AKS セキュリティ ダッシュボードでは、セキュリティの問題に対する可視性と自動修復が提供されます。 これにより、プラットフォーム エンジニアリング チームは、Kubernetes 環境をより簡単かつ効果的にセキュリティで保護できます。
AKS ポータル内でセキュリティと運用データを統合すると、エンジニアは Kubernetes 環境の統一されたビューを得られます。 このビューは、ワークフローの中断を最小限に抑えながら、セキュリティの問題を効率的に検出して修正するのに役立ちます。 セキュリティの問題が見落とされるリスクを低減し、修復を高速化します。
AKS セキュリティ ダッシュボードでは、次のことができます。
実行時の脅威検出アラート、脆弱性評価、セキュリティ構成の誤り、コンプライアンス標準からの逸脱に関するガイド付き修復を確認、調査、取得します。
Defender for Containers プランを有効にして、特定の AKS クラスターの設定を構成します。
所有者を割り当て、セキュリティの問題の進行状況を追跡します。 この機能は、サブスクリプションに対して Defender Cloud Security Posture Management (Defender CSPM) が有効になっている場合に機能します。
前提条件
次のプランの少なくとも 1 つが有効になっている場合、AKS セキュリティ ダッシュボードにはクラスターのセキュリティの問題が表示されます。
- サブスクリプションまたは個々のクラスター上の Defender for Containers。
- サブスクリプションの Defender CSPM。
AKS セキュリティ ダッシュボードの使用
メニュー一覧で Microsoft Defender for Cloud を選択して、AKS クラスター リソース ウィンドウから AKS セキュリティ ダッシュボードにアクセスします。
ダッシュボードセクションを理解する
セキュリティの結果
上部の結果バーには、クラスターのセキュリティ状態が表示されます。 結果の種類ごとに、重大度またはリスクの最も高い問題の数が表示されます。 上位の結果を使用して、さらに調査するために別のタブを確認するかどうかを決定します。
[セキュリティ アラート] タブ
セキュリティ アラートは、環境内の疑わしいアクティビティまたはアクティブな潜在的な脅威に関する Defender for Cloud からの通知です。 サービスは、リスク別にアラートに優先順位を付けます。
アラートを選択すると、アラートをトリガーした検出に関する詳細情報を提供するパネルが開きます。 このパネルでは、問題を解決するために実行できるアクションも提案されます。
アラートの重大度
高い リソースが侵害される可能性が高くなります。 すぐに調査する必要があります。 Defender for Cloud は、悪意のある意図と、アラートの発行に使用される結果の両方に対する高い信頼度を持っています。
中程度 このアラートは疑わしいアクティビティを示しており、リソースが侵害されていることを示している可能性があります。 分析または検出に対する信頼度は中程度です。 悪意のある意図の信頼度は中から高です。 これらのアラートは、通常、機械学習または異常ベースの検出から取得されます。
低い このアラートは、無害な肯定的な攻撃またはブロックされた攻撃である可能性があります。
情報 インシデントには通常、いくつかのアラートが含まれます。 一部のアラートは単独で情報としてのみ表示される場合がありますが、他のアラートのコンテキストでは、詳細を確認する必要があります。
アラートを調査する
アラートの説明と推奨される手順を、アラートの右側のパネルで確認します。
侵害されたワークロードを特定するには、追加の詳細と関連エンティティを使用します。
[ ログを開く ] を選択して、関連する期間のログを調査します。
アラートが組織に関連しない場合は、同様の特性を持つ将来のアラートを抑制する抑制ルールを作成します。 抑制ルールの詳細を確認します。
一部のアラートの種類を制御するように、クラスターのセキュリティ規則を構成します。 ドリフト ポリシーを構成する方法の詳細について説明します。
今後の参照またはフィルター処理のためにアラートを軽減したら、アラートの状態を変更します。 アラートの状態を変更するには、セキュリティ管理者ロールが必要です。
注
Defender for Cloud では、 アラートも Microsoft XDR に直接ストリーミングされます。
Defender for Cloud のセキュリティ アラートの詳細について説明します。
![重大度、タイトル、アクティビティの開始時刻、最終更新時刻、および状態の列を含むセキュリティ アラートの一覧を示す [AKS セキュリティ ダッシュボードアラート] タブのスクリーンショット。](media/cluster-security-dashboard/alerts-tab-security-findings.png#lightbox)
[脆弱性評価] タブ
AKS セキュリティ ダッシュボードには、コンテナーとクラスターのノード プールを実行するためのソフトウェア脆弱性スキャン結果が表示されます。 脆弱なコンポーネントの優先順位付けされた一覧が生成されます。 この一覧は、環境内のリスクを評価し (Defender CSPM プランを有効にして利用可能)、悪用の可能性を考慮する動的エンジンによってランク付けされます。
コンテナー イメージのスキャンには、次の種類のパッケージが含まれます。
OS パッケージ: OS パッケージ マネージャーが Linux と Windows OS の両方にインストールするパッケージの脆弱性をスキャンします。 サポートされている OS とそのバージョンの完全な一覧を参照してください。
言語固有のパッケージ (Linux のみ): OS パッケージ マネージャーを使用せずにインストールまたはコピーされる、言語固有のパッケージとファイルとその依存関係のスキャンをサポートします。 サポートされている言語の完全な一覧を参照してください。
脆弱性評価の結果を確認する
脆弱性タブで脆弱なコンポーネントを選択し、詳細パネルを開きます。
一般的な詳細を使用して、修正に関連するコンポーネントと所有権を特定します。
