Avaliações de vulnerabilidade para GCP com o Microsoft Defender Vulnerability Management
A avaliação de vulnerabilidades para GCP, fornecida pelo Microsoft Defender Vulnerability Management, é uma solução pronta para uso que capacita as equipes de segurança a descobrir e corrigir facilmente vulnerabilidades em imagens de contêineres do Linux, com configuração zero para integração e sem implantação de sensores.
Em todas as contas em que a ativação desse recurso é concluída, todas as imagens armazenadas nos Registros do Google (GAR e GCR) que atendem aos critérios para gatilhos de verificação são verificadas em busca de vulnerabilidades sem qualquer configuração extra de usuários ou registros. São fornecidas recomendações com relatórios de vulnerabilidade para todas as imagens nos Registos Google (GAR e GCR), imagens atualmente em execução no GKE que foram extraídas dos Registos Google (GAR e GCR) ou de qualquer outro registo suportado pelo Defender for Cloud (ACR ou ECR). As imagens são digitalizadas logo após serem adicionadas a um registro e verificadas novamente no intervalo definido no conector GCP.
A avaliação de vulnerabilidade de contêiner fornecida pelo Microsoft Defender Vulnerability Management tem os seguintes recursos:
Verificação de pacotes do sistema operacional - a avaliação de vulnerabilidade do contêiner tem a capacidade de verificar vulnerabilidades em pacotes instalados pelo gerenciador de pacotes do sistema operacional nos sistemas operacionais Linux e Windows. Veja a lista completa do sistema operacional suportado e suas versões.
Pacotes específicos de idioma – somente Linux – suporte para pacotes e arquivos específicos de idioma e suas dependências instaladas ou copiadas sem o gerenciador de pacotes do sistema operacional. Consulte a lista completa de idiomas suportados.
Informações de exploração - Cada relatório de vulnerabilidade é pesquisado através de bancos de dados de exploração para ajudar nossos clientes a determinar o risco real associado a cada vulnerabilidade relatada.
Reporting - Container Vulnerability Assessment for GCP powered by Microsoft Defender Vulnerability Management fornece relatórios de vulnerabilidade usando as seguintes recomendações:
Estas são as novas recomendações de visualização que relatam vulnerabilidades de contêiner de tempo de execução e vulnerabilidades de imagem do Registro. Essas novas recomendações não contam para uma pontuação segura durante a visualização. O mecanismo de verificação para essas novas recomendações é o mesmo que as recomendações atuais da AG e fornece as mesmas descobertas. Essas recomendações seriam mais adequadas para clientes que usam a nova visão baseada em risco para recomendações e têm o plano Defender CSPM habilitado.
Recomendação | Description | Chave de avaliação |
---|---|---|
[Pré-visualização] As imagens de contêiner no registro GCP devem ter as descobertas de vulnerabilidade resolvidas | O Defender for Cloud verifica as imagens do Registro em busca de vulnerabilidades conhecidas (CVEs) e fornece descobertas detalhadas para cada imagem digitalizada. A verificação e correção de vulnerabilidades para imagens de contêiner no registro ajuda a manter uma cadeia de suprimentos de software segura e confiável, reduz o risco de incidentes de segurança e garante a conformidade com os padrões do setor. | 24e37609-dcf5-4a3b-b2b0-b76f2e4e04 |
[Pré-visualização] Os contêineres em execução no GCP devem ter as descobertas de vulnerabilidade resolvidas | O Defender for Cloud cria um inventário de todas as cargas de trabalho de contêiner atualmente em execução em seus clusters Kubernetes e fornece relatórios de vulnerabilidade para essas cargas de trabalho combinando as imagens que estão sendo usadas e os relatórios de vulnerabilidade criados para as imagens do Registro. A verificação e correção de vulnerabilidades de cargas de trabalho de contêineres é fundamental para garantir uma cadeia de suprimentos de software robusta e segura, reduzir o risco de incidentes de segurança e garantir a conformidade com os padrões do setor. | 1B3ABFA4-9E53-46F1-9627-51F2957F8BBA |
Essas recomendações atuais do GA relatam vulnerabilidades em contêineres contidos em um cluster Kubernetes e em imagens de contêiner contidas em um registro de contêiner. Essas recomendações seriam mais adequadas para clientes que usam o modo de exibição clássico para recomendações e não têm o plano Defender CSPM habilitado.
