Defender for Cloud でのコンテナー サポート マトリックス
注意事項
この記事では、2024 年 6 月 30 日にサポート終了 (EOL) になる Linux ディストリビューションである CentOS について説明します。 適宜、使用と計画を検討してください。 詳細については、「CentOS のサポート終了に関するガイダンス」を参照してください。
この記事には、Microsoft Defender for Cloud でのコンテナー機能のサポート情報がまとめられています。
Note
- 具体的な機能はプレビュー段階です。 Microsoft Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される他の法律条項が含まれています。
- Defender for Cloud では、クラウド ベンダーによってサポートされる AKS、EKS、GKE のバージョンのみが正式にサポートされます。
Azure
Defender for Containers 内の各ドメインの機能を次に示します。
セキュリティ体制管理
| 特徴量 | 説明 | サポートされているリソース | Linux リリース状態 | Windows リリース状態 | 有効化方法 | センサー | プラン | Azure クラウドの可用性 |
|---|---|---|---|---|---|---|---|---|
| Kubernetes のエージェントレス検出 | Kubernetes のクラスター、その構成とデプロイが、フットプリントがゼロの API ベースで検出されます。 | AKS | GA | GA | [Kubernetes のエージェントレス検出] トグルを有効にする | エージェントレス | Defender for Containers または Defender CSPM | Azure 商用クラウド |
| 包括的なインベントリ機能 | セキュリティ エクスプローラーを使用してリソース、ポッド、サービス、リポジトリ、イメージ、および構成を探索し、資産を簡単に監視および管理できます。 | ACR、AKS | GA | GA | [Kubernetes のエージェントレス検出] トグルを有効にする | エージェントレス | Defender for Containers または Defender CSPM | Azure 商用クラウド |
| 攻撃パス分析 | クラウド セキュリティ グラフをスキャンする、グラフ ベースのアルゴリズム。 このスキャンは、ご利用の環境を攻撃者が侵害するために使用する恐れのある、悪用可能なパスを明らかにします。 | ACR、AKS | GA | GA | プランでアクティブ化済み | エージェントレス | Defender CSPM (Kubernetes のエージェントレス検出を有効にする必要があります) | Azure 商用クラウド |
| 強化されたリスク ハンティング | セキュリティ管理者は、セキュリティ エクスプローラーのクエリ (組み込みおよびカスタム) とセキュリティ分析情報を使用して、コンテナー化された資産にある態勢の問題を積極的に検出できます。 | ACR、AKS | GA | GA | [Kubernetes のエージェントレス検出] トグルを有効にする | エージェントレス | Defender for Containers または Defender CSPM | Azure 商用クラウド |
| コントロール プレーンのセキュリティ強化 | クラスターの構成を継続的に評価し、それらを、サブスクリプションに適用されているイニシアチブと比較します。 構成ミスが見つかると、Defender for Cloud の [レコメンデーション] ページには、使用できるセキュリティに関する推奨事項が生成されます。 レコメンデーションを使用すると、問題を調査して修復できます。 | ACR、AKS | GA | GA | プランでアクティブ化済み | エージェントレス | Free | 商用クラウド ナショナル クラウド: Azure Government、21Vianet が運営する Azure |
| Kubernetes データ プレーンのセキュリティ強化 | Kubernetes コンテナーのワークロードをベスト プラクティスの推奨事項で保護します。 | AKS | GA | - | [Azure Policy for Kubernetes] トグルを有効にする | Azure Policy | Free | 商用クラウド ナショナル クラウド: Azure Government、21Vianet が運営する Azure |
| Docker CIS | Docker CIS ベンチマーク | VM、仮想マシン スケール セット | GA | - | プランで有効化済み | Log Analytics エージェント | Defender for Servers プラン 2 | 商用クラウド ナショナル クラウド: Azure Government、21Vianet が運営する Microsoft Azure |
脆弱性評価
| 特徴量 | 説明 | サポートされているリソース | Linux リリース状態 | Windows リリース状態 | 有効化方法 | センサー | プラン | Azure クラウドの可用性 |
|---|---|---|---|---|---|---|---|---|
| エージェントレス レジストリ スキャン (Powered by Microsoft Defender 脆弱性の管理) でサポートされるパッケージ | ACR における画像の脆弱性評価 | ACR、プライベート ACR | GA | GA | [エージェントレス コンテナーの脆弱性評価] トグルを有効にする | エージェントレス | Defender for Containers または Defender CSPM | 商用クラウド ナショナル クラウド: Azure Government、21Vianet が運営する Azure |
