Azure.ACR.Quarantine.md

reviewed	severity	pillar	category	resource	preview	online version
2022-09-27	Importante	Seguridad	Recursos de Azure	Container Registry	true	https://azure.github.io/PSRule.Rules.Azure/es/rules/Azure.ACR.Quarantine/

Utilice patrón de cuarentena de imagen de contenedor

Sinopsis

Habilite la cuarentena de imágenes de contenedores, escanee y marque imágenes como verificadas.

Descripción

La cuarentena de imágenes es una opción configurable para Azure Container Registry (ACR). Cuando está habilitado, las imágenes enviadas al registro del contenedor no están disponibles de forma predeterminada. Cada imagen debe verificarse y marcarse como Aprobada antes de que esté disponible para extraer.

Para verificar imágenes de contenedores, integre con una herramienta de seguridad externa que admita esta función.

Recomendación

Considere configurar una herramienta de seguridad para implementar el patrón de cuarentena de imágenes. Habilite la cuarentena de imágenes en el registro de contenedores para garantizar que cada imagen se verifique antes de su uso.

Ejemplos

Configurar con plantilla de ARM

Para implementar registros de contenedores que superen esta regla:

• Establezca properties.quarantinePolicy.status a enabled.

Por ejemplo:

{
  "type": "Microsoft.ContainerRegistry/registries",
  "apiVersion": "2021-06-01-preview",
  "name": "[parameters('registryName')]",
  "location": "[parameters('location')]",
  "sku": {
    "name": "Premium"
  },
  "identity": {
    "type": "SystemAssigned"
  },
  "properties": {
    "adminUserEnabled": false,
    "policies": {
      "quarantinePolicy": {
        "status": "enabled"
      },
      "trustPolicy": {
        "status": "enabled",
        "type": "Notary"
      },
      "retentionPolicy": {
        "status": "enabled",
        "days": 30
      }
    }
  }
}

Configurar con Bicep

Para implementar registros de contenedores que superen esta regla:

• Establezca properties.quarantinePolicy.status a enabled.

Por ejemplo:

resource acr 'Microsoft.ContainerRegistry/registries@2021-06-01-preview' = {
  name: registryName
  location: location
  sku: {
    name: 'Premium'
  }
  identity: {
    type: 'SystemAssigned'
  }
  properties: {
    adminUserEnabled: false
    policies: {
      quarantinePolicy: {
        status: 'enabled'
      }
      trustPolicy: {
        status: 'enabled'
        type: 'Notary'
      }
      retentionPolicy: {
        status: 'enabled'
        days: 30
      }
    }
  }
}

Notas

La cuarentena de imágenes para Azure Container Registry se encuentra actualmente en versión preliminar.

Enlaces

• Supervisión de recursos de Azure en Microsoft Defender for Cloud
• ¿Cómo se habilita la cuarentena automática de imágenes para un registro?
• Patrón de cuarentena
• Proteger las imágenes y el tiempo de ejecución
• Referencia de implementación de Azure