解决 Azure 正在运行的容器映像的漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
映像和容器的漏洞评估的工作原理
扫描 Defender for Containers 支持的注册表中的映像
Note
必须启用 注册表访问 扩展才能对容器注册表中的映像进行漏洞评估。
扫描容器注册表中的映像时,系统会创建映像及其漏洞建议的清单。 支持的容器映像注册表包括:Azure 容器注册表(ACR)、Amazon AWS 弹性容器注册表(ECR)、Google Artifact Registry(GAR)、Google 容器注册表(GCR)和配置的外部注册表。 图像会在如下情况下被扫描:
- 将新映像推送或导入到容器注册表。 图像会在几个小时内被扫描。
-
持续重新扫描触发 – 需要连续重新扫描以确保以前扫描过漏洞的图像被重新扫描,以便在发布新漏洞时更新其漏洞报告。
- 每天执行一次重新扫描,以检查:
- 过去 30 天内推送的图像。
- 过去 30 天内拉取的映像。
- 当前在 Defender for Cloud 监视的 Kubernetes 群集上运行的映像(通过 Kubernetes 的无代理发现或 Defender 传感器监视)。
- 每天执行一次重新扫描,以检查:
Note
对于 Defender for Containers 注册表(已弃用),映像将在推送和拉取时各扫描一次,并且每周仅重新扫描一次。
扫描群集工作负载中运行的容器
群集工作负载中的容器映像按如下方式扫描:
- 在支持的注册表中扫描的易受攻击的映像通过发现过程被标识为在群集上运行。 每隔 24 小时扫描一次正在运行的容器映像。 必须启用注册表访问和 Kubernetes API 访问或 Defender 传感器。
- 容器映像从运行时环境中收集,并被扫描以查找漏洞,这独立于源注册表。 扫描包括客户拥有的容器、Kubernetes 加载项以及群集上运行的第三方工具。 运行时环境映像每 24 小时收集一次。 计算机无代理扫描必须启用 Kubernetes API 访问或 Defender 传感器。
Note
- 无法扫描容器运行时层是否存在漏洞。
- 无法扫描使用 AKS 临时 OS 磁盘或 Windows 节点的节点中的容器映像是否存在漏洞。
- 如果扫描时任何或所有群集节点已关闭,则自动缩放配置的 AKS 群集可能会提供部分或无结果。
如果我从注册表中移除某个映像,多久之后会移除有关该映像的漏洞报告?
删除映像时,Azure 容器注册表会通知 Defender for Cloud,并会在一小时内移除已删除映像的漏洞评估。 在极少数情况下,Defender for Cloud 可能不会收到有关删除的通知,并且最多可能需要三天才能删除此类情况中的相关漏洞。
后续步骤
- 详细了解 Defender for Cloud 的 Defender 计划。
- 查看有关 Defender for Containers 的常见问题。