Microsoft Defender 脆弱性の管理を使用した GCP の脆弱性評価
Microsoft Defender 脆弱性の管理を利用した GCP の脆弱性評価は、すぐに使用できるソリューションであり、セキュリティ チームが Linux コンテナー イメージの脆弱性を簡単に検出して修復できるようにします。オンボードのための構成は不要で、センサーをデプロイする必要もありません。
この機能の有効化が完了しているすべてのアカウントにおいて、Google レジストリ (GAR および GCR) 内に保存されている、スキャン トリガーの基準を満たすすべてのイメージに対して脆弱性がスキャンされます。ユーザーやレジストリの追加の構成は必要ありません。 脆弱性レポートを含む推奨事項は、Google レジストリ (GAR および GCR) 内のすべてのイメージ、Google レジストリ (GAR および GCR) または Defender for Cloud でサポートされている他のレジストリ (ACR または ECR) からプルされ、GKE で現在実行されているイメージに対して提供されます。 イメージはレジストリに追加された直後にスキャンされ、24 時間ごとに新しい脆弱性について再スキャンされます。
Microsoft Defender 脆弱性の管理を利用したコンテナーの脆弱性評価には、次の機能があります。
OS パッケージのスキャン - コンテナーの脆弱性評価には、Linux および Windows オペレーティング・システムの OS パッケージ マネージャーによりインストールされたパッケージでの脆弱性をスキャンする機能があります。 サポートされている OS とそのバージョンの完全な一覧を参照してください。
言語固有のパッケージ - Linux のみ - 言語固有のパッケージとファイル、および OS パッケージ マネージャーなしでインストールまたはコピーされた依存関係のサポート。 サポートされている言語の完全な一覧を確認してください。
悪用可能性情報 - 各脆弱性レポートは、報告された各脆弱性に関連する実際のリスクを判断するのに役立つように、悪用可能性データベースを通じて検索されます。
レポート - Microsoft Defender 脆弱性の管理を利用した GCP のコンテナー脆弱性評価では、次の推奨事項を使用して脆弱性レポートを提供します。
次に示すのは、ランタイム コンテナーの脆弱性とレジストリ イメージの脆弱性について報告する新しい推奨事項です。 これらは現在プレビュー段階ですが、古い推奨事項を置き換えることを目的としています。 これらの新しい推奨事項は、プレビュー段階ではセキュア スコアにはカウントされません。 両方の推奨セットのスキャン エンジンは同じです。
| 推奨 | Description | 評価キー |
|---|---|---|
| [プレビュー] GCP レジストリのコンテナー イメージは脆弱性の検出を解決する必要があります | Defender for Cloud は、レジストリ イメージをスキャンして既知の脆弱性 (CVE) を探し、スキャンした各イメージの詳細な結果を提供します。 レジストリ内のコンテナー イメージの脆弱性をスキャンして修復することは、安全で信頼性の高いソフトウェア サプライ チェーンを維持し、セキュリティ インシデントのリスクを軽減し、業界標準へのコンプライアンスを保証するのに役立ちます。 | 24e37609-dcf5-4a3b-b2b0-b7d76f2e4e04 |
| [プレビュー] GCP で実行されているコンテナーは脆弱性の検出を解決する必要があります | Defender for Cloud は、Kubernetes クラスターで現在実行されているすべてのコンテナー ワークロードのインベントリを作成し、使われているイメージとレジストリ イメージに対して作成された脆弱性レポートを照合することで、それらのワークロードの脆弱性レポートを提供します。 コンテナー ワークロードの脆弱性をスキャンして修復することは、堅牢で安全なソフトウェア サプライ チェーンを確保し、セキュリティ インシデントのリスクを軽減し、業界標準へのコンプライアンスを確保するために重要です。 | c7c1d31d-a604-4b86-96df-63448618e165 |
現在廃止予定となっている以前の推奨事項を次に示します。
| 推奨 | Description | 評価キー |
|---|---|---|
| GCP レジストリ コンテナー イメージでは脆弱性の検出結果が解決されている必要がある (Microsoft Defender 脆弱性の管理を利用) - Microsoft Azure | GCP レジストリ コンテナー イメージをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。 | c27441ae-775c-45be-8ffa-655de37362ce |
