reviewed | severity | pillar | category | resource | preview | online version |
---|---|---|---|---|---|---|
2022-09-27 |
Importante |
Seguridad |
Recursos de Azure |
Container Registry |
true |
Habilite la cuarentena de imágenes de contenedores, escanee y marque imágenes como verificadas.
La cuarentena de imágenes es una opción configurable para Azure Container Registry (ACR).
Cuando está habilitado, las imágenes enviadas al registro del contenedor no están disponibles de forma predeterminada.
Cada imagen debe verificarse y marcarse como Aprobada
antes de que esté disponible para extraer.
Para verificar imágenes de contenedores, integre con una herramienta de seguridad externa que admita esta función.
Considere configurar una herramienta de seguridad para implementar el patrón de cuarentena de imágenes. Habilite la cuarentena de imágenes en el registro de contenedores para garantizar que cada imagen se verifique antes de su uso.
Para implementar registros de contenedores que superen esta regla:
- Establezca
properties.quarantinePolicy.status
aenabled
.
Por ejemplo:
{
"type": "Microsoft.ContainerRegistry/registries",
"apiVersion": "2021-06-01-preview",
"name": "[parameters('registryName')]",
"location": "[parameters('location')]",
"sku": {
"name": "Premium"
},
"identity": {
"type": "SystemAssigned"
},
"properties": {
"adminUserEnabled": false,
"policies": {
"quarantinePolicy": {
"status": "enabled"
},
"trustPolicy": {
"status": "enabled",
"type": "Notary"
},
"retentionPolicy": {
"status": "enabled",
"days": 30
}
}
}
}
Para implementar registros de contenedores que superen esta regla:
- Establezca
properties.quarantinePolicy.status
aenabled
.
Por ejemplo:
resource acr 'Microsoft.ContainerRegistry/registries@2021-06-01-preview' = {
name: registryName
location: location
sku: {
name: 'Premium'
}
identity: {
type: 'SystemAssigned'
}
properties: {
adminUserEnabled: false
policies: {
quarantinePolicy: {
status: 'enabled'
}
trustPolicy: {
status: 'enabled'
type: 'Notary'
}
retentionPolicy: {
status: 'enabled'
days: 30
}
}
}
}
La cuarentena de imágenes para Azure Container Registry se encuentra actualmente en versión preliminar.