| エージェントレス/エージェント ベースのランタイム (Powered by Microsoft Defender 脆弱性の管理) でサポートされるパッケージ | AKS で実行中の画像の脆弱性評価 | AKS | GA | GA | [エージェントレス コンテナーの脆弱性評価] トグルを有効にする | エージェントレス (Kubernetes のエージェントレス検出が必要) または/および Defender センサー | Defender for Containers または Defender CSPM | 商用クラウド ナショナル クラウド: Azure Government、21Vianet が運営する Azure |
ランタイム脅威防止
| 特徴量 | 説明 | サポートされているリソース | Linux リリース状態 | Windows リリース状態 | 有効化方法 | センサー | プラン | Azure クラウドの可用性 |
|---|---|---|---|---|---|---|---|---|
| コントロール プレーン | Kubernetes の監査証跡に基づく Kubernetes の疑わしいアクティビティの検出 | AKS | GA | GA | プランで有効化済み | エージェントレス | Defender for Containers | 商用クラウド ナショナル クラウド: Azure Government、21Vianet が運営する Azure |
| ワークロード | クラスター レベル、ノード レベル、ワークロード レベルでの Kubernetes の疑わしいアクティビティの検出 | AKS | GA | - | [Azure 内の Defender センサー] トグルを有効にするまたは個々のクラスター上に Defender センサートをデプロイする | Defender センサー | Defender for Containers | 商用クラウド 各国のクラウド: Azure Government、Azure China 21Vianet |
デプロイと監視
| 特徴量 | 説明 | サポートされているリソース | Linux リリース状態 | Windows リリース状態 | 有効化方法 | センサー | プラン | Azure クラウドの可用性 |
|---|---|---|---|---|---|---|---|---|
| 保護されていないクラスターの検出 | Defender センサーが見つからない Kubernetes クラスターの検出 | AKS | GA | GA | プランで有効化済み | エージェントレス | Free | 商用クラウド ナショナル クラウド: Azure Government、21Vianet が運営する Azure |
| Defender センサーの自動プロビジョニング | Defender センサーの自動デプロイ | AKS | GA | - | [Azure 内の Defender センサー] トグルを有効にする | エージェントレス | Defender for Containers | 商用クラウド ナショナル クラウド: Azure Government、21Vianet が運営する Azure |
| Kubernetes 用 Azure Policy の自動プロビジョニング | Kubernetes 用 Azure Policy センサーの自動デプロイ | AKS | GA | - | [Azure Policy for Kubernetes] トグルを有効にする | エージェントレス | Free | 商用クラウド ナショナル クラウド: Azure Government、21Vianet が運営する Azure |
Azure のレジストリとイメージのサポート - 脆弱性評価 Powered by Microsoft Defender 脆弱性の管理
| 側面 | 詳細 |
|---|---|
| レジストリとイメージ | サポートあり * ACR レジストリ * Azure Private Link で保護された ACR レジストリ (プライベート レジストリは信頼されたサービスにアクセスできる必要があります) * Docker V2 形式のコンテナー イメージ * Open Container Initiative (OCI) のイメージ形式仕様を使用するイメージ サポート対象外 * Docker scratch イメージなどのスーパーミニマリスト イメージ 現在はサポートされていません |
| オペレーティング システム | サポートあり * Alpine Linux 3.12 - 3.19 * Red Hat Enterprise Linux 6 - 9 * CentOS 6 - 9。 (CentOS は、2024 年 6 月 30 日にサポート終了 (EOL) になります。 詳細については、「CentOS のサポート終了に関するガイダンス」を参照してください。) * Oracle Linux 6 - 9 * Amazon Linux 1、2 * openSUSE Leap、openSUSE Tumbleweed * SUSE Enterprise Linux 11 - 15 * Debian GNU/Linux 7 - 12 * Google Distroless (Debian GNU/Linux 7 - 12 ベース) * Ubuntu 12.04 - 22.04 * Fedora 31 - 37 * Mariner 1 - 2 * Windows Server 2016、2019、2022 |
| 言語固有のパッケージ |
