Compartilhar via


Introdução ao Microsoft Defender para Registros de Contêiner (preterido)

Importante

Iniciamos uma versão prévia pública da Avaliação de Vulnerabilidades do Azure da MDVM. Para mais informações, confira Avaliações de vulnerabilidade para o Azure com o Gerenciamento de Vulnerabilidades do Microsoft Defender.

O ACR (Registro de Contêiner do Azure) é um serviço de registro gerenciado e privado do Docker que armazena e gerencia suas imagens de contêiner para implantações do Azure em um registro central. Ele é baseado no Registro do Docker 2.0 de software livre.

Para proteger os registros de sua assinatura baseados no Azure Resource Manager, habilite o Microsoft Defender para registros de contêiner no nível da assinatura. O Defender para Nuvem examinará todas as imagens quando elas forem enviadas por push para o registro, importadas para o registro ou extraídas nos últimos 30 dias. Você será cobrado uma vez por cada imagem examinada.

Disponibilidade

Importante

O Microsoft Defender para registros de contêiner foi substituído pelo Microsoft Defender para Contêineres. Se você já tiver habilitado o Defender para registros de contêiner em uma assinatura, poderá continuar a usá-lo. No entanto, você não obterá melhorias e novos recursos do Defender para Contêineres.

Esse plano não está mais disponível para assinaturas em que ele ainda não está habilitado.

Para atualizar para o Microsoft Defender para Contêineres, abra a página planos do Defender no portal e habilite o novo plano:

Habilitar Microsoft Defender para contêineres da página Planos do Defender.

Saiba mais sobre essa alteração na nota sobre a versão.

Aspecto Detalhes
Estado da versão: Preterido (Use o Microsoft Defender para contêineres)
Registros e imagens com suporte: Imagens do Linux em registros do ACR acessíveis na Internet pública com acesso de shell
Registros do ACR protegidos com Link Privado do Azure
Registros e imagens sem suporte: Imagens do Windows
Registros "privados" (a menos que seja concedido acesso aos Serviços Confiáveis)
Imagens extremamente minimalistas, como imagens scratch do Docker, ou imagens "Distroless" que contêm apenas um aplicativo e as dependências de runtime dele sem gerenciador de pacotes, shell nem SO
Imagens com Especificação de formato de imagem de OCI (Open Container Initiative)
Funções e permissões necessárias: Leitor de segurança e funções e permissões do Registro de Contêiner do Azure
Nuvens: Nuvens comerciais
Nacionais (Azure Governamental, Microsoft Azure operado pela 21Vianet)

Quais são os benefícios do Microsoft Defender para registros de contêiner?

O Defender para Nuvem identifica os registros do ACR baseados no Azure Resource Manager de sua assinatura e fornece diretamente a avaliação e o gerenciamento nativos do Azure das vulnerabilidades para as imagens do registro.

O Microsoft Defender para registros de contêiner inclui um verificador de vulnerabilidade para verificar as imagens nos seus registros do Registro de Contêiner do Azure baseados no Azure Resource Manager e fornecer uma visibilidade mais profunda das vulnerabilidades de suas imagens.

Quando forem encontrados problemas, você será notificado no painel de proteção da carga de trabalho. Para cada vulnerabilidade, o Defender para Nuvem fornece recomendações práticas, juntamente com uma classificação de severidade e diretrizes sobre como corrigir o problema. Saiba mais sobre recomendações de contêiner.

O Defender para Nuvem filtra e classifica as descobertas do verificador. Quando uma imagem está íntegra, o Defender para Nuvem a marca como tal. O Defender para Nuvem gera recomendações de segurança apenas para as imagens que têm problemas a serem resolvidos. Ele fornece detalhes de cada vulnerabilidade relatada e uma classificação de severidade. Além disso, oferece diretrizes de como corrigir as vulnerabilidades específicas encontradas em cada imagem.

Notificando você apenas quando há problemas, o Defender para Nuvem reduz o potencial de alertas informativos indesejados.

Quando as imagens são verificadas?