Recomendação | Description | Chave de avaliação |
---|---|---|
As imagens de contêiner do Registro GCP devem ter as descobertas de vulnerabilidade resolvidas (com tecnologia Microsoft Defender Vulnerability Management) - Microsoft Azure | Verifica as imagens de contêiner de seus registros GCP em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. | C27441AE-775C-45BE-8FFA-655DE37362CE |
O GCP que executa imagens de contêiner deve ter as descobertas de vulnerabilidade resolvidas (com tecnologia Microsoft Defender Vulnerability Management) - Microsoft Azure | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. Esta recomendação fornece visibilidade para imagens vulneráveis atualmente em execução em seus clusters do Google Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente a superfície de ataque para suas cargas de trabalho conteinerizadas. | 5cc3a2c1-8397-456f-8792-fe9d0d4c9145 |
Consultar informações de vulnerabilidade através do Gráfico de Recursos do Azure - Capacidade de consultar informações de vulnerabilidade através do Gráfico de Recursos do Azure. Saiba como consultar recomendações via ARG.
Consultar resultados da verificação via API REST - Saiba como consultar os resultados da verificação via API REST.
Gatilhos de varredura
Os gatilhos para uma verificação de imagem são:
Acionamento único:
- Cada imagem enviada para um registro de contêiner é acionada para ser verificada. Na maioria dos casos, a verificação é concluída dentro de algumas horas, mas em casos raros pode levar até 24 horas.
- Cada imagem extraída de um registro é acionada para ser digitalizada dentro de 24 horas.
Acionamento contínuo de nova varredura – a nova verificação contínua é necessária para garantir que as imagens que foram verificadas anteriormente em busca de vulnerabilidades sejam verificadas novamente para atualizar seus relatórios de vulnerabilidade caso uma nova vulnerabilidade seja publicada.
- A nova varredura é realizada uma vez por dia para:
- Imagens divulgadas nos últimos 90 dias.
- Imagens extraídas nos últimos 30 dias.
- Imagens atualmente em execução nos clusters do Kubernetes monitorados pelo Defender for Cloud (via descoberta sem agente para Kubernetes ou o sensor Defender).
- A nova varredura é realizada uma vez por dia para:
Como funciona a digitalização de imagens?
Uma descrição detalhada do processo de digitalização é descrita da seguinte forma:
Ao habilitar a avaliação de vulnerabilidade de contêiner para GCP com tecnologia Microsoft Defender Vulnerability Management, você autoriza o Defender for Cloud a verificar imagens de contêiner em seus registros do Elastic Container.
O Defender for Cloud descobre automaticamente todos os registros, repositórios e imagens de contêineres (criados antes ou depois de ativar esse recurso).
Uma vez por dia, e para novas imagens enviadas para um registo:
- Todas as imagens recém-descobertas são extraídas e um inventário é criado para cada imagem. O inventário de imagens é mantido para evitar mais extrações de imagem, a menos que seja exigido pelos novos recursos do scanner.
- Usando o inventário, os relatórios de vulnerabilidade são gerados para novas imagens e atualizados para imagens verificadas anteriormente que foram enviadas por push nos últimos 90 dias para um registro ou estão em execução no momento. Para determinar se uma imagem está em execução no momento, o Defender for Cloud usa a descoberta sem agente para Kubernetes e o inventário coletado por meio do sensor Defender em execução em nós GKE
- Os relatórios de vulnerabilidade para imagens de contêiner do Registro são fornecidos como recomendação.
Para clientes que usam a descoberta sem agente para Kubernetes ou o inventário coletado por meio do sensor Defender em execução em nós GKE, o Defender for Cloud também cria uma recomendação para corrigir vulnerabilidades para imagens vulneráveis em execução em um cluster GKE. Para clientes que usam apenas a descoberta sem agente para Kubernetes, o tempo de atualização do inventário nesta recomendação é uma vez a cada sete horas. Os clusters que também executam o sensor Defender se beneficiam de uma taxa de atualização de inventário de duas horas. Os resultados da verificação de imagens são atualizados com base na verificação do registro em ambos os casos e, portanto, só são atualizados a cada 24 horas.
Nota
Para o Defender for Container Registries (preterido), as imagens são digitalizadas uma vez por push, on pull e redigitalizadas apenas uma vez por semana.
Se eu remover uma imagem do meu registo, quanto tempo antes de os relatórios de vulnerabilidades sobre essa imagem serem removidos?
Demora 30 horas após uma imagem ser eliminada dos Registos Google (GAR e GCR) antes de os relatórios serem removidos.
Próximos passos
- Saiba mais sobre os planos do Defender for Cloud Defender.
- Confira perguntas comuns sobre o Defender for Containers.