コンテナーの保護についてよく寄せられる質問

Azure Policy Configure Microsoft Defender for Containers to be enabled を使用して、Defender for Containers を大規模に有効にすることができます。 Microsoft Defender for Containers を有効にするために使用できる、すべてのオプションを確認することもできます。

はい。

いいえ。 ノードに対して Virtual Machine Scale Sets を使用する Azure Kubernetes Service (AKS) クラスターのみサポートされています。

いいえ。AKS はマネージド サービスであり、IaaS リソースの操作はサポートされていません。 Log Analytics VM 拡張機能は必要ありません。追加料金が発生する可能性があります。

既存の Log Analytics ワークスペースを使用するには、この記事の「カスタム ワークスペースを割り当てる」 でワークスペース セクションの手順をフォローします。

既定のワークスペースを削除することは推奨されません。 Defender for Containers は、既定のワークスペースを使用して、クラスターからセキュリティ データを収集します。 Defender for Containers がデータを収集できず、既定のワークスペースを削除すると、一部のセキュリティの推奨事項とアラートが使用できなくなります。

既定のワークスペースを復旧するには、Defender センサーを削除し、センサーを再インストールする必要があります。 Defender センサーを再インストールすると、新しい既定のワークスペースが作成されます。

リージョンによっては、既定の Log Analytics ワークスペースがさまざまな場所に配置される場合があります。 リージョンを確認するには、「既定の Log Analytics ワークスペースの作成場所」を参照してください?

Defender センサーは、Log Analytics ワークスペースを使用して、Kubernetes クラスターから Defender for Cloud にデータを送信します。 Defender for Cloud では、センサーが使用する Log Analytic ワークスペースとリソース グループをパラメーターとして追加します。

ただし、リソースに特定のタグを付けることを必須とするポリシーが組織にある場合、それが原因で、リソース グループまたは既定のワークスペースの作成段階で、センサーのインストールが失敗する可能性があります。 失敗した場合、次のいずれかを実行できます。

• カスタム ワークスペースを割り当てて、組織が要求するタグを追加します。

  または

• 会社がリソースにタグを付けるよう要求する場合、そのポリシーに移動し、次のリソースを除外する必要があります。

  1. リソース グループ DefaultResourceGroup-<RegionShortCode>
  2. ワークスペース DefaultWorkspace-<sub-id>-<RegionShortCode>

  RegionShortCode は 2 から 4 文字の文字列です。

Defender for Containers は、レジストリからイメージをプルし、マルチクラウド環境向けの Microsoft Defender 脆弱性管理を使用してそれを分離されたサンドボックス内で実行します。 スキャナーにより、既知の脆弱性の一覧が抽出されます。

スキャナーによる検出結果が、Defender for Cloud によってフィルター処理され、分類されます。 イメージが正常な場合は、Defender for Cloud によってそのようにマークされます。 Defender for Cloud では、解決の必要な問題があるイメージに対してのみ、セキュリティに関する推奨事項が生成されます。 問題があるときにだけ通知することにより、Defender for Cloud での不要な情報アラートの可能性が減ります。

スキャナーによって実行されるプル イベントを識別するには、次の手順を実行します。

1. AzureContainerImageScanner の UserAgent でプル イベントを検索します。
2. このイベントに関連付けられている ID を抽出します。
3. 抽出された ID を使用して、スキャナーからのプル イベントを識別します。

• 適用されないリソースは、推奨事項で明確な回答を得ることができないリソースです。 [適用されないリソース] タブには、評価できなかった各リソースの理由も含まれています。
• 未検証のリソースは、評価がスケジュールされているが、まだ評価されていないリソースです。

イメージの中には、既にスキャンされたイメージのタグを再利用しているものもあります。 たとえば、ダイジェストにイメージを追加するたびに "Latest" タグを再割り当てする場合があります。 このような場合は、"古い" イメージは引き続きレジストリに存在し、そのダイジェストによって引き続きプルされる可能性があります。 イメージにセキュリティの調査結果があり、プルされた場合は、セキュリティの脆弱性が明らかになります。

現在、Defender for Containers は Azure Container Registry (ACR) および AWS Elastic Container Registry (ECR) 内のイメージのみをスキャンすることができます。 Docker Registry、Microsoft アーティファクト レジストリ/Microsoft Container Registry、Microsoft Azure Red Hat OpenShift (ARO) の組み込みのコンテナー イメージ レジストリはサポートされていません。 まずイメージを ACR にインポートする必要があります。 詳細については、Azure コンテナー レジストリへのコンテナー イメージのインポートに関する記事を参照してください。