CVE の一覧を確認し、パッケージ名と固定バージョン情報を使用して、問題を修復するためにパッケージをアップグレードする必要があるパッケージ バージョンを特定します。
割り当てられた所有者 (Defender CSPM プランで使用可能) を使用して修正プログラムの所有者を割り当て、電子メールまたはサービス内のチケットで通知します。
Defender for Cloud の脆弱性評価の詳細について説明します。
![重大度レベル、CVE 数、影響を受けるパッケージ、リスク評価スコアを含む脆弱なコンポーネントの一覧を示す [脆弱性] タブのスクリーンショット。](media/cluster-security-dashboard/vulnerabilities-assessment-tab.png#lightbox)
[誤った構成] タブ
Microsoft Defender for Cloud は、Kubernetes ワークロードと共に、Azure API と AKS API を継続的に監視します。 クラスター内またはその実行中のコンテナー内の構成を識別し、クラスターのセキュリティ体制に影響を与え、クラスターを危険にさらす可能性があります。 Defender には、これらの問題に対処するためのガイドラインと自動修正も用意されています。
構成ミスの評価結果を確認する
[構成の誤り] タブで正しく構成されていないコンポーネントを選択して、詳細パネルを開きます。
説明と修復手順を確認します。
クラスター レベルの構成ミスの場合は、[ クイック修正 ] ボタンを使用して修復フローを開始します。
コンテナーの構成が間違っている場合は、将来の問題のあるデプロイを防ぐためにポリシーをデプロイすることをお勧めします。 関連する組み込みの "Azure Policy" ポリシーへのリンクを使用します。
割り当てられた所有者 (Defender CSPM プランで使用可能) を使用して修正プログラムの所有者を割り当て、電子メールまたはサービス内のチケットで通知します。
Defender for Cloud を使用してセキュリティの構成ミスを修復する方法について説明します。
![セキュリティ構成の問題が表示されている [構成の誤り] タブのスクリーンショット。](media/cluster-security-dashboard/misconfigurations-assessment-tab.png#lightbox)
[コンプライアンス] タブ
Defender for Cloud は、選択した規制基準とベンチマークに対して環境を継続的に評価します。 コンプライアンスの状態を明確に表示し、満たされていない要件を強調し、クラウド セキュリティ体制の向上に役立つ推奨事項を提供します。
[コンプライアンス] タブの使用方法
準拠する必要がある必要があるコンプライアンス標準を構成します。 サブスクリプション レベルで標準を構成します。 コンプライアンス タブまたはダッシュボード設定から構成のリンクに従います。
関連する標準を選択したら、[コンプライアンス] タブの概要を使用して、準拠している標準と、準拠するために追加の手順が必要であることを理解します。
コンプライアンス タブ グリッドには、クラスターまたはそのコンポーネントが準拠していないコントロールに関する推奨事項のみが表示されます。
フィルターを使用して、ニーズに応じて推奨事項グリッドをフィルター処理します。
各推奨事項を選択して詳細パネルを開きます。
サイド パネルの修復手順に従って、関連するコントロールに準拠します。
Defender for Cloud の規制コンプライアンスの詳細について説明します。
![規制コンプライアンス評価の結果を示す [コンプライアンス] タブのスクリーンショット。](media/cluster-security-dashboard/compliance-standards-tab.png#lightbox)
一括アクション
各推奨事項の横にあるチェック ボックスを使用して、複数の推奨事項またはアラートを選択できます。 次に、ダッシュボード ツール バーの [推奨事項の 所有者の割り当て ] またはアラートの [状態の変更 ] を選択します。
セキュリティの結果をエクスポートする
[ CSV レポートのダウンロード ] を選択して、クラスターのセキュリティ結果を CSV ファイルとしてダウンロードします。 Defender for Cloud REST API を使用してセキュリティの結果を取得することもできます。
Setting
計画の有効化
1 つの AKS クラスターまたはサブスクリプション レベルで Microsoft Defender for Cloud コンテナー保護 (Defender for Containers) を有効にして、そのサブスクリプション内のすべてのクラスターを保護します。 ダッシュボード ツール バーの設定パネルを使用して、プランを有効にします。
注
サブスクリプション レベルで Defender for Containers を有効にすると、サブスクリプション レベルでのみプラン設定を変更できます。
他の Microsoft Defender for Cloud プランを有効にすると、すべてのクラウド資産をスキャンして、リソース間攻撃パスを特定し、リスクをより正確に特定し、リソース間のセキュリティ インシデントに対するアラートと完全な可視性を提供できます。 詳細情報。
構成を計画する
Defender センサー – クラスターに Defender for Containers エージェントを展開します。 このセンサーは、実行時の脅威保護とゲートデプロイ機能に必要です。
Kubernetes API アクセス – 脆弱性評価、構成の誤り、コンプライアンス評価、実行時の脅威保護に必要です。
レジストリ アクセス – 脆弱性評価とゲートデプロイ機能に必要です。
Azure policy - クラスター にエージェントをデプロイして、クラスター データ プレーンを強化するための推奨事項を生成します。
注
サブスクリプション レベルで設定を構成すると、クラスター レベルで構成されたすべての設定がオーバーライドされます。
REST API コマンドを使用して、クラスターまたはサブスクリプションの Defender for Containers プランを設定します。