Defender for Containers は、サポートされているランタイム環境とサポートされているコンテナー レジストリ内のコンテナー イメージに対してエージェントレスの脆弱性評価を実行します。 関連する推奨事項は、コンテナー レジストリ イメージまたは実行中のコンテナーで検出された脆弱性に対して生成されます。
サポートされているコンテナー レジストリ内のイメージの脆弱性評価は、Defender for Cloud Security Posture Management プランまたは Defender for Containers プランでレジストリ アクセスが有効になっている場合に実行されます。
実行中のコンテナー イメージの脆弱性評価は、マシンのエージェントレス スキャン拡張機能が、K8S API アクセスまたは Defender センサー拡張機能と一緒に Defender for Cloud Security Posture Management または Defender for Containers プランに対して有効になっている場合に、元のコンテナー レジストリに依存せずに実行されます。 脆弱性評価の結果は、サポートされているレジストリからプルされたコンテナー イメージに対しても作成されます。
注意
サポートされている環境の Defender for Containers のサポート マトリックスを確認します。
Microsoft Defender 脆弱性の管理を利用したコンテナー イメージの脆弱性評価には、次の機能があります。
OS パッケージのスキャン - コンテナーの脆弱性評価には、Linux および Windows OS の OS パッケージ マネージャーによりインストールされたパッケージでの脆弱性をスキャンする機能があります。 サポートされている OS とそのバージョンの完全な一覧を参照してください。
言語固有のパッケージ - Linux のみ - 言語固有のパッケージとファイル、および OS パッケージ マネージャーなしでインストールまたはコピーされた依存関係のサポート。 サポートされている言語の完全な一覧を確認してください。
Azure Private Link でのイメージ スキャン - Azure コンテナーの脆弱性評価では、Azure Private Link 経由でアクセスできるコンテナー レジストリ内のイメージをスキャンできます。 この機能には、レジストリを使用した信頼されたサービスと認証へのアクセスが必要です。 信頼されたサービスによるアクセスを許可する方法をご確認ください。
悪用可能性情報 - 各脆弱性レポートは、報告された各脆弱性に関連する実際のリスクを判断するのに役立つように、悪用可能性データベースを通じて検索されます。
レポート - Microsoft Defender 脆弱性の管理を利用した Azure のコンテナー脆弱性評価では、次の推奨事項を使用して脆弱性レポートを提供します。
悪用可能性情報 - 各脆弱性レポートは、報告された各脆弱性に関連する実際のリスクを判断するのに役立つように、悪用可能性データベースを通じて検索されます。
レポート - Microsoft Defender 脆弱性の管理を利用したコンテナーの脆弱性評価では、次の推奨事項を使用して脆弱性レポートが提供されます。
Azure Resource Graph を使用して脆弱性情報のクエリを実行する - Azure Resource Graph を使用して脆弱性情報に対してクエリを実行する機能。 ARG を介して推奨事項のクエリを実行する方法をご確認ください。
REST API を使用してスキャン結果をクエリする - REST API を使用してスキャン結果をクエリする方法について説明します。
除外のサポート - 管理グループ、リソース グループ、またはサブスクリプションの除外規則を作成する方法について説明します。
脆弱性の無効化のサポート - イメージの脆弱性を無効にする方法をご確認ください。
脆弱性の検出成果物の署名と検証 - 各イメージの脆弱性の検出成果物は、整合性と信頼性のために Microsoft 証明書で署名され、検証のニーズに合わせてレジストリ内のコンテナー イメージに関連付けられます。
脆弱性評価の推奨事項
次の新しいプレビューの推奨事項は、ランタイム コンテナーの脆弱性とレジストリ イメージの脆弱性に関するレポートであり、プレビュー段階ではセキュリティ スコアにはカウントされません。 これらの新しい推奨事項のスキャン エンジンは、現行の GA 推奨事項と同じで、同じ結果が提供されます。 この新しい推奨事項は、推奨事項に新しいリスクベースのビューを使用し、Defender CSPM プランを有効にしているお客様に最適です。
| 推奨 | 説明 | 評価キー |
|---|---|---|
| [プレビュー] Azure レジストリのコンテナー イメージは脆弱性の検出を解決する必要があります | Defender for Cloud は、レジストリ イメージをスキャンして既知の脆弱性 (CVE) を探し、スキャンした各イメージの詳細な結果を提供します。 レジストリ内のコンテナー イメージの脆弱性をスキャンして修復することは、安全で信頼性の高いソフトウェア サプライ チェーンを維持し、セキュリティ インシデントのリスクを軽減し、業界標準へのコンプライアンスを保証するのに役立ちます。 | 33422d8f-ab1e-42be-bc9a-38685bb567b9 |
