Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Defender para Contêineres realiza avaliação de vulnerabilidade sem agente em imagens de contêineres nos ambientes de execução e registros de contêineres suportados. Recomendações relevantes são geradas para vulnerabilidades detectadas em uma imagem do registro de contêiner ou em um contêiner em execução.
A avaliação de vulnerabilidade de imagens em registros de contêiner com suporte é executada quando o acesso ao Registro é habilitado para os planos do Defender para Gerenciamento de Postura de Segurança de Nuvem ou do Defender para Contêineres.
A avaliação de vulnerabilidades das imagens de contêiner em execução é realizada independentemente do registro de contêiner de origem, quando a verificação sem agente para máquinas, juntamente com o acesso à API K8S ou as extensões de sensor do Defender, estão habilitadas nos planos Defender para Gerenciamento de Postura de Segurança de Nuvem ou Defender para Contêineres. As descobertas da avaliação de vulnerabilidade também são criados para as imagens de contêiner extraídas de registros com suporte.
Note
Examine a matriz de suporte do Defender para Contêineres para ambientes com suporte.
A avaliação de vulnerabilidade de imagens de contêiner, alimentada pelo Gerenciamento de Vulnerabilidades do Microsoft Defender, tem os seguintes recursos:
Verificação de pacotes do sistema operacional – a avaliação de vulnerabilidade do contêiner tem a capacidade de verificar vulnerabilidades em pacotes instalados pelo gerenciador de pacotes do sistema operacional no Sistema Operacional Linux e windows. Consulte a lista completa do sistema operacional com suporte e suas versões.
Pacotes específicos de linguagem – somente Linux – dão suporte a pacotes e arquivos específicos do idioma e suas dependências instaladas ou copiadas sem o gerenciador de pacotes do sistema operacional. Consulte a lista completa de idiomas com suporte.
Verificação de imagens no Link Privado do Azure – A avaliação de vulnerabilidades de contêineres do Azure pode verificar imagens em registros de contêineres acessíveis por meio de Links Privados do Azure. Essa funcionalidade requer acesso a serviços confiáveis e autenticação com o registro. Saiba como permitir o acesso por serviços confiáveis.
Informações de explorabilidade – cada relatório de vulnerabilidade é pesquisado por meio de bancos de dados de exploração para ajudar nossos clientes a determinar o risco real associado a cada vulnerabilidade relatada.
Relatório – A Avaliação de Vulnerabilidades de Contêiner do Azure, fornecida pelo Microsoft Defender Vulnerability Management, fornece relatórios de vulnerabilidade usando as seguintes recomendações:
Informações de explorabilidade – cada relatório de vulnerabilidade é pesquisado por meio de bancos de dados de exploração para ajudar nossos clientes a determinar o risco real associado a cada vulnerabilidade relatada.
Relatório – A Avaliação de Vulnerabilidades de Contêiner, fornecida pelo Gerenciamento de Vulnerabilidades do Microsoft Defender, fornece relatórios de vulnerabilidade usando as seguintes recomendações:
Consultar informações de vulnerabilidade por meio do Azure Resource Graph – Capacidade de consultar informações de vulnerabilidade por meio do Azure Resource Graph. Saiba como consultar recomendações por meio do ARG.
Consultar os resultados da verificação por meio da API REST – Saiba como consultar os resultados da verificação por meio da API REST.
Suporte para isenções – saiba como criar regras de isenção para um grupo de gerenciamento, grupo de recursos ou assinatura.
Suporte para desabilitar vulnerabilidades – saiba como desabilitar vulnerabilidades em imagens.
Descobertas de vulnerabilidade de assinatura e verificação de artefatos – O artefato de descobertas de vulnerabilidade de cada imagem é assinado com um certificado da Microsoft para integridade e autenticidade e está associado à imagem de contêiner no registro para necessidades de validação.
Recomendações de avaliação de vulnerabilidade
As novas recomendações de visualização a seguir relatam as vulnerabilidades de contêiner de runtime e vulnerabilidades de imagem de registro e não são contabilizadas na pontuação de segurança enquanto estiverem em visualização. O mecanismo de verificação das novas recomendações é o mesmo que as recomendações de GA atuais e fornece as mesmas descobertas. As novas recomendações são mais adequadas para clientes que usam a nova exibição baseada em risco para recomendações e têm o plano CSPM do Defender habilitado.
