Azure Kubernetes Service (AKS) セキュリティ ダッシュボード (プレビュー)

AKS セキュリティ ダッシュボードは、セキュリティの問題に対する包括的な可視性と自動修復機能を提供し、プラットフォーム エンジニアリング チームが Kubernetes 環境を簡単かつ効果的に保護できるようにします。

セキュリティおよび運用に関するデータがダイレクトに AKS ポータル内の 1 か所にまとめられるため、エンジニアは Kubernetes 環境の統合ビューのメリットを得ることができます。 このビューを使用すると、ワークフローの中断を最小限に抑えながら、より効率的にセキュリティの問題を検出して修復することで、セキュリティの問題を見落とすリスクを軽減し、修復サイクルを改善することができます。

AKS セキュリティ ダッシュボードで、ユーザーは次のことを実行できます。

• クラスターのセキュリティ態勢を表示します。
• Defender for Containers プランを有効にし、特定のクラスター リソースの設定を構成します。
• 脆弱性評価の推奨事項を確認します。
• セキュリティのベスト プラクティスに沿っていないクラスターおよび実行中のコンテナーの構成 ("構成の誤り") と、ガイド付きまたは自動的な修復について確認します。
• 指定した日付までの修復を担当する所有者を、推奨事項または構成の誤りに割り当てます。 (サブスクリプションで有効になっている Defender クラウド セキュリティ態勢管理 (DCSPM) で利用できます。)

前提条件

次のプランのうち少なくとも 1 つが有効になっている場合に、クラスターのセキュリティの脆弱性と構成の誤りが AKS セキュリティ ダッシュボードに表示されます。

• 個別のクラスターまたはサブスクリプションでの Defender for Containers
• サブスクリプションでの DCSPM

AKS セキュリティ ダッシュボードの使用

メニュー一覧で Microsoft Defender for Cloud を選択すると、AKS セキュリティ ダッシュボードにクラスター リソース ウィンドウからアクセスできます。 ダッシュボードには次のものが表示されます。

• このクラスターのセキュリティ結果の概要。 脆弱性と構成の誤りの合計数がリスク レベル別に示されます。
• [ 脆弱性 ] タブと [ 構成の誤り ] タブ。 各タブには、リスク レベルの概要と推奨事項の一覧が表示されます。
• クラスターの Microsoft Defender for Containers の状態 と、その対象範囲を構成するオプション。

脆弱性と構成の誤りの修復

[ 脆弱性 ] タブと [ 構成ミス ] タブの両方で、いずれかの推奨事項を選択すると、推奨事項の詳細が表示されたウィンドウが開きます。 詳細ペインで、ユーザーは次のことができます。

• 推奨事項のすべての詳細と、修復手順を表示します。
• [クイック修正] オプションを選択して、問題を修復します。
• 問題の修復を担当する所有者を割り当てます。 [ 所有者の割り当て] を選択すると、所有者名、修復期間、定期的な電子メール アラームを設定できるウィンドウが開きます。

ユーザーは、各推奨事項の横にあるチェック ボックスを使用して複数の推奨事項を選択し、ダッシュボード ルーラーで [ 所有者の割り当て ] を選択して、すべての所有者に 1 人の所有者を割り当てることができます。

[ CSV のダウンロード] レポート を選択すると、クラスターの脆弱性と構成の誤りが CSV ファイルとしてダウンロードされます。 クラスターの脆弱性と構成の誤りは、 Defender for Cloud REST API を使用して取得することもできます。

Defender for Containers プランの設定

Microsoft Defender for Containers の状態の設定を選択すると、ユーザーが特定のクラスターの Defender for Containers プランを構成するためのウィンドウが開きます。 Defender for Containers がサブスクリプション レベルで有効になっている場合、プラン設定はサブスクリプション レベルでのみ変更できます。 プランの構成には次の設定が含まれます。

• Kubernetes API アクセス - エージェントレス コンテナー セキュリティ体制管理、ランタイム脆弱性評価、応答アクション。
• レジストリ アクセス - レジストリ イメージのエージェントレス脆弱性評価。
• Azure policy - クラスターコントロールとデータプレーンを強化するための推奨事項を生成するためのクラスターへのエージェントのデプロイ。

クラスターの Defender for Containers プランは、 REST API コマンドを使用して設定することもできます。