サポートあり * Python * Node.js * .NET * JAVA * Go |
Azure 用の Kubernetes ディストリビューションと構成 - ランタイムの脅威に対する保護
| 側面 | 詳細 |
|---|---|
| Kubernetes ディストリビューションと構成 | サポートあり * Azure Kubernetes Service (AKS) と Kubernetes RBAC Arc 対応 Kubernetes を介してサポートされます 1 2 * Azure Kubernetes Service ハイブリッド * Kubernetes * AKS エンジン * Azure Red Hat OpenShift |
1 Cloud Native Computing Foundation (CNCF) 認定 Kubernetes クラスターはすべてサポートされますが、指定されたクラスターのみが Azure でテストされています。
2Microsoft Defender for Containers で環境を保護するには、Azure Arc 対応 Kubernetes をオンボードし、Defender for Containers を Arc 拡張機能として有効にする必要があります。
Note
Kubernetes ワークロード保護のその他の要件については、既存の制限事項に関する記事を参照してください。
AWS
| Domain | 特徴量 | サポートされているリソース | Linux リリース状態 | Windows リリース状態 | エージェントレス/センサー ベース | 価格レベル |
|---|---|---|---|---|---|---|
| セキュリティ体制管理 | Kubernetes のエージェントレス検出 | EKS | GA | GA | エージェントレス | Defender for Containers または Defender CSPM |
| セキュリティ体制管理 | 包括的なインベントリ機能 | ECR、EKS | GA | GA | エージェントレス | Defender for Containers または Defender CSPM |
| セキュリティ体制管理 | 攻撃パス分析 | ECR、EKS | GA | GA | エージェントレス | Defender CSPM |
| セキュリティ体制管理 | 強化されたリスク ハンティング | ECR、EKS | GA | GA | エージェントレス | Defender for Containers または Defender CSPM |
| セキュリティ体制管理 | Docker CIS | EC2 | GA | - | Log Analytics エージェント | Defender for Servers プラン 2 |
| セキュリティ体制管理 | コントロール プレーンのセキュリティ強化 | - | - | - | - | - |
| セキュリティ体制管理 | Kubernetes データ プレーンのセキュリティ強化 | EKS | GA | - | Kubernetes 用の Azure Policy | Defender for Containers |
| 脆弱性評価 | エージェントレス レジストリ スキャン (Powered by Microsoft Defender 脆弱性の管理) でサポートされるパッケージ | ECR | GA | GA | エージェントレス | Defender for Containers または Defender CSPM |
| 脆弱性評価 | エージェントレス/センサー ベースのランタイム (Microsoft Defender 脆弱性の管理を利用) でサポートされるパッケージ | EKS | GA | GA | エージェントレスまたは/および Defender センサー | Defender for Containers または Defender CSPM |
| 実行時の保護 | コントロール プレーン | EKS | GA | GA | エージェントレス | Defender for Containers |
| 実行時の保護 | ワークロード | EKS | GA | - | Defender センサー | Defender for Containers |
| デプロイと監視 | 保護されていないクラスターの検出 | EKS | GA | GA | エージェントレス | Defender for Containers |
| デプロイと監視 | Defender センサーの自動プロビジョニング | EKS | GA | - | - | - |
| デプロイと監視 | Kubernetes 用 Azure Policy の自動プロビジョニング | EKS | GA | - | - | - |
AWS のレジストリとイメージのサポート - 脆弱性評価 Powered by Microsoft Defender 脆弱性の管理
| 側面 | 詳細 |
|---|---|
| レジストリとイメージ | サポートあり * ECR レジストリ * Docker V2 形式のコンテナー イメージ * Open Container Initiative (OCI) のイメージ形式仕様を使用するイメージ サポート対象外 * Docker scratch イメージなどのスーパーミニマリスト イメージは現在サポートされていません * パブリック リポジトリ * マニフェスト リスト |