| Recommendation | Description | Chave de avaliação |
|---|---|---|
| [Versão prévia] As imagens de contêiner no Registro do Azure devem ter as conclusões de vulnerabilidade resolvidas | O Defender para Nuvem verifica suas imagens do Registro em busca de vulnerabilidades conhecidas (CVEs) e fornece descobertas detalhadas para cada imagem digitalizada. A verificação e correção das vulnerabilidades das imagens de contêiner no Registro ajudam a manter uma cadeia de fornecimento de software segura e confiável, reduzem o risco de incidentes de segurança e garantem a conformidade com os padrões do setor. | 33422d8f-ab1e-42be-bc9a-38685bb567b9 |
| [Versão prévia] Os contêineres em execução no Azure devem ter as conclusões de vulnerabilidade resolvidas | O Defender para Nuvem cria um inventário de todas as cargas de trabalho de contêineres atualmente em execução nos seus clusters do Kubernetes e fornece relatórios de vulnerabilidades para essas cargas de trabalho ao equiparar as imagens que estão sendo usadas e os relatórios de vulnerabilidade criados para as imagens do Registro. A verificação e a correção das vulnerabilidades de cargas de trabalho de contêiner são críticas para garantir uma cadeia de fornecimento de software consistente e segura, reduzir o risco de incidentes de segurança e garantir a conformidade com os padrões do setor. | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
As recomendações de GA atuais a seguir relatam vulnerabilidades em contêineres em um cluster do Kubernetes e em imagens de contêiner em um registro de contêiner. Essas recomendações são mais adequadas para clientes que usam a exibição clássica para recomendações e não têm o plano CSPM do Defender habilitado.
| Recommendation | Description | Chave de avaliação |
|---|---|---|
| As imagens de contêiner do Registro do Azure devem ter vulnerabilidades resolvidas (alimentadas pelo Gerenciamento de Vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| As imagens de contêiner em execução do Azure devem ter vulnerabilidades resolvidas (alimentadas pelo Gerenciamento de Vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. Essa recomendação fornece visibilidade para as imagens vulneráveis atualmente em execução nos seus clusters do Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para aprimorar sua postura de segurança, reduzindo de forma significativa a superfície de ataque das suas cargas de trabalho conteinerizadas. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Como funciona a avaliação de vulnerabilidade para imagens e contêineres
Escaneamento de imagens em registros compatíveis com o Defender para Contêineres
Note
A extensão Acesso ao Registro deve ser habilitada para avaliação de vulnerabilidades de imagens em registros de contêiner.
A verificação de uma imagem em um registro de contêiner cria um inventário da imagem e suas recomendações de vulnerabilidade. Os registros de imagem de contêiner com suporte são: Registro de Contêiner do Azure (ACR), Registro de Contêiner Elástico do Amazon AWS (ECR), GAR (Registro de Artefatos do Google), GCR (Registro de Contêiner do Google) e registros externos configurados. Uma imagem é digitalizada quando:
- Uma nova imagem é enviada ou importada para o registro de contêineres. A imagem é escaneada em poucas horas.
-
Gatilho de nova verificação contínua – a nova verificação contínua é necessária para garantir que as imagens que foram verificadas anteriormente em busca de vulnerabilidades sejam examinadas novamente para atualizar seus relatórios de vulnerabilidade no caso de uma nova vulnerabilidade ser publicada.
-
A nova verificação é realizada uma vez por dia para:
- Imagens publicadas nos últimos 30 dias.
- Imagens extraídas nos últimos 30 dias.
- As imagens atualmente em execução nos clusters do Kubernetes monitorados pelo Defender para Nuvem (por meio da Descoberta sem agente para Kubernetes ou do sensor do Defender).
-
A nova verificação é realizada uma vez por dia para:
Note
No caso do Defender para registros de contêineres (preterido), as imagens são verificadas uma vez no push, no pull e novamente verificadas apenas uma vez por semana.
Verificação de contêineres em execução na carga de trabalho do cluster
As imagens de contêiner na carga de trabalho do cluster são verificadas da seguinte maneira:
- As imagens vulneráveis verificadas em registros com suporte são identificadas como em execução no cluster pelo processo de descoberta. A execução de imagens de contêiner é verificada a cada 24 horas. O Acesso ao Registro e o acesso à API do Kubernetes ou o sensor do Defender devem estar habilitados.
- As imagens de contêiner são coletadas do ambiente de execução e verificadas quanto a vulnerabilidades, independentemente do registro de origem. A verificação inclui contêineres de propriedade do cliente, complementos do Kubernetes e ferramentas de terceiros em execução no cluster. As imagens de ambiente de runtime são coletadas a cada 24 horas. Para a verificação sem agente em máquinas, o acesso à API do Kubernetes ou o sensor do Defender deve estar habilitado.
Note
- A camada de runtime do contêiner não pode ser verificada quanto a vulnerabilidades.
- As imagens de contêiner de nós que usam discos de SO efêmeros do AKS ou nós do Windows não podem ser verificadas em busca de vulnerabilidades.
- Os clusters do AKS configurados para dimensionamento automático podem fornecer resultados parciais ou nenhum resultado se algum ou todos os nós do cluster estiverem inativos no momento da verificação.
Se eu remover uma imagem do meu registro, quanto tempo até que os relatórios de vulnerabilidades nessa imagem sejam removidos?
Os Registros de Contêiner do Azure notificam o Defender para Nuvem quando as imagens são excluídas e removem a avaliação de vulnerabilidade para imagens excluídas dentro de uma hora. Em alguns casos raros, o Defender para Nuvem pode não ser notificado sobre a exclusão, mas a exclusão das vulnerabilidades associadas nesses casos pode levar até três dias.
Próximas etapas
- Saiba mais sobre os planos do Defender para Cloud.
- Confira as perguntas comuns sobre o Defender para contêineres.