Defender for Cloud でのコンテナー サポート マトリックス
注意
この記事では、間もなくサポート終了 (EOL) 状態になる Linux ディストリビューションである CentOS について説明します。 適宜、使用と計画を検討してください。 詳細については、「CentOS のサポート終了に関するガイダンス」を参照してください。
この記事には、Microsoft Defender for Cloud でのコンテナー機能のサポート情報がまとめられています。
Note
- 具体的な機能はプレビュー段階です。 Microsoft Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される他の法律条項が含まれています。
- Defender for Cloud では、クラウド ベンダーによってサポートされる AKS、EKS、GKE のバージョンのみが正式にサポートされます。
重要
Qualys を利用した Defender for Cloud のコンテナー脆弱性評価は廃止されています。 廃止は 3 月 6 日までに完了する予定であり、それまでは、Qualys の推奨事項と、セキュリティ グラフでの Qualys の結果の両方に、部分的な結果がまだ表示される場合があります。 これまでこの評価を使われていたお客様は、Microsoft Defender 脆弱性の管理を使用した Azure の脆弱性評価にアップグレードする必要があります。 Microsoft Defender 脆弱性の管理を利用するコンテナー脆弱性評価オファリングへの移行については、Qualys から Microsoft Defender 脆弱性の管理への移行に関する記事をご覧ください。
Azure
Defender for Containers 内の各ドメインの機能を次に示します。
セキュリティ体制管理
| 特徴量 | 説明 | サポートされているリソース | Linux リリース状態 | Windows リリース状態 | 有効化方法 | センサー | プラン | Azure クラウドの可用性 |
|---|---|---|---|---|---|---|---|---|
| Kubernetes のエージェントレス検出 | Kubernetes のクラスター、その構成とデプロイが、フットプリントがゼロの API ベースで検出されます。 | AKS | GA | GA | [Kubernetes のエージェントレス検出] トグルを有効にする | エージェントレス | Defender for Containers または Defender CSPM | Azure 商用クラウド |
| 包括的なインベントリ機能 | セキュリティ エクスプローラーを使用してリソース、ポッド、サービス、リポジトリ、イメージ、および構成を探索し、資産を簡単に監視および管理できます。 | ACR、AKS | GA | GA | [Kubernetes のエージェントレス検出] トグルを有効にする | エージェントレス | Defender for Containers または Defender CSPM | Azure 商用クラウド |
| 攻撃パス分析 | クラウド セキュリティ グラフをスキャンする、グラフ ベースのアルゴリズム。 このスキャンは、ご利用の環境を攻撃者が侵害するために使用する恐れのある、悪用可能なパスを明らかにします。 | ACR、AKS | GA | GA | プランでアクティブ化済み | エージェントレス | Defender CSPM (Kubernetes のエージェントレス検出を有効にする必要があります) | Azure 商用クラウド |
| 強化されたリスク ハンティング | セキュリティ管理者は、セキュリティ エクスプローラーのクエリ (組み込みおよびカスタム) とセキュリティ分析情報を使用して、コンテナー化された資産にある態勢の問題を積極的に検出できます。 | ACR、AKS | GA | GA | [Kubernetes のエージェントレス検出] トグルを有効にする | エージェントレス | Defender for Containers または Defender CSPM | Azure 商用クラウド |
| コントロール プレーンのセキュリティ強化 | クラスターの構成を継続的に評価し、それらを、サブスクリプションに適用されているイニシアチブと比較します。 構成ミスが見つかると、Defender for Cloud の [レコメンデーション] ページには、使用できるセキュリティに関する推奨事項が生成されます。 レコメンデーションを使用すると、問題を調査して修復できます。 | ACR、AKS | GA | プレビュー | プランでアクティブ化済み | エージェントレス | Free | 商用クラウド ナショナル クラウド: Azure Government、21Vianet が運営する Azure |
| Kubernetes データ プレーンのセキュリティ強化 | Kubernetes コンテナーのワークロードをベスト プラクティスの推奨事項で保護します。 | AKS | GA | - | [Azure Policy for Kubernetes] トグルを有効にする | Azure Policy | Free | 商用クラウド ナショナル クラウド: Azure Government、21Vianet が運営する Azure |
| Docker CIS | Docker CIS ベンチマーク | VM、仮想マシン スケール セット | GA | - | プランで有効化済み | Log Analytics エージェント | Defender for Servers プラン 2 | 商用クラウド ナショナル クラウド: Azure Government、21Vianet が運営する Microsoft Azure |
