Microsoft Defender for Containers の概要

Microsoft Defender for Containers は、、コンテナーをセキュリティで保護してクラスター、コンテナー、およびそれらのアプリケーションのセキュリティを向上、監視、保守できるようにする、クラウド ネイティブ ソリューションです。

Defender for Containers は、コンテナー セキュリティの次の主要な側面を支援します。

  • 環境のセキュリティ強化 - Defender for Containers により、Azure Kubernetes Service、オンプレミスまたは IaaS 上の Kubernetes、Amazon EKS のいずれで実行されているかに関係なく。Kubernetes クラスターが保護されます。 Defender for Containers では、クラスターを継続的に評価することによって構成ミスとガイドラインを可視化し、特定された脅威の軽減をサポートします。

  • 脆弱性評価 - ACR レジストリに格納され、Azure Kubernetes Service で実行されているイメージの脆弱性の評価および管理ツール。

  • ノードとクラスターの実行時の脅威保護 - クラスターおよび Linux ノードの脅威保護により、不審なアクティビティに対してセキュリティ アラートが生成されます。

詳細については、Field ビデオ シリーズの Defender for Cloud に関するビデオ「Microsoft Defender for Containers」をご覧ください。

Microsoft Defender for Containers プランの可用性

側面 詳細
リリース状態: 一般公開 (GA)
一部の機能はプレビュー段階です。一覧については、可用性 に関するセクションを参照してください。
使用可能な機能 機能のリリース状態と可用性の詳細については、可用性 に関するセクションを参照してください。
価格: Microsoft Defender for Containers は、価格に関するページに示されているように課金されます
必要なロールとアクセス許可: • 必要なコンポーネントをデプロイするには、各コンポーネントのアクセス許可を参照してください
セキュリティ管理者はアラートを無視できます
セキュリティ閲覧者は、脆弱性評価の結果を表示できます
Azure Container Registry のロールとアクセス許可」も参照してください。
クラウド: Azure:
商用クラウド
国内クラウド (Azure Government、Azure China 21Vianet) (プレビュー機能を除く))

Azure 以外:
接続されている AWS アカウント (プレビュー)
接続された GCP プロジェクト (プレビュー)
Arc 対応 Kubernetes を介してサポートされるオンプレミス/IaaS (プレビュー)。

詳細については、可能性のセクションを参照してください。

セキュリティ強化

Kubernetes クラスターの継続的な監視 - ホストされている場所を問わない

Defender for Cloud では、クラスターの構成を継続的に評価し、それらを、サブスクリプションに適用されているイニシアチブと比較します。 構成ミスが見つかると、Defender for Cloud の [レコメンデーション] ページには、使用できるセキュリティに関する推奨事項が生成されます。 レコメンデーションを使用すると、問題を調査して修復できます。 この機能に表示される可能性がある推奨事項の詳細については、レコメンデーション参照テーブルのコンピューティング セクションをご覧ください。

EKS 上の Kubernetes クラスターについては、AWS アカウントを Microsoft Defender for Cloud に接続し、CSPM プランを有効にしたことを確認する必要があります。

リソース フィルターを使用して、資産インベントリまたは [レコメンデーション] ページのいずれであるかに関わらず、コンテナー関連リソースに関する未解決の推奨事項を確認できます。

リソース フィルターの場所を示すスクリーンショット。

Kubernetes データ プレーンのセキュリティ強化

カスタマイズされたレコメンデーションで Kubernetes コンテナーのワークロードを保護するには、Azure Policy for Kubernetes をインストールします。 Defender for Cloud の監視コンポーネントに関する詳細をご覧ください。

AKS クラスターにアドオンが存在する場合、Kubernetes API サーバーに対するすべての要求が、クラスターに保存される前に、事前定義された一連のベスト プラクティスを基準にして監視されます。 その後、ベスト プラクティスを適用し、それを将来のワークロードに対して要求するように構成できます。

たとえば、特権コンテナーが作成されないように要求することができます。また、今後の特権コンテナー作成要求はすべてブロックされます。

Kubernetes データ プレーンのセキュリティ強化の詳細を確認できます。

脆弱性評価

コンテナー レジストリ内のイメージのスキャン

Defender for Containers は、Azure Container Registry (ACR) と Amazon AWS Elastic Container Registry (ECR) 内のコンテナーをスキャンして、イメージに既知の脆弱性があるかどうかを通知します。

コンテナー レジストリにイメージをプッシュし、そのイメージがコンテナー レジストリに格納されている間に、Defender for Containers によって自動的にスキャンされます。 Defender for Containers は、イメージ ファイルで定義されているパッケージまたは依存関係の既知の脆弱性をチェックします。

スキャンが完了すると、検出された各脆弱性の詳細、検出された各脆弱性のセキュリティ分類、および問題を修復して脆弱な攻撃対象領域を保護する方法に関するガイダンスが Defender for Containers によって提供されます。

各項目の詳細情報

Kubernetes ノードとクラスターの実行時の保護

Defender for Containers には、コンテナー化された環境に対するリアルタイムの脅威の防止機能が用意されていて、不審なアクティビティに対してはアラートが生成されます。 ユーザーは、この情報を使用して、迅速にセキュリティの問題を修復し、コンテナーのセキュリティを強化することができます。 クラスター レベルの脅威保護は、Defender エージェントと Kubernetes 監査ログの分析によって提供されます。 このレベルのイベントの例としては、公開された Kubernetes ダッシュボード、高い特権を持つロールの作成、機密性の高いマウントの作成があります。

Defender for Containers には、60 を超える Kubernetes 対応の分析、AI、ランタイム ワークロードに基づいた異常検出によるホストレベルの脅威検出が含まれています。

Defender for Cloud は、Center for Threat-Informed Defense& が Microsoft などと緊密に連携して開発したフレームワークである MITRE ATTCK® matrix for Containers に基づいて、マルチクラウド Kubernetes デプロイの攻撃対象領域を監視します。

FAQ - Defender for Containers

新しいプランを大規模に有効にするオプションは何ですか?

Azure Policy Configure Microsoft Defender for Containers to be enabled を使用して、Defender for Containers を大規模に有効にすることができます。 Microsoft Defender for Containers を有効にするために使用できる、すべてのオプションを確認することもできます。

Microsoft Defender for Containers は、仮想マシン スケール セットを含む AKS クラスターをサポートしていますか?

はい。

Microsoft Defender for Containers は、スケール セット (既定) のない AKS をサポートしていますか?

いいえ。 ノードに対して Virtual Machine Scale Sets を使用する Azure Kubernetes Service (AKS) クラスターのみサポートされています。

セキュリティ保護のために、AKS ノードに Log Analytics VM 拡張機能をインストールする必要がありますか?

いいえ。AKS はマネージド サービスであり、IaaS リソースの操作はサポートされていません。 Log Analytics VM 拡張機能は必要ありません。追加料金が発生する可能性があります。

詳細

Defender for Containers の詳細については、次のブログを参照してください。

Defender for Containers のリリース状態は、環境と機能という 2 つのディメンションによって分類されます。 以下に例を示します。

  • AKS クラスターに関する Kubernetes データ プレーンの推奨事項は一般提供されています
  • EKS クラスターに関する Kubernetes データ プレーンの推奨事項はプレビュー段階です

機能と環境の全マトリックスの状態を表示するには、「Microsoft Defender for Containers の機能の可用性」を参照してください。

次のステップ

この概要では、Microsoft Defender for Cloud でのコンテナー セキュリティの中核となる要素について説明しました。 プランを有効にするには、以下を参照してください。