この FAQ では、Microsoft Defender for Containers でのゲート配置に関する一般的な質問について説明します。 Gated デプロイでは、統合コンテナー レジストリからの脆弱性スキャンの結果に基づいて、サポートされている Kubernetes 環境でのデプロイ時にコンテナー イメージのセキュリティ ポリシーが適用されます。
ゲートデプロイとは何ですか?
ゲートデプロイは、Kubernetes クラスターに許可される前に、定義されたセキュリティ規則に対してコンテナー イメージを評価するセキュリティ機能です。
監査モードと拒否モードの違いは何ですか?
| モード | 動作 |
|---|---|
| Audit | デプロイを許可しますが、レビュー用の監視イベントを生成します |
| Deny | セキュリティ規則に違反するイメージのデプロイをブロックする |
最初のロールアウトには監査モードを使用して、影響を評価します。 拒否モードでは、非準拠イメージの展開を防ぐことによってポリシーが適用されます。
既定の規則はありますか?
Yes. すべての前提条件を満たしている場合、Defender for Containers は、高または重大な脆弱性を持つコンテナー イメージにフラグを設定する既定の監査規則を自動的に作成します。
スキャン結果が利用可能になる前にイメージをデプロイするとどうなりますか?
既定では、スキャン結果がコンテナー レジストリでまだ使用できない場合、ゲート配置は適用されません。 イメージは強制なしでデプロイされます。 ルールの作成時にこの設定を更新して、スキャン結果なしで画像をブロックできます。
ルールの評価と適用結果はどこで表示できますか?
すべてのゲート展開イベントは、Defender for Cloud の [アドミッション監視 ] ビューに表示されます。 このビューには、ルールの評価、トリガーされたアクション、影響を受けるリソースが表示されます。
アドミッション監視にアクセスするには:
- Microsoft Defender for Cloud>Environment の設定に移動します。
- [ セキュリティ規則 ] タイルを選択します。
- 左側のナビゲーション ウィンドウの [ 受付監視 ] ビューに移動します。
ゲート付きデプロイ イベントの監視についての詳細をご覧ください。
特定の CVE またはリソースを除外できますか?
はい。ルールの作成時に除外を構成できます。 サポートされる除外の種類は次のとおりです。
- CVE(共通脆弱性識別子)
- デプロイメント
- Image
- Namespace
- ポッド
- レジストリ
- リポジトリ
除外は、スコープと期限を指定できます。
除外の有効期限を設定できますか?
はい、できます。 除外を作成する場合は、 期限 切り替えを有効にして有効期限を選択します。 除外は、選択した日の終わりに自動的に期限切れになります。
拒否モードは展開のパフォーマンスに影響しますか?
Yes. 拒否モードでは、リアルタイム ポリシーの適用により、デプロイ中に 1 ~ 2 秒の遅延が発生する可能性があります。
API または CLI を使用して除外または規則を管理できますか?
現時点では、Defender for Cloud ポータルを使用してゲートデプロイを管理しています。 ルールを作成し、UI を使用して除外を構成します。
Gated Deployment はマルチクラウド環境でサポートされていますか?
はい。Gated Deployment では、Azure、AWS、GCP のクラウド環境と Kubernetes プラットフォームがサポートされます。 これには、脆弱性スキャンのためのレジストリ統合が含まれています。
関連コンテンツ
詳細なガイダンスとサポートについては、次のドキュメントを参照してください。
概要: Kubernetes クラスターへのコンテナー イメージの段階的デプロイ
機能の紹介、その価値、そしてその仕組み。有効化ガイド: Defender for Containers でゲート展開を構成する
オンボーディング、ルールの作成、例外、監視における段階的な手順。トラブルシューティング ガイド: ゲートデプロイと開発者エクスペリエンス
オンボードの問題、デプロイの失敗、開発者向けのメッセージの解釈の解決に役立ちます。