Avaliações de vulnerabilidade para o Azure

Concluído

A avaliação de vulnerabilidades para o Azure, da plataforma de Gerenciamento de Vulnerabilidades do Microsoft Defender, é uma solução pronta para uso que capacita as equipes de segurança a descobrir e corrigir facilmente vulnerabilidades em imagens de contêineres, com configuração zero para integração e sem implantação de agentes.

Observação

Esse recurso dá suporte à verificação de imagens somente no ACR (Registro de Contêiner do Azure). As imagens armazenadas em outros registros de contêiner devem ser importadas para o ACR para cobertura. Saiba como Importar imagens de contêiner para um registro de contêiner

Em todas as assinaturas em que essa funcionalidade está habilitada, todas as imagens armazenadas no ACR que atendem aos critérios para disparos de verificação são verificadas quanto a vulnerabilidades sem nenhuma configuração extra de usuários ou registros. Recomendações com relatórios de vulnerabilidade são fornecidas para todas as imagens no ACR, bem como para as imagens atualmente em execução no AKS que foram efetuadas a partir de um registro do ACR ou de qualquer outro registro com suporte do Defender para Nuvem (ECR, GCR ou GAR). As imagens são verificadas logo após serem adicionadas a um registro e verificadas novamente em busca de novas vulnerabilidades uma vez a cada 24 horas.

A avaliação de vulnerabilidades de contêiner do Gerenciamento de Vulnerabilidades do Microsoft Defender tem os seguintes recursos:

  • Verificação de pacotes de SO: a avaliação de vulnerabilidades de contêiner tem a capacidade de verificação de vulnerabilidades em pacotes instalados pelo gerenciador de pacotes do Windows e do Linux.
  • Os Pacotes específicos para um idioma — somente Linux — dão suporte a pacotes e arquivos específicos para um idioma e suas dependências instalados ou copiados sem o gerenciador de pacotes do sistema operacional.
  • Verificação de imagem em Link Privado do Azure – A avaliação de vulnerabilidades de contêiner do Azure fornece a capacidade de verificar imagens nos registros de contêiner acessíveis por meio de Links Privados do Azure. Essa funcionalidade requer acesso a serviços confiáveis e autenticação com o registro. Saiba como permitir o acesso através de serviços confiáveis .
  • Informações de exploração – cada relatório de vulnerabilidade é pesquisado por meio de bancos de dados de exploração para ajudar nossos clientes a determinar o risco real associado a cada vulnerabilidade relatada.
  • Relatando: a avaliação de vulnerabilidades de contêineres para o Azure, da plataforma de Gerenciamento de Vulnerabilidades do Microsoft Defender, fornece relatórios de vulnerabilidade usando as seguintes recomendações:
Recomendação Descrição
As imagens de contêiner do registro do Azure devem ter as vulnerabilidades resolvidas (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação.
As imagens de contêiner em execução do Azure devem ter as vulnerabilidades resolvidas (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. Essa recomendação fornece visibilidade para as imagens vulneráveis atualmente em execução nos seus clusters do Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para aprimorar sua postura de segurança, reduzindo de forma significativa a superfície de ataque das suas cargas de trabalho conteinerizadas.

Gatilhos de verificação

Os gatilhos para uma verificação de imagem são:

  • Gatilho único:

    • Cada imagem enviada por push ou importada para um registro de contêiner é disparada para verificação. Na maioria dos casos, a verificação é concluída em alguns minutos, mas, em casos raros, pode levar até uma hora.
    • Cada imagem extraída de um registro é disparada para ser verificada dentro de 24 horas.
  • Gatilho de novo exame contínuo :o novo exame contínuo é necessário para garantir que as imagens verificadas anteriormente em busca de vulnerabilidades sejam verificadas novamente para atualizar os relatórios de vulnerabilidade, caso uma nova vulnerabilidade seja publicada.

  • O novo exame é realizado uma vez por dia para:

    • Imagens enviadas nos últimos 90 dias.
    • Imagens extraídas nos últimos 30 dias.
    • Imagens atualmente em execução nos clusters do Kubernetes monitorados pelo Defender para Nuvem (por meio da Descoberta sem agente do Kubernetes ou do agente do Defender).

Como funciona a verificação de imagem?

Uma descrição detalhada do processo é a seguinte:

  • Ao habilitar a avaliação de vulnerabilidades de contêineres para o Azure da plataforma de Gerenciamento de Vulnerabilidades do Microsoft Defender, você permite que o Defender para Nuvem verifique as imagens de contêineres em seus Registros de Contêineres da Microsoft.

  • O Defender para Nuvem descobre automaticamente todos os registros, repositórios e imagens de contêineres (criados antes ou depois de habilitar o plano).

  • O Defender para Nuvem recebe notificações sempre que uma nova imagem é enviada por push para um Registro de Contêiner do Azure. Em seguida, a nova imagem é adicionada imediatamente ao catálogo de imagens mantidas pelo Defender para Nuvem e enfileira uma ação para examinar a imagem imediatamente.

  • Uma vez por dia e para novas imagens enviadas por push para um registro:

    • É efetuado pull de todas as imagens recém-descobertas, e um inventário é criado para cada imagem. O inventário de imagens é mantido para evitar mais extrações de imagem, a menos que seja requerido por novos recursos de verificação.
    • Usando o inventário, os relatórios de vulnerabilidade são gerados para novas imagens e atualizados para imagens verificadas anteriormente que foram enviadas nos últimos 90 dias para um registro ou estão em execução no momento. Para determinar se uma imagem está atualmente em execução, o Defender para Nuvem usa Descoberta sem agente do Kubernetes e o inventário coletado por meio do agente do Defender em execução em nós do AKS
    • Os relatórios de vulnerabilidade para imagens de contêiner do registro são fornecidos como uma recomendação.
  • Para os clientes que usam a Descoberta sem agente do Kubernetes ou o inventário coletado por meio do agente do Defender em execução em nós do AKS, o Defender para Nuvem também cria uma recomendação para corrigir as vulnerabilidades de imagens vulneráveis em execução em um cluster do AKS. Para clientes que usam apenas Descoberta sem agente para Kubernetes, o tempo de atualização para inventário nessa recomendação é de uma vez a cada sete horas. Os clusters que também estão executando o agente do Defender se beneficiam de uma taxa de atualização de inventário a cada duas horas. Os resultados da verificação de imagem são atualizados com base na verificação do registro em ambos os casos e, portanto, atualizados apenas a cada 24 horas.

Observação

Para o Defender para Registros de Contêineres (preterido), as imagens são verificadas uma vez no envio, na extração e novamente verificadas apenas uma vez por semana.

Se eu remover uma imagem do meu registro, quanto tempo até que os relatórios de vulnerabilidades nessa imagem sejam removidos?

Os Registros de Contêiner do Azure notificam o Defender para Nuvem quando as imagens são excluídas e removem a avaliação de vulnerabilidade para imagens excluídas dentro de uma hora. Em alguns casos raros, o Defender para Nuvem pode não ser notificado sobre a exclusão e, nesses casos, a exclusão das vulnerabilidades associadas pode levar até três dias.