| [プレビュー] Azure で実行されているコンテナーは脆弱性の検出を解決する必要があります | Defender for Cloud は、Kubernetes クラスターで現在実行されているすべてのコンテナー ワークロードのインベントリを作成し、使われているイメージとレジストリ イメージに対して作成された脆弱性レポートを照合することで、それらのワークロードの脆弱性レポートを提供します。 コンテナー ワークロードの脆弱性をスキャンして修復することは、堅牢で安全なソフトウェア サプライ チェーンを確保し、セキュリティ インシデントのリスクを軽減し、業界標準へのコンプライアンスを確保するために重要です。 | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
次の現在の GA 推奨事項では、Kubernetes クラスター内のコンテナーや、コンテナー レジストリ内のコンテナー イメージの脆弱性について報告しています。 これらの推奨事項は、推奨事項にクラシック ビューを使用し、Defender CSPM プランを有効にしていないお客様に最適です。
| 推奨 | 説明 | 評価キー |
|---|---|---|
| Azure レジストリ コンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。 | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Azure 実行中のコンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。 | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
イメージとコンテナーの脆弱性評価のしくみ
Defender for Containers でサポートされているレジストリでのイメージのスキャン
注意
コンテナー レジストリ内のイメージの脆弱性評価では、レジストリ アクセス拡張機能を有効にする必要があります。
コンテナー レジストリ内のイメージをスキャンすると、イメージとその脆弱性に関する推奨事項のインベントリが作成されます。 サポートされているコンテナー イメージ レジストリは、Azure Container Registry (ACR)、Amazon AWS Elastic Container Registry (ECR)、Google Artifact Registry (GAR)、Google Container Registry (GCR)、構成された外部レジストリです。 イメージは、次の場合にスキャンされます。
- 新しいイメージがコンテナー レジストリにプッシュまたはインポートされました。 イメージは数時間以内にスキャンされます。
- 継続的な再スキャン トリガー - 新しい脆弱性が公開された場合に、脆弱性について以前にスキャンされたイメージが再スキャンされて脆弱性レポートが更新されるようにするには、継続的な再スキャンが必要です。
再スキャンは、次に対して 1 日に 1 回実行されます。
- 過去 90 日間にプッシュされたイメージ。*
- 過去 30 日間にプルされたイメージ。
- Defender for Cloud によって監視されている Kubernetes クラスターで現在実行されているイメージ (Kubernetes のエージェントレス検出または Defender センサーのどちらかを使用)。
* 過去 30 日間にプッシュされたイメージに対して、新しいプレビューの推奨事項が生成されます。
注意
Defender for Container Registries (非推奨) の場合、イメージはプッシュ時、またはプル時に 1 回スキャンされ、週に 1 回だけ再スキャンされます。
クラスター ワークロードで実行されているコンテナーのスキャン
クラスター ワークロード内のコンテナー イメージは、次のようにスキャンされます。
- サポートされているレジストリでスキャンされた脆弱なイメージは、検出プロセスによってクラスターで実行されていると識別されます。 実行中のコンテナー イメージは、24 時間ごとにスキャンされます。 レジストリ アクセスと Kubernetes API アクセスまたは Defender センサーを有効にする必要があります。
- コンテナー イメージはランタイム環境から収集され、発生元のレジストリに依存せずに脆弱性をスキャンします。 このスキャンには、顧客所有のコンテナー、Kubernetes アドオン、クラスターで実行されているサード パーティ製ツールが含まれます。 ランタイム環境イメージは、24 時間ごとに収集されます。 マシンのエージェントレス スキャンの [Kubernetes API アクセス] または [Defender センサー] を有効にする必要があります。
注意
- コンテナー ランタイム レイヤーで脆弱性をスキャンすることはできません。
- AKS エフェメラル OS ディスクまたは Windows ノードを使用するノードからのコンテナー イメージで脆弱性をスキャンすることはできません。
- 自動スケールが構成された AKS クラスターは、スキャン時にクラスター ノードの一部またはすべてがダウンしている場合、部分的にまたはまったく結果を提供しない可能性があります。
レジストリからイメージを削除すると、そのイメージに関する脆弱性レポートが削除されるまでにどれくらいの時間がかかりますか?
Azure Container Registries は、イメージが削除されると Defender for Cloud に通知し、削除されたイメージについての脆弱性評価を 1 時間以内に削除します。 まれに、削除時に Defender for Cloud への通知がされない場合があり、このような場合に関連する脆弱性の削除には最大 3 日かかる場合があります。
次のステップ
- 詳細については、Defender for Cloud Defender プランに関する説明を参照してください。
- Defender for Containers に関する一般的な質問をご確認ください。