Há três gatilhos para uma verificação de imagem:

  • No momento do push – sempre que uma imagem é enviada por push ao registro, o Defender para registros de contêiner verifica automaticamente essa imagem. Para disparar a verificação de uma imagem, envie-a por push ao repositório.

  • Recém-extraída – como novas vulnerabilidades são descobertas todos os dias, o Microsoft Defender para registros de contêiner também verifica, semanalmente, qualquer imagem que tenha sido extraída nos últimos 30 dias. Não há nenhum custo adicional para esses novos exames; conforme mencionado acima, você é cobrado uma vez por imagem.

  • No momento da importação: o Registro de Contêiner do Azure tem ferramentas de importação para levar as imagens do Docker Hub, do Registro de Contêiner da Microsoft ou de outro registro de contêiner do Azure para o seu registro. O Microsoft Defender para registros de contêiner examina as imagens compatíveis importadas. Saiba mais em Importar imagens de contêiner para um registro de contêiner.

Normalmente, a verificação é concluída em 2 minutos, mas pode levar até 40 minutos. As descobertas são disponibilizadas como recomendações de segurança como esta:

Exemplo de recomendação do Microsoft Defender para Nuvem sobre vulnerabilidades descobertas em uma imagem hospedada do ACR (Registro de Contêiner do Azure).

Como o Defender para Nuvem funciona com o Registro de Contêiner do Azure

Veja abaixo um diagrama de alto nível dos componentes e dos benefícios de proteger seus registros com o Defender para Nuvem.

Visão geral de alto nível do Microsoft Defender para Nuvem e do ACR (Registro de Contêiner do Azure).

Perguntas frequentes sobre a verificação de imagens do Registro de Contêiner do Azure

Como o Defender para Nuvem examina uma imagem?

O Defender para Nuvem extrai a imagem do registro e a executa em uma área restrita isolada com o verificador. O verificador extrai uma lista de vulnerabilidades conhecidas.

O Defender para Nuvem filtra e classifica as descobertas do verificador. Quando uma imagem está íntegra, o Defender para Nuvem a marca como tal. O Defender para Nuvem gera recomendações de segurança apenas para as imagens que têm problemas a serem resolvidos. Notificando você apenas quando há problemas, o Defender para Nuvem reduz o potencial de alertas informativos indesejados.

Posso obter os resultados da verificação por meio da API REST?

Sim. Os resultados ficam na API do REST de subavaliações. Além disso, você pode usar o ARG (Azure Resource Graph), a API semelhante ao Kusto para todos os seus recursos: uma consulta pode buscar uma verificação específica.

Quais tipos de registro são verificados? Quais tipos são cobrados?

Para obter uma lista dos tipos de registros de contêiner compatíveis com o Microsoft Defender para registros de contêiner, confira Disponibilidade.

Se você conectar registros sem suporte à sua assinatura do Azure, o Defender para Nuvem não os verificará nem cobrará por eles.

Posso personalizar as descobertas do verificador de vulnerabilidades?

Sim. Caso você tenha uma necessidade organizacional para ignorar uma descoberta, em vez de corrigi-la, você pode opcionalmente desabilitá-la. As descobertas desabilitadas não afetam sua classificação de segurança nem geram um ruído indesejado.

Saiba mais sobre como criar regras para desabilitar as descobertas da ferramenta de avaliação de vulnerabilidade integrada.

Por que o Defender para Nuvem está me alertando sobre as vulnerabilidades de uma imagem que não está no meu registro?

O Defender para Nuvem fornece avaliações de vulnerabilidade de todas as imagens das quais foi efetuado pull ou push em um registro. Algumas imagens podem reutilizar as marcas de uma imagem que já foi digitalizada. Por exemplo, você pode reatribuir a marca "Mais recente" sempre que adicionar uma imagem a um resumo da mensagem. Nesses casos, a imagem ‘antiga ainda existe no registro e ainda pode ser puxada pelo resumo da mensagem. Se a imagem tiver descobertas de segurança e for extraída, ela vai expor vulnerabilidades.

Próximas etapas