脆弱性評価
| 特徴量 | 説明 | サポートされているリソース | Linux リリース状態 | Windows リリース状態 | 有効化方法 | センサー | プラン | Azure クラウドの可用性 |
|---|---|---|---|---|---|---|---|---|
| エージェントレス レジストリ スキャン (Powered by Microsoft Defender 脆弱性の管理) でサポートされるパッケージ | ACR における画像の脆弱性評価 | ACR、プライベート ACR | GA | GA | [エージェントレス コンテナーの脆弱性評価] トグルを有効にする | エージェントレス | Defender for Containers または Defender CSPM | 商用クラウド ナショナル クラウド: Azure Government、21Vianet が運営する Azure |
| エージェントレス/エージェント ベースのランタイム (Powered by Microsoft Defender 脆弱性の管理) でサポートされるパッケージ | AKS で実行中の画像の脆弱性評価 | AKS | GA | GA | [エージェントレス コンテナーの脆弱性評価] トグルを有効にする | エージェントレス (Kubernetes のエージェントレス検出が必要) または/および Defender センサー | Defender for Containers または Defender CSPM | 商用クラウド ナショナル クラウド: Azure Government、21Vianet が運営する Azure |
ランタイム脅威防止
| 特徴量 | 説明 | サポートされているリソース | Linux リリース状態 | Windows リリース状態 | 有効化方法 | センサー | プラン | Azure クラウドの可用性 |
|---|---|---|---|---|---|---|---|---|
| コントロール プレーン | Kubernetes の監査証跡に基づく Kubernetes の疑わしいアクティビティの検出 | AKS | GA | GA | プランで有効化済み | エージェントレス | Defender for Containers | 商用クラウド ナショナル クラウド: Azure Government、21Vianet が運営する Azure |
| ワークロード | クラスター レベル、ノード レベル、ワークロード レベルでの Kubernetes の疑わしいアクティビティの検出 | AKS | GA | - | [Azure 内の Defender センサー] トグルを有効にするまたは個々のクラスター上に Defender センサートをデプロイする | Defender センサー | Defender for Containers | 商用クラウド 各国のクラウド: Azure Government、Azure China 21Vianet |
デプロイと監視
| 特徴量 | 説明 | サポートされているリソース | Linux リリース状態 | Windows リリース状態 | 有効化方法 | センサー | プラン | Azure クラウドの可用性 |
|---|---|---|---|---|---|---|---|---|
| 保護されていないクラスターの検出 | Defender センサーが見つからない Kubernetes クラスターの検出 | AKS | GA | GA | プランで有効化済み | エージェントレス | Free | 商用クラウド ナショナル クラウド: Azure Government、21Vianet が運営する Azure |
| Defender センサーの自動プロビジョニング | Defender センサーの自動デプロイ | AKS | GA | - | [Azure 内の Defender センサー] トグルを有効にする | エージェントレス | Defender for Containers | 商用クラウド ナショナル クラウド: Azure Government、21Vianet が運営する Azure |
| Kubernetes 用 Azure Policy の自動プロビジョニング | Kubernetes 用 Azure Policy センサーの自動デプロイ | AKS | GA | - | [Azure Policy for Kubernetes] トグルを有効にする | エージェントレス | Free | 商用クラウド ナショナル クラウド: Azure Government、21Vianet が運営する Azure |
Azure のレジストリとイメージのサポート - 脆弱性評価 Powered by Microsoft Defender 脆弱性の管理
| 側面 | 詳細 |
|---|---|
| レジストリとイメージ | サポートあり • ACR レジストリ • Azure Private Link で保護された ACR レジストリ (プライベート レジストリには信頼されたサービスへのアクセス権が必要) • Docker V2 形式のコンテナー イメージ Open Container Initiative (OCI) のイメージ形式の仕様のイメージ サポート対象外 • Docker scratch イメージなどのスーパーミニマリスト イメージ 現在はサポートされていません |