| オペレーティング システム | サポートあり * Alpine Linux 3.12 - 3.19 * Red Hat Enterprise Linux 6 - 9 * CentOS 6 - 9 (CentOS は 2024 年 6 月 30 日にサポート終了 (EOL) になります)。 詳細については、「CentOS のサポート終了に関するガイダンス」を参照してください。) * Oracle Linux 6 - 9 * Amazon Linux 1、2 * openSUSE Leap、openSUSE Tumbleweed * SUSE Enterprise Linux 11 - 15 * Debian GNU/Linux 7 - 12 * Google Distroless (Debian GNU/Linux 7 - 12 ベース) * Ubuntu 12.04 - 22.04 * Fedora 31 - 37 * Mariner 1 - 2 * Windows Server 2016、2019、2022 |
| 言語固有のパッケージ |
サポートあり * Python * Node.js * .NET * JAVA * Go |
AWS 用の Kubernetes ディストリビューション/構成のサポート - ランタイムの脅威に対する保護
| 側面 | 詳細 |
|---|---|
| Kubernetes ディストリビューションと構成 | サポートあり * Amazon Elastic Kubernetes Service (EKS) Arc 対応 Kubernetes を介してサポートされます 1 2 * Kubernetes サポート対象外 * EKS プライベート クラスター |
1 Cloud Native Computing Foundation (CNCF) 認定 Kubernetes クラスターはすべてサポートされますが、指定されたクラスターのみがテストされています。
2Microsoft Defender for Containers で環境を保護するには、Azure Arc 対応 Kubernetes をオンボードし、Defender for Containers を Arc 拡張機能として有効にする必要があります。
Note
Kubernetes ワークロード保護のその他の要件については、既存の制限事項に関する記事を参照してください。
送信プロキシのサポート - AWS
認証なしの送信プロキシと基本認証を使用した送信プロキシがサポートされます。 現時点では、信頼できる証明書が必要な送信プロキシはサポートされていません。
IP 制限があるクラスター - AWS
AWS の Kubernetes クラスターでコントロール プレーンの IP 制限が有効になっている場合 (「Amazon EKS クラスター エンドポイントアクセス制御 - Amazon EKS,」を参照)、コントロール プレーンの IP 制限構成が更新され、Microsoft Defender for Cloud の CIDR ブロックが含まれます。
GCP
| Domain | 特徴量 | サポートされているリソース | Linux リリース状態 | Windows リリース状態 | エージェントレス/センサー ベース | 価格レベル |
|---|---|---|---|---|---|---|
| セキュリティ体制管理 | Kubernetes のエージェントレス検出 | GKE | GA | GA | エージェントレス | Defender for Containers または Defender CSPM |
| セキュリティ体制管理 | 包括的なインベントリ機能 | GAR、GCR、GKE | GA | GA | エージェントレス | Defender for Containers または Defender CSPM |
| セキュリティ体制管理 | 攻撃パス分析 | GAR、GCR、GKE | GA | GA | エージェントレス | Defender CSPM |
| セキュリティ体制管理 | 強化されたリスク ハンティング | GAR、GCR、GKE | GA | GA | エージェントレス | Defender for Containers または Defender CSPM |
| セキュリティ体制管理 | Docker CIS | GCP VM | GA | - | Log Analytics エージェント | Defender for Servers プラン 2 |
| セキュリティ体制管理 | コントロール プレーンのセキュリティ強化 | GKE | GA | GA | エージェントレス | Free |
| セキュリティ体制管理 | Kubernetes データ プレーンのセキュリティ強化 | GKE | GA | - | Kubernetes 用の Azure Policy | Defender for Containers |
| 脆弱性評価 | エージェントレス レジストリ スキャン (Powered by Microsoft Defender 脆弱性の管理) でサポートされるパッケージ | GAR、GCR | GA | GA | エージェントレス | Defender for Containers または Defender CSPM |
| 脆弱性評価 | エージェントレス/センサー ベースのランタイム (Microsoft Defender 脆弱性の管理を利用) でサポートされるパッケージ | GKE | GA | GA | エージェントレスまたは/および Defender センサー | Defender for Containers または Defender CSPM |
| 実行時の保護 | コントロール プレーン | GKE | GA | GA | エージェントレス | Defender for Containers |
| 実行時の保護 | ワークロード | GKE | GA | - | Defender センサー | Defender for Containers |
| デプロイと監視 | 保護されていないクラスターの検出 | GKE | GA | GA | エージェントレス | Defender for Containers |
