Utilice patrón de cuarentena de imagen de contenedor#
Seguridad · Container Registry · Rule · Preview · 2020_12 · Importante
Sinopsis#
Habilite la cuarentena de imágenes de contenedores, escanee y marque imágenes como verificadas.
Descripción#
La cuarentena de imágenes es una opción configurable para Azure Container Registry (ACR).
Cuando está habilitado, las imágenes enviadas al registro del contenedor no están disponibles de forma predeterminada.
Cada imagen debe verificarse y marcarse como Aprobada antes de que esté disponible para extraer.
Para verificar imágenes de contenedores, integre con una herramienta de seguridad externa que admita esta función.
Recomendación#
Considere configurar una herramienta de seguridad para implementar el patrón de cuarentena de imágenes. Habilite la cuarentena de imágenes en el registro de contenedores para garantizar que cada imagen se verifique antes de su uso.
Ejemplos#
Configurar con plantilla de ARM#
Para implementar registros de contenedores que superen esta regla:
- Establezca
properties.quarantinePolicy.statusaenabled.
Por ejemplo:
{
"type": "Microsoft.ContainerRegistry/registries",
"apiVersion": "2021-06-01-preview",
"name": "[parameters('registryName')]",
"location": "[parameters('location')]",
"sku": {
"name": "Premium"
},
"identity": {
"type": "SystemAssigned"
},
"properties": {
"adminUserEnabled": false,
"policies": {
"quarantinePolicy": {
"status": "enabled"
},
"trustPolicy": {
"status": "enabled",
"type": "Notary"
},
"retentionPolicy": {
"status": "enabled",
"days": 30
}
}
}
}
Configurar con Bicep#
Para implementar registros de contenedores que superen esta regla:
- Establezca
properties.quarantinePolicy.statusaenabled.
Por ejemplo:
resource acr 'Microsoft.ContainerRegistry/registries@2021-06-01-preview' = {
name: registryName
location: location
sku: {
name: 'Premium'
}
identity: {
type: 'SystemAssigned'
}
properties: {
adminUserEnabled: false
policies: {
quarantinePolicy: {
status: 'enabled'
}
trustPolicy: {
status: 'enabled'
type: 'Notary'
}
retentionPolicy: {
status: 'enabled'
days: 30
}
}
}
}
Notas#
La cuarentena de imágenes para Azure Container Registry se encuentra actualmente en versión preliminar.
Enlaces#
- Supervisión de recursos de Azure en Microsoft Defender for Cloud
- ¿Cómo se habilita la cuarentena automática de imágenes para un registro?
- Patrón de cuarentena
- Proteger las imágenes y el tiempo de ejecución
- Referencia de implementación de Azure