| オペレーティング システム | サポートあり • Alpine Linux 3.12 から 3.19 • Red Hat Enterprise Linux 6 - 9 • CentOS 6 - 9 • Oracle Linux 6 - 9 Amazon Linux 1, 2 • openSUSE Leap、openSUSE Tumbleweed • SUSE Enterprise Linux 11 - 15 • Debian GNU/Linux 7 - 12 • Google Distroless (Debian GNU/Linux 7-12 ベース) • Ubuntu 12.04 - 22.04 • Fedora 31 - 37 • Mariner 1 - 2 • Windows Server 2016、2019、2022 |
| 言語固有のパッケージ |
サポートあり • Python • Node.js • .NET • JAVA • Go |
Azure 用の Kubernetes ディストリビューションと構成 - ランタイムの脅威に対する保護
| 側面 | 詳細 |
|---|---|
| Kubernetes ディストリビューションと構成 | サポートあり • Azure Kubernetes Service (AKS) と Kubernetes RBAC Arc 対応 Kubernetes を介してサポートされます12 • Azure Kubernetes Service ハイブリッド • Kubernetes • AKS エンジン • Azure Red Hat OpenShift |
1 Cloud Native Computing Foundation (CNCF) 認定 Kubernetes クラスターはすべてサポートされますが、指定されたクラスターのみが Azure でテストされています。
2Microsoft Defender for Containers で環境を保護するには、Azure Arc 対応 Kubernetes をオンボードし、Defender for Containers を Arc 拡張機能として有効にする必要があります。
Note
Kubernetes ワークロード保護のその他の要件については、既存の制限事項に関する記事を参照してください。
プライベート リンクの制限
Defender for Containers は、いくつかの機能について Defender センサーに依存しています。 Defender センサーでは、Private Link を介してデータを取り込む機能はサポートされていません。 インジェストのパブリック アクセスを無効にして、Azure Monitor Private Link 経由でトラフィックを送信するように構成されているマシンのみがそのワークステーションにデータを送信できるようにすることができます。 プライベート リンクを構成するには、your workspace>[ネットワークの分離] に移動し、仮想ネットワークのアクセス構成を [いいえ] に設定します。
ワークスペースのネットワーク分離設定で Private Link スコープを介してのみデータ インジェストを実行できるようにすると、通信エラーが発生し、Defender for Containers 機能セットが部分的に収束する可能性があります。
Azure Private Link を使用して、ネットワークを Azure Monitor に接続する方法について説明します。
AWS
| Domain | 特徴量 | サポートされているリソース | Linux リリース状態 | Windows リリース状態 | エージェントレス/センサー ベース | 価格レベル |
|---|---|---|---|---|---|---|
| セキュリティ体制管理 | Kubernetes のエージェントレス検出 | EKS | GA | GA | エージェントレス | Defender for Containers または Defender CSPM |
| セキュリティ体制管理 | 包括的なインベントリ機能 | ECR、EKS | GA | GA | エージェントレス | Defender for Containers または Defender CSPM |
| セキュリティ体制管理 | 攻撃パス分析 | ECR、EKS | GA | GA | エージェントレス | Defender CSPM |
| セキュリティ体制管理 | 強化されたリスク ハンティング | ECR、EKS | GA | GA | エージェントレス | Defender for Containers または Defender CSPM |
| セキュリティ体制管理 | Docker CIS | EC2 | GA | - | Log Analytics エージェント | Defender for Servers プラン 2 |
| セキュリティ体制管理 | コントロール プレーンのセキュリティ強化 | - | - | - | - | - |
| セキュリティ体制管理 | Kubernetes データ プレーンのセキュリティ強化 | EKS | GA | - | Kubernetes 用の Azure Policy | Defender for Containers |
| 脆弱性評価 | エージェントレス レジストリ スキャン (Powered by Microsoft Defender 脆弱性の管理) でサポートされるパッケージ | ECR | GA | GA | エージェントレス | Defender for Containers または Defender CSPM |
| 脆弱性評価 | エージェントレス/センサー ベースのランタイム (Microsoft Defender 脆弱性の管理を利用) でサポートされるパッケージ | EKS | GA | GA | エージェントレスまたは/および Defender センサー | Defender for Containers または Defender CSPM |