| デプロイと監視 | Defender センサーの自動プロビジョニング | GKE | GA | - | エージェントレス | Defender for Containers |
| デプロイと監視 | Kubernetes 用 Azure Policy の自動プロビジョニング | GKE | GA | - | エージェントレス | Defender for Containers |
GCP のレジストリとイメージのサポート - 脆弱性評価 Powered by Microsoft Defender 脆弱性の管理
| 側面 | 詳細 |
|---|---|
| レジストリとイメージ | サポートあり * Google レジストリ (GAR、GCR) * Docker V2 形式のコンテナー イメージ * Open Container Initiative (OCI) のイメージ形式仕様を使用するイメージ サポート対象外 * Docker scratch イメージなどのスーパーミニマリスト イメージは現在サポートされていません * パブリック リポジトリ * マニフェスト リスト |
| オペレーティング システム | サポートあり * Alpine Linux 3.12 - 3.19 * Red Hat Enterprise Linux 6 - 9 * CentOS 6 - 9 (CentOS は 2024 年 6 月 30 日にサポート終了 (EOL) になります)。 詳細については、「CentOS のサポート終了に関するガイダンス」を参照してください。) * Oracle Linux 6 - 9 * Amazon Linux 1、2 * openSUSE Leap、openSUSE Tumbleweed * SUSE Enterprise Linux 11 - 15 * Debian GNU/Linux 7 - 12 * Google Distroless (Debian GNU/Linux 7 - 12 ベース) * Ubuntu 12.04 - 22.04 * Fedora 31 - 37 * Mariner 1 - 2 * Windows Server 2016、2019、2022 |
| 言語固有のパッケージ |
サポートあり * Python * Node.js * .NET * JAVA * Go |
GCP 用の Kubernetes ディストリビューション/構成のサポート - ランタイムの脅威に対する保護
| 側面 | 詳細 |
|---|---|
| Kubernetes ディストリビューションと構成 | サポートあり * Google Kubernetes Engine (GKE) Standard Arc 対応 Kubernetes を介してサポートされます 1 2 * Kubernetes サポート対象外 * プライベート ネットワーク クラスター *• GKE autopilot * GKE AuthorizedNetworksConfig |
1 Cloud Native Computing Foundation (CNCF) 認定 Kubernetes クラスターはすべてサポートされますが、指定されたクラスターのみがテストされています。
2Microsoft Defender for Containers で環境を保護するには、Azure Arc 対応 Kubernetes をオンボードし、Defender for Containers を Arc 拡張機能として有効にする必要があります。
Note
Kubernetes ワークロード保護のその他の要件については、既存の制限事項に関する記事を参照してください。
送信プロキシのサポート - GCP
認証なしの送信プロキシと基本認証を使用した送信プロキシがサポートされます。 現時点では、信頼できる証明書が必要な送信プロキシはサポートされていません。
IP 制限があるクラスター - GCP
GCP の Kubernetes クラスターでコントロール プレーンの IP 制限が有効になっている場合 (「コントロール プレーン アクセス用に承認されたネットワークを追加する | Google Kubernetes Engine (GKE) | Google Cloud」を参照)、コントロール プレーンの IP 制限構成が更新され、Microsoft Defender for Cloud の CIDR ブロックが含まれます。
オンプレミス、Arc 対応 Kubernetes クラスター
| Domain | 特徴量 | サポートされているリソース | Linux リリース状態 | Windows リリース状態 | エージェントレス/センサー ベース | 価格レベル |
|---|---|---|---|---|---|---|
| セキュリティ体制管理 | Docker CIS | Arc 対応 VM | プレビュー | - | Log Analytics エージェント | Defender for Servers プラン 2 |
| セキュリティ体制管理 | コントロール プレーンのセキュリティ強化 | - | - | - | - | - |
| セキュリティ体制管理 | Kubernetes データ プレーンのセキュリティ強化 | Arc 対応 K8s クラスター | GA | - | Kubernetes 用の Azure Policy | Defender for Containers |
| 実行時の保護 | 脅威に対する保護 (コントロール プレーン) | Arc 対応 OpenShift クラスター | プレビュー | プレビュー | Defender センサー | Defender for Containers |
