Defender for Containers を使用して Amazon Web Service (AWS) コンテナーを保護する

Microsoft Defender for Cloud の Defender for Containers は、コンテナーをセキュリティで保護してクラスター、コンテナー、およびそれらのアプリケーションのセキュリティを向上、監視、保守できるようにする、クラウド ネイティブ ソリューションです。

詳細についてはMicrosoft Defender for Containers の概要を参照してください。

Defender for Container の価格の詳細については、価格に関するページを参照してください。

前提条件

• Microsoft Azure サブスクリプションが必要です。 Azure サブスクリプションをお持ちでない場合は、無料サブスクリプションにサインアップすることができます。

• Azure サブスクリプションで Microsoft Defender for Cloud を有効にしている必要があります。

• AWS アカウントを Microsoft Defender for Cloud に接続する

• Kubernetes ノードがパッケージ マネージャーのソース リポジトリにアクセスできることを確認します。 要件の詳細については、「ネットワーク要件」を参照してください。

• 次の Azure Arc 対応 Kubernetes ネットワーク要件が検証されていることを確認します。

AWS アカウントで Defender for Containers プランを有効にする

EKS クラスターを保護するには、関連する AWS アカウント コネクタでコンテナー計画を有効にする必要があります。

AWS アカウントで Defender for Containers プランを有効にするには、次を行います。

1. Azure portal にサインインします。

2. 「Microsoft Defender for Cloud」を検索して選択します。

3. Defender for Cloud のメニューで、[環境設定] を選択します。

4. 関連する AWS アカウントを選択します。

   

5. [コンテナー] プランのトグル を [On (オン)] に設定します。

   

6. プランのオプションの構成を変更するには、[設定] を選択してください。

   

   • Defender for Containers では、実行時の脅威に対する保護を提供するためにコントロール プレーン監査ログが必要です。 Kubernetes 監査ログを Microsoft Defender に送信するには、設定を [オン] に切り替えます。監査ログの保持期間を変更するには、必要な概算時間を入力します。

     Note

     この構成を無効にすると、 Threat detection (control plane)機能 は無効になります。 詳細については、機能の可用性 に関する情報を参照してください。

   • Kubernetes のエージェントレス検出は、Kubernetes クラスターの API ベースの検出を提供します。 Kubernetes のエージェントレス検出機能を有効にするには、設定を [オン] に切り替えます。

   • エージェントレス コンテナー脆弱性評価は、ECR に保存されたイメージと EKS クラスター上で実行されているイメージに対する脆弱性管理を提供します。 エージェントレス コンテナー脆弱性評価機能を有効にするには、設定を [オン] に切り替えます。

7. [Next : Review and update](次: 確認と生成) を選択します。

8. [更新] を選択します。

Note

グローバルまたは特定のリソースに対して個々の Defender for Containers 機能を有効または無効にするには、「Microsoft Defender for Containers コンポーネントを有効にする方法」を参照してください。

EKS クラスターで Defender センサーをデプロイする

Azure Arc 対応 Kubernetes、Defender センサー、Kubernetes 用 Azure Policy がインストールされ、EKS クラスターで実行されている必要があります。 これらの拡張機能 (および必要に応じて Azure Arc) をインストールするために使用できる、Defender for Cloud 専用の推奨事項があります。

• EKS clusters should have Microsoft Defender's extension for Azure Arc installed

必要な拡張機能を更新するには、次を行います。

1. Defender for Cloud の [推奨事項] ページで、いずれかの推奨事項を名前で検索します。

2. 異常なイメージを選択します。

   重要

   クラスターは一度に 1 つずつ選択する必要があります。

   ハイパーリンクされた名前のクラスターを選択するのではなく、関連する行の他の場所を選択してください。

3. [修正プログラム] を選択します。

4. Defender for Cloud によって、ユーザーが選択した言語でスクリプトが生成されます。

   • Linux の場合は、[Bash] を選択します。
   • Windows の場合は、[PowerShell] を選択します。

5. [Download remediation logic (修復ロジックをダウンロード)] を選択します。

6. 生成されたスクリプトをクラスターで実行します。

   

次のステップ

• Defender for Containers の高度な有効化機能については、「Microsoft Defender for Containers を有効にする」ページを参照してください。

• Microsoft Defender for Containers の概要。