| 実行時の保護 | コントロール プレーン | EKS | GA | GA | エージェントレス | Defender for Containers |
| 実行時の保護 | ワークロード | EKS | GA | - | Defender センサー | Defender for Containers |
| デプロイと監視 | 保護されていないクラスターの検出 | EKS | GA | GA | エージェントレス | Defender for Containers |
| デプロイと監視 | Defender センサーの自動プロビジョニング | EKS | GA | - | - | - |
| デプロイと監視 | Kubernetes 用 Azure Policy の自動プロビジョニング | EKS | GA | - | - | - |
AWS のレジストリとイメージのサポート - 脆弱性評価 Powered by Microsoft Defender 脆弱性の管理
| 側面 | 詳細 |
|---|---|
| レジストリとイメージ | サポートあり • ECR レジストリ • Docker V2 形式のコンテナー イメージ Open Container Initiative (OCI) のイメージ形式の仕様のイメージ サポート対象外 • Docker スクラッチ イメージなど、極めて最小限のイメージは現在サポートされていません • パブリック リポジトリ • マニフェスト リスト |
| オペレーティング システム | サポートあり • Alpine Linux 3.12 から 3.19 • Red Hat Enterprise Linux 6 - 9 • CentOS 6 - 9 • Oracle Linux 6 - 9 Amazon Linux 1, 2 • openSUSE Leap、openSUSE Tumbleweed • SUSE Enterprise Linux 11 - 15 • Debian GNU/Linux 7 - 12 • Google Distroless (Debian GNU/Linux 7-12 ベース) • Ubuntu 12.04 - 22.04 • Fedora 31 - 37 • Mariner 1 - 2 • Windows Server 2016、2019、2022 |
| 言語固有のパッケージ |
サポートあり • Python • Node.js • .NET • JAVA • Go |
AWS 用の Kubernetes ディストリビューション/構成のサポート - ランタイムの脅威に対する保護
| 側面 | 詳細 |
|---|---|
| Kubernetes ディストリビューションと構成 | サポートあり • Amazon Elastic Kubernetes Service (EKS) Arc 対応 Kubernetes を介してサポートされます12 • Kubernetes サポート対象外 • EKS プライベート クラスター |
1 Cloud Native Computing Foundation (CNCF) 認定 Kubernetes クラスターはすべてサポートされますが、指定されたクラスターのみがテストされています。
2Microsoft Defender for Containers で環境を保護するには、Azure Arc 対応 Kubernetes をオンボードし、Defender for Containers を Arc 拡張機能として有効にする必要があります。
Note
Kubernetes ワークロード保護のその他の要件については、既存の制限事項に関する記事を参照してください。
送信プロキシのサポート - AWS
認証なしの送信プロキシと基本認証を使用した送信プロキシがサポートされます。 現時点では、信頼できる証明書が必要な送信プロキシはサポートされていません。
GCP
| Domain | 特徴量 | サポートされているリソース | Linux リリース状態 | Windows リリース状態 | エージェントレス/センサー ベース | 価格レベル |
|---|---|---|---|---|---|---|
| セキュリティ体制管理 | Kubernetes のエージェントレス検出 | GKE | GA | GA | エージェントレス | Defender for Containers または Defender CSPM |
| セキュリティ体制管理 | 包括的なインベントリ機能 | GAR、GCR、GKE | GA | GA | エージェントレス | Defender for Containers または Defender CSPM |
| セキュリティ体制管理 | 攻撃パス分析 | GAR、GCR、GKE | GA | GA | エージェントレス | Defender CSPM |
| セキュリティ体制管理 | 強化されたリスク ハンティング | GAR、GCR、GKE | GA | GA | エージェントレス | Defender for Containers または Defender CSPM |
| セキュリティ体制管理 | Docker CIS | GCP VM | GA | - | Log Analytics エージェント | Defender for Servers プラン 2 |
| セキュリティ体制管理 | コントロール プレーンのセキュリティ強化 | GKE | GA | GA | エージェントレス | Free |
