この記事では、Microsoft Defender for Cloudに表示されるすべてのサーバーレス コンテナーのセキュリティに関する推奨事項を示します。
環境に表示される推奨事項は、保護するリソースとカスタマイズした構成に基づいています。 リソースに適用ポータルで推奨事項を確認できます。
これらの推奨事項に応じて実行できるアクションについては、「Defender for Cloud で推奨事項を 修復するを参照してください。
これらの推奨事項では、Azure Container Apps、Azure Container Instances、AWS - Amazon Elastic Container Service (ECS) Fargate ワークロードについて説明します。 また、ID とアクセス管理 (IAM) のアクセス許可のガイダンスも含まれています。
Tip
推奨事項の説明に [関連ポリシーなし] と表示されている場合は、通常、ポリシーを含む別の推奨事項に依存します。
Defender for Cloudは、ポリシー リンクを基本的な推奨事項にマップします。 この方法は、ポリシー管理を簡単に保つために役立ちます。
サーバーレス コンテナーの推奨事項
Azure Container Appsで認証を有効にする必要がある
Description: プラットフォーム管理認証が構成されていないイングレスが有効になっているDefender for Cloud識別されたAzure Container Apps。 認証を有効にすると、承認されたユーザーとサービスのみがアプリケーション エンドポイントにアクセスできるようになります。 (関連ポリシーはありません)
重要度: 高
Azure Container Appsは、必要な場合を除き、パブリック インターネットに公開しないでください
Description: Defender for Cloud外部イングレスで構成された 1 つ以上のAzure Container Appsが識別され、アプリケーションはインターネットからパブリックにアクセスできるようになります。 (関連ポリシーはありません)
重要度: 高
Azure Container Appsに割り当てられたマネージド ID は、最小限の特権に従う必要があります
Description: Defender for Cloud、Azure Container App マネージド ID またはサービス プリンシパルが、他のリソースに対するアクセス ポリシー (広いスコープを持つ特権管理者ロール) を過度に制限していることを確認しました。 (関連ポリシーはありません)
重要度: 高
Azure Container Instancesを公開しないでください
Description: Defender for Cloudは、パブリック IP アドレスで構成されたAzureコンテナー インスタンスを検出し、構成されたポートでインターネットからアプリケーションにパブリックにアクセスできるようにします。 (関連ポリシーはありません)
重要度: 高
Azure Container Instancesに割り当てられたマネージド ID は、最小限の特権に従う必要があります
Description: Defender for Cloud、Azure Container Instance マネージド ID またはサービス プリンシパルが過度に制限されたアクセス ポリシー (スコープが広い特権管理者ロール) を持っていることを確認しました。 (関連ポリシーはありません)
重要度: 高
ECS Fargate タスクに割り当てられた IAM タスク ロールは、最小限の特権に従う必要があります
Description: Defender for Cloud過剰なアクセス許可 (AdministratorAccess、ワイルドカード アクション、制限のないカスタム ポリシーなど) を持つ IAM タスク ロールを特定しました。 過剰な特権を持つ IAM タスク ロールは、侵害されたコンテナーの影響を高めます。 (関連ポリシーはありません)
重要度: 高
ECS Fargate タスクでは、昇格された特権でコンテナーを実行しないでください
Description: コンテナーがルート ユーザーとして実行されるか、追加の Linux 機能を要求する ECS Fargate タスク定義が検出Defender for Cloud。 昇格された特権でコンテナーを実行すると、承認されていないファイル アクセスと特権エスカレーションのリスクが高まります。 (関連ポリシーはありません)
重要度: 高
ECS コンテナーに対して読み取り専用ルート ファイルシステムを有効にする必要がある
説明: Defender for Cloud は、書き込み可能なルート ファイルシステムを使用して ECS タスク定義を識別しました。 この構成は、重要なシステム パスへのランタイムの変更を許可し、改ざん、未承認の変更の永続化、変更可能なディレクトリの悪用を可能にすることでリスクを引き起こします。 (関連ポリシーはありません)
重要度: 中
ECS Fargate タスクをパブリックに公開しないでください
Description: Defender for Cloudネットワーク構成のためにインターネットからパブリックにアクセスできる 1 つ以上の ECS Fargate タスクを特定しました。 公開すると、アプリケーション レベルの脆弱性への不正アクセスと悪用の可能性が高くなります。 (関連ポリシーはありません)
重要度: 高
ECS クラスターで ECS Exec のログ記録を構成する必要がある
Description: Defender for Cloud、ECS Exec を使用するサービスに関連付けられている ECS クラスターに監査ログが正しく構成されていないことが確認されました。 明示的なログ記録がないと、コマンド アクティビティが記録されず、未検出の未承認アクセスのリスクが発生する可能性があります。 (関連ポリシーはありません)
重要度: 中
Fargate ECS サービスで ECS Exec を無効にする必要がある
Description: ecs Exec が Amazon ECS Fargate サービスで有効になっていることを確認Defender for Cloud。 ECS Exec を使用すると、AWS Systems Manager を介して実行中のコンテナー内でコマンドを実行し、対話型のアクセス パスを公開できます。 承認されたデバッグ シナリオに明示的に必要な場合を除き、ECS Exec は無効のままにする必要があります。 (関連ポリシーはありません)
重要度: 中