| 実行時の保護 | 脅威に対する保護 (ワークロード) | Arc 対応 OpenShift クラスター | プレビュー | - | Defender センサー | Defender for Containers |
| デプロイと監視 | 保護されていないクラスターの検出 | Arc 対応 K8s クラスター | プレビュー | - | エージェントレス | Free |
| デプロイと監視 | Defender センサーの自動プロビジョニング | Arc 対応 K8s クラスター | プレビュー | プレビュー | エージェントレス | Defender for Containers |
| デプロイと監視 | Kubernetes 用 Azure Policy の自動プロビジョニング | Arc 対応 K8s クラスター | プレビュー | - | エージェントレス | Defender for Containers |
外部コンテナー レジストリ
| Domain | 特徴量 | サポートされているリソース | Linux リリース状態 | Windows リリース状態 | エージェントレス/センサー ベース | 価格レベル |
|---|---|---|---|---|---|---|
| セキュリティ体制管理 | 包括的なインベントリ機能 | Docker Hub | プレビュー | プレビュー | エージェントレス | 基本的な CSPM または Defender for Containers または Defender CSPM |
| セキュリティ体制管理 | 攻撃パス分析 | Docker Hub | プレビュー | プレビュー | エージェントレス | Defender CSPM |
| 脆弱性評価 | エージェントレス レジストリ スキャン (Powered by Microsoft Defender 脆弱性の管理) でサポートされるパッケージ | Docker Hub | プレビュー | プレビュー | エージェントレス | Defender for Containers または Defender CSPM |
| 脆弱性評価 | エージェントレス/センサー ベースのランタイム (Microsoft Defender 脆弱性の管理を利用) でサポートされるパッケージ | Docker Hub | プレビュー | プレビュー | エージェントレスまたは/および Defender センサー | Defender for Containers または Defender CSPM |
Kubernetes ディストリビューションと構成
| 側面 | 詳細 |
|---|---|
| Kubernetes ディストリビューションと構成 | Arc 対応 Kubernetes を介してサポートされます 1 2 * Azure Kubernetes Service ハイブリッド * Kubernetes * AKS エンジン * Azure Red Hat OpenShift * Red Hat OpenShift (バージョン 4.6 以降) * VMware Tanzu Kubernetes Grid * Rancher Kubernetes Engine |
1 Cloud Native Computing Foundation (CNCF) 認定 Kubernetes クラスターはすべてサポートされますが、指定されたクラスターのみがテストされています。
2Microsoft Defender for Containers で環境を保護するには、Azure Arc 対応 Kubernetes をオンボードし、Defender for Containers を Arc 拡張機能として有効にする必要があります。
Note
Kubernetes ワークロード保護のその他の要件については、既存の制限事項に関する記事を参照してください。
サポートされているホスト オペレーティング システム
Defender for Containers は、いくつかの機能について Defender センサーに依存しています。 Defender センサーは、次のホスト オペレーティング システム上の Linux カーネル 5.4 以降でのみサポートされます。
- Amazon Linux 2
- CentOS 8 (CentOS は 2024 年 6 月 30 日にサポート終了 (EOL) になります)。 詳細については、「CentOS のサポート終了に関するガイダンス」を参照してください。)
- Debian 10
- Debian 11
- Google Container-Optimized OS
- Mariner 1.0
- Mariner 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Kubernetes ノードが、これらの検証済みオペレーティング システムのいずれかで実行されていることを確認します。 サポートされていないホスト オペレーティング システムを使用しているクラスターでは、Defender センサーに依存する機能の利点は得られません。
Defender センサーの制限事項
AKS V1.28 以下の Defender センサーは、Arm64 ノードではサポートされていません。
ネットワークの制限
送信プロキシのサポート
認証なしの送信プロキシと基本認証を使用した送信プロキシがサポートされます。 現時点では、信頼できる証明書が必要な送信プロキシはサポートされていません。
次のステップ
- Defender for Cloud による Log Analytics エージェントを使用したデータの収集方法について学習します。
- Defender for Cloud でデータを管理および保護する方法について学習します。
- Defender for Cloud をサポートするプラットフォームを確認します。