はい。 結果は Sub-Assessments REST API の下にあります。 また、Azure Resource Graph (ARG) を利用できます。これはすべてのリソースを対象とする Kusto のような API であり、1 つのクエリで特定のスキャンをフェッチできます。

イメージの種類を確認するには、skopeo などの生のイメージ マニフェストを確認し、生のイメージ形式を検査できるツールを使用する必要があります。

• Docker v2 形式の場合、マニフェスト メディアの種類は application/vnd.docker.distribution.manifest.v1+json または application/vnd.docker.distribution.manifest.v2+json です (こちらに記載されています)。
• OCI イメージ形式の場合、マニフェスト メディアの種類は application/vnd.oci.image.manifest.v1+json で、構成メディアの種類は application/vnd.oci.image.config.v1+json です(こちらに記載されています)。

エージェントレス CSPM 機能を提供する拡張機能は 2 つあります。

• エージェントレス コンテナーの脆弱性評価: エージェントレス コンテナーの脆弱性評価を提供します。 エージェントレス コンテナーの脆弱性評価についてさらに詳しく確認する。
• Kubernetes のエージェントレス検出: Kubernetes クラスターのアーキテクチャ、ワークロード オブジェクト、セットアップに関する情報を API ベースで検出します。

このスクリプトを使用すると、複数のサブスクリプションを一度にオンボードできます。

クラスターからの結果が表示されない場合は、以下の質問を確認してください。

• クラスターが停止されていないか。
• リソース グループ、サブスクリプション、またはクラスターがロックされていないか。 いずれかの質問に対する回答が "はい" の場合は、次の質問の回答を参照してください。

停止したクラスターのサポートや料金請求は行いません。 停止したクラスターのエージェントレス機能の値を取得するには、クラスターを再実行します。

ロックされたリソース グループ/サブスクリプション/クラスターのロックを解除して、関連する要求を手動で行い、次の手順を実行してリソース グループ/サブスクリプション/クラスターをもう一度ロックすることをお勧めします。

1. 信頼されたアクセスを使用し、CLI で "feature" フラグを手動で有効にします。

   “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview” 
   

2. CLI でバインド操作を実行します。

   az account set -s <SubscriptionId> 
   az extension add --name aks-preview 
   az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator" 
   

ロックされたクラスターに対しては、次のいずれかの手順を行うこともできます。

• ロックを削除する。
• バインド操作を手動で実行するために、API 要求を実行する。 詳細については、リソースのロックに関する記事を参照してください。

Azure Kubernetes Service (AKS) でサポートされている Kubernetes のバージョンの詳細について説明します。

変更がセキュリティ グラフ、攻撃パス、セキュリティ エクスプローラーに反映されるまで、最大で 24 時間かかることがあります。

次の手順では、Trivy を利用した単一のレジストリの推奨事項を削除し、MDVM を利用する新しいレジストリとランタイムの推奨事項を追加します。

1. 関連する AWS コネクタを開きます。
2. Defender for Containers の [設定] ページを開きます。
3. [エージェントレス コンテナーの脆弱性評価] を有効にします。
4. AWS での新しいオンボード スクリプトのデプロイなど、コネクタ ウィザードの手順を完了します。
5. オンボード中に作成されたリソースを手動で削除します。
   • プレフィックス defender-for-containers-va を持つ S3 バケット
   • defender-for-containers-va という名前を持つ ECS クラスター
   • VPC:
     • 値 defender-for-containers-va を持つタグ name
     • IP サブネット CIDR 10.0.0.0/16
     • タグ name と、すべての受信トラフィックの 1 つのルールを持つ値 defender-for-containers-va を持つ既定のセキュリティ グループに関連付けられます。
     • ECS クラスター defender-for-containers-va で使用される CIDR 10.0.1.0/24 IP サブネットを持つ defender-for-containers-va VPC 内のタグ name と値 defender-for-containers-va を持つサブネット
     • タグ name と値 defender-for-containers-va を持つインターネット ゲートウェイ
     • ルート テーブル - タグ name、値 defender-for-containers-va、および次のルートを持つルート テーブル:
       • 宛先: 0.0.0.0/0。ターゲット: タグ name と値 defender-for-containers-va を含むインターネット ゲートウェイ
       • 宛先: 10.0.0.0/16。ターゲット: local

実行中のイメージの脆弱性評価を取得するには、Kubernetes のエージェントレス検出を有効にするか、Kubernetes クラスターに Defender センサーをデプロイします。

次のステップ

Defender for Containers について学習する