Microsoft Defender for Containers について

  • 7 分

Microsoft Defender for Containers は、コンテナーをセキュリティで保護するためのクラウドネイティブ ソリューションです。

Defender for Containers の機能

  • 環境のセキュリティ強化 - Defender for Containers を使用すると、Azure Kubernetes Service で実行されているかどうか、オンプレミスまたは IaaS 上の Kubernetes であるかどうか、または Amazon EKS 上で実行されているかどうかに関わらず。Kubernetes クラスターは保護されます。 Defender for Containers では、クラスターを継続的に評価することにより、特定された脅威を軽減するのに役立つ誤った構成とガイドラインを可視化します。

  • 脆弱性評価 - ACR レジストリに格納され、Azure Kubernetes Service で実行されているイメージの脆弱性評価および管理ツールです。

  • ノードとクラスターの実行時の脅威保護 - クラスターおよび Linux ノードの脅威保護により、不審なアクティビティに対してセキュリティ アラートが生成されます。

Architecture

Defender for Containers によって提供されるあらゆる範囲の保護に必要な要素のアーキテクチャは、Kubernetes クラスターがホストされている場所によって異なります。

Defender for Containers を使用すると、次の場所のいずれで実行されているかに関わらず、クラスターは保護されます。

  • Azure Kubernetes Service (AKS) - コンテナー化されたアプリケーションを開発、デプロイ、管理するための Microsoft のマネージド サービスです。

  • 接続された Amazon Web Services (AWS) アカウントでの Amazon Elastic Kubernetes Service (EKS) - 独自で Kubernetes の制御プレーンやノードをインストール、運用、保守することなく、AWS 上で Kubernetes を稼働させるための Amazon のマネージド サービスです。

  • 管理されていない Kubernetes のディストリビューション (Azure Arc 対応の Kubernetes を使用) - Cloud Native Computing Foundation (CNCF) 認定の Kubernetes クラスターを、オンプレミスまたは IaaS 上でホストします。

Defender for Cloud では、クラスターの構成を継続的に評価し、それらを、サブスクリプションに適用されているイニシアチブと比較します。 誤った設定が検出されると、Defender for Cloud によってセキュリティの推奨事項が生成されます。 クラウドの [ 推奨事項] ページ で Defender を使用して、推奨事項を表示し、問題を修復します。

EKS 上の Kubernetes クラスターの場合、[環境設定] ページを使用して AWS アカウントを Microsoft Defender for Cloud に接続する必要があります (「AWS アカウントを Microsoft Defender for Cloud に接続する」の説明を参照してください)。 次に、CSPM プランが有効になっていることを確認します。

環境のセキュリティ強化

Kubernetes コンテナーのワークロードを保護する一連の推奨事項を取得するには、Azure Policy for Kubernetes をインストールします。 既定では、Defender for Containers を有効にすると、自動プロビジョニングが有効になります。

AKS クラスターにアドオンが存在する場合、Kubernetes API サーバーに対するすべての要求が、クラスターに保存される前に、事前定義された一連のベスト プラクティスを基準にして監視されます。 その後、ベスト プラクティスを適用し、それを将来のワークロードに対して要求するように構成できます。

たとえば、特権コンテナーが作成されないように要求することができます。また、今後の特権コンテナー作成要求はすべてブロックされます。

実行中のイメージの脆弱性を表示する

Defender for Containers は、Defender プロファイルまたは拡張機能を利用した脆弱性の実行時の可視性のプレビュー機能を導入することで、コンテナー レジストリ プラン向けに Defender のレジストリ スキャン機能を拡張します。

新しい推奨事項である "running container images should have vulnerability findings resolved"(実行中のコンテナー イメージで脆弱性の検出を解決するようにする) には、実行中のイメージに対する脆弱性のみが表示されます。 この推奨事項は、Defender セキュリティ プロファイル、または現在実行されているイメージを検出する拡張機能に依存しています。 この推奨事項は、脆弱性のある実行中のイメージをグループ化し、検出された問題とその修復方法の詳細を提供します。 Defender プロファイルまたは拡張機能は、アクティブになっている脆弱なコンテナーを可視化するために使用されます。

この推奨事項は、実行中のイメージと、ACR イメージに基づく脆弱性を示しています。 ACR 以外のレジストリからデプロイされたイメージはスキャンされず、[該当なし] タブに表示されます。

Kubernetes ノードとクラスターの実行時の保護

Defender for Cloud では、コンテナー化された環境に対するリアルタイムの脅威の防止が提供され、不審なアクティビティに対してはアラートが生成されます。 ユーザーは、この情報を使用して、迅速にセキュリティの問題を修復し、コンテナーのセキュリティを強化することができます。

クラスター レベルの脅威保護は、Defender プロファイルと Kubernetes 監査ログの分析によって提供されます。 このレベルのイベントの例としては、公開された Kubernetes ダッシュボード、高い特権を持つロールの作成、機密性の高いマウントの作成があります。

さらに、Microsoft の脅威検出は、Kubernetes 管理レイヤーを超えています。 Defender for Containers には、ランタイム ワークロードに基づく 60 を超える Kubernetes 対応の分析、AI、異常検出によるホストレベルの脅威検出が含まれています。 Microsoft のグローバルなセキュリティ研究者チームは、脅威状況を常時監視しています。 コンテナー固有のアラートや脆弱性は、それらが検出された時点で追加されます。 さらに、このソリューションは、マルチクラウド Kubernetes デプロイの増大する攻撃面を監視し、コンテナーの MITRE ATT&CK® マトリックスを追跡します。 Center for Threat-Informed Defense が Microsoft や他のパートナーと緊密に連携して開発したフレームワークです。