| GCP で実行中のコンテナー イメージでは脆弱性の検出結果が解決されている必要がある (Microsoft Defender 脆弱性の管理を利用) - Microsoft Azure | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Google Kubernetes クラスターで現在実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。 | 5cc3a2c1-8397-456f-8792-fe9d0d4c9145 |
Azure Resource Graph を使用して脆弱性情報のクエリを実行する - Azure Resource Graph を使用して脆弱性情報に対してクエリを実行する機能。 ARG を介して推奨事項のクエリを実行する方法をご確認ください。
REST API を使用してスキャン結果をクエリする - REST API を使用してスキャン結果をクエリする方法について説明します。
スキャン トリガー
イメージ スキャンのトリガーは次のとおりです。
1 回限りのトリガー:
- コンテナー レジストリにプッシュされた各イメージは、スキャンされるようにトリガーされます。 ほとんどの場合、スキャンは数時間以内に完了しますが、まれに、最大で 24 時間かかる場合があります。
- レジストリからプルされた各イメージは、24 時間以内にスキャンされるようにトリガーされます。
継続的な再スキャン トリガー - 新しい脆弱性が公開された場合に、脆弱性について以前にスキャンされたイメージが再スキャンされて脆弱性レポートが更新されるようにするには、継続的な再スキャンが必要です。
- 再スキャンは、次に対して 1 日に 1 回実行されます。
- 過去 90 日間にプッシュされたイメージ。
- 過去 30 日間にプルされたイメージ。
- Defender for Cloud によって監視されている Kubernetes クラスターで現在実行されているイメージ (Kubernetes のエージェントレス検出または Defender センサーのどちらかを使用)。
- 再スキャンは、次に対して 1 日に 1 回実行されます。
イメージスキャンのしくみ
スキャン プロセスの詳細な説明は次のとおりです。
Microsoft Defender 脆弱性の管理を利用した GCP のコンテナー脆弱性評価を有効にするときに、Defender for Cloud で Elastic Container Registry 内のコンテナー イメージをスキャンすることを認可します。
Defender for Cloud により、(この機能を有効にする前または後に作成された) すべてのコンテナー レジストリ、リポジトリ、イメージが自動的に検出されます。
1 日に 1 回、レジストリにプッシュされた新しいイメージの場合:
- 新しく検出されたすべてのイメージがプルされ、イメージごとにインベントリが作成されます。 新しいスキャナー機能で必要になる場合を除き、これ以上のイメージ プルを回避するためにイメージ インベントリが保持されます。
- インベントリを使用すると、新しいイメージに対して脆弱性レポートが生成され、過去 90 日間にレジストリにプッシュされたか現在実行中の、以前にスキャンされたイメージに対して更新されます。 イメージが現在実行中かどうかを確認するために、Defender for Cloud では、Kubernetes のエージェントレス検出と GKE ノードで実行されている Defender センサーを介して収集されたインベントリの両方が使われます
- リポジトリ コンテナー イメージの脆弱性レポートは推奨事項として提供されます。
Kubernetes のエージェントレス検出または GKE ノードで実行されている Defender センサーを介して収集されたインベントリをお使いのお客様の場合、Defender for Cloud により、GKE クラスターで実行されている脆弱なイメージの脆弱性を修復するための推奨事項も作成されます。 Kubernetes のエージェントレス検出のみを使用しているお客様の場合、この推奨事項のインベントリの更新時間は 7 時間に 1 回です。 Defender センサーも実行しているクラスターには、2 時間のインベントリ更新頻度のメリットがあります。 イメージ スキャンの結果は、どちらの場合もレジストリ スキャンに基づいて更新されるため、24 時間ごとにのみ更新されます。
Note
Defender for Container Registries (非推奨) の場合、イメージはプッシュ時、またはプル時に 1 回スキャンされ、週に 1 回だけ再スキャンされます。
レジストリからイメージを削除すると、そのイメージに関する脆弱性レポートが削除されるまでにどれくらいの時間がかかりますか?
Google レジストリ (GAR および GCR) からイメージが削除されてからレポートが削除されるまでに 30 時間かかります。
次のステップ
- 詳細については、Defender for Cloud Defender プランに関する説明を参照してください。
- Defender for Containers に関する一般的な質問をご確認ください。