| セキュリティ体制管理 | Kubernetes データ プレーンのセキュリティ強化 | GKE | GA | - | Kubernetes 用の Azure Policy | Defender for Containers |
| 脆弱性評価 | エージェントレス レジストリ スキャン (Powered by Microsoft Defender 脆弱性の管理) でサポートされるパッケージ | GAR、GCR | GA | GA | エージェントレス | Defender for Containers または Defender CSPM |
| 脆弱性評価 | エージェントレス/センサー ベースのランタイム (Microsoft Defender 脆弱性の管理を利用) でサポートされるパッケージ | GKE | GA | GA | エージェントレスまたは/および Defender センサー | Defender for Containers または Defender CSPM |
| 実行時の保護 | コントロール プレーン | GKE | GA | GA | エージェントレス | Defender for Containers |
| 実行時の保護 | ワークロード | GKE | GA | - | Defender センサー | Defender for Containers |
| デプロイと監視 | 保護されていないクラスターの検出 | GKE | GA | GA | エージェントレス | Defender for Containers |
| デプロイと監視 | Defender センサーの自動プロビジョニング | GKE | GA | - | エージェントレス | Defender for Containers |
| デプロイと監視 | Kubernetes 用 Azure Policy の自動プロビジョニング | GKE | GA | - | エージェントレス | Defender for Containers |
GCP のレジストリとイメージのサポート - 脆弱性評価 Powered by Microsoft Defender 脆弱性の管理
| 側面 | 詳細 |
|---|---|
| レジストリとイメージ | サポートあり • Google レジストリ (GAR、GCR) • Docker V2 形式のコンテナー イメージ Open Container Initiative (OCI) のイメージ形式の仕様のイメージ サポート対象外 • Docker スクラッチ イメージなど、極めて最小限のイメージは現在サポートされていません • パブリック リポジトリ • マニフェスト リスト |
| オペレーティング システム | サポートあり • Alpine Linux 3.12 から 3.19 • Red Hat Enterprise Linux 6 - 9 • CentOS 6 - 9 • Oracle Linux 6 - 9 Amazon Linux 1, 2 • openSUSE Leap、openSUSE Tumbleweed • SUSE Enterprise Linux 11 - 15 • Debian GNU/Linux 7 - 12 • Google Distroless (Debian GNU/Linux 7-12 ベース) • Ubuntu 12.04 - 22.04 • Fedora 31 - 37 • Mariner 1 - 2 • Windows Server 2016、2019、2022 |
| 言語固有のパッケージ |
サポートあり • Python • Node.js • .NET • JAVA • Go |
GCP 用の Kubernetes ディストリビューション/構成のサポート - ランタイムの脅威に対する保護
| 側面 | 詳細 |
|---|---|
| Kubernetes ディストリビューションと構成 | サポートあり • Google Kubernetes Engine (GKE) Standard Arc 対応 Kubernetes を介してサポートされます12 • Kubernetes サポート対象外 • プライベート ネットワーク クラスター • GKE autopilot • GKE AuthorizedNetworksConfig |
1 Cloud Native Computing Foundation (CNCF) 認定 Kubernetes クラスターはすべてサポートされますが、指定されたクラスターのみがテストされています。
2Microsoft Defender for Containers で環境を保護するには、Azure Arc 対応 Kubernetes をオンボードし、Defender for Containers を Arc 拡張機能として有効にする必要があります。
Note
Kubernetes ワークロード保護のその他の要件については、既存の制限事項に関する記事を参照してください。
送信プロキシのサポート - GCP
認証なしの送信プロキシと基本認証を使用した送信プロキシがサポートされます。 現時点では、信頼できる証明書が必要な送信プロキシはサポートされていません。
オンプレミス、Arc 対応 Kubernetes クラスター
| Domain | 特徴量 | サポートされているリソース | Linux リリース状態 | Windows リリース状態 | エージェントレス/センサー ベース | 価格レベル |
|---|---|---|---|---|---|---|
| セキュリティ体制管理 | Docker CIS | Arc 対応 VM | プレビュー | - | Log Analytics エージェント | Defender for Servers プラン 2 |
| セキュリティ体制管理 | コントロール プレーンのセキュリティ強化 | - | - | - | - | - |
| セキュリティ体制管理 | Kubernetes データ プレーンのセキュリティ強化 | Arc 対応 K8s クラスター | GA | - | Kubernetes 用の Azure Policy | Defender for Containers |
| 実行時の保護 | 脅威に対する保護 (コントロール プレーン) | Arc 対応 K8s クラスター | プレビュー | プレビュー | Defender センサー | Defender for Containers |
| 実行時の保護 | 脅威に対する保護 (ワークロード) | Arc 対応 K8s クラスター | プレビュー | - | Defender センサー | Defender for Containers |
| デプロイと監視 | 保護されていないクラスターの検出 | Arc 対応 K8s クラスター | プレビュー | - | エージェントレス | Free |
| デプロイと監視 | Defender センサーの自動プロビジョニング | Arc 対応 K8s クラスター | プレビュー | プレビュー | エージェントレス | Defender for Containers |
| デプロイと監視 | Kubernetes 用 Azure Policy の自動プロビジョニング | Arc 対応 K8s クラスター | プレビュー | - | エージェントレス | Defender for Containers |
Kubernetes ディストリビューションと構成
| 側面 | 詳細 |
|---|---|
| Kubernetes ディストリビューションと構成 | Arc 対応 Kubernetes を介してサポートされます12 • Azure Kubernetes Service ハイブリッド • Kubernetes • AKS エンジン • Azure Red Hat OpenShift • Red Hat OpenShift (バージョン 4.6 以降) • VMware Tanzu Kubernetes Grid • Rancher Kubernetes Engine |
1 Cloud Native Computing Foundation (CNCF) 認定 Kubernetes クラスターはすべてサポートされますが、指定されたクラスターのみがテストされています。
2Microsoft Defender for Containers で環境を保護するには、Azure Arc 対応 Kubernetes をオンボードし、Defender for Containers を Arc 拡張機能として有効にする必要があります。
Note
Kubernetes ワークロード保護のその他の要件については、既存の制限事項に関する記事を参照してください。
サポートされているホスト オペレーティング システム
Defender for Containers は、いくつかの機能について Defender センサーに依存しています。 Defender センサーは、次のホスト オペレーティング システムでサポートされています。
- Amazon Linux 2
- CentOS 8
- Debian 10
- Debian 11
- Google Container-Optimized OS
- Mariner 1.0
- Mariner 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Kubernetes ノードが、サポートされている検証済みオペレーティング システムのいずれかで実行されていることを確認します。 ホスト オペレーティング システムが異なるクラスターでは、部分的なカバレッジのみが取得されます。
Defender センサーの制限事項
AKS V1.28 以下の Defender センサーは、ARM64 ノードではサポートされていません。
ネットワークの制限
プライベート リンク
Defender for Containers は、いくつかの機能について Defender センサーに依存しています。 Defender センサーでは、Private Link を介してデータを取り込む機能はサポートされていません。 インジェストのパブリック アクセスを無効にして、Azure Monitor Private Link 経由でトラフィックを送信するように構成されているマシンのみがそのワークステーションにデータを送信できるようにすることができます。 プライベート リンクを構成するには、your workspace>[ネットワークの分離] に移動し、仮想ネットワークのアクセス構成を [いいえ] に設定します。
ワークスペースのネットワーク分離設定で Private Link スコープを介してのみデータ インジェストを実行できるようにすると、通信エラーが発生し、Defender for Containers 機能セットが部分的に収束する可能性があります。
Azure Private Link を使用して、ネットワークを Azure Monitor に接続する方法について説明します。
送信プロキシのサポート
認証なしの送信プロキシと基本認証を使用した送信プロキシがサポートされます。 現時点では、信頼できる証明書が必要な送信プロキシはサポートされていません。
次のステップ
- Defender for Cloud による Log Analytics エージェントを使用したデータの収集方法について学習します。
- Defender for Cloud でデータを管理および保護する方法について学習します。
- Defender for Cloud をサポートするプラットフォームを確認します。