Microsoft Defender for Containers では、 Azure Kubernetes Service (AKS)、Amazon Elastic Kubernetes Service (EKS)、Google Kubernetes Engine (GKE) など、Kubernetes 環境でのデプロイ時にコンテナー イメージ セキュリティ ポリシーを適用するゲートデプロイがサポートされています。 強制では、サポートされているコンテナー レジストリ (Azure Container Registry (ACR)、Amazon Elastic Container Registry (ECR)、Google Artifact Registry など) からの脆弱性スキャン結果が使用されます。
ゲートデプロイは Kubernetes アドミッション コントローラーと統合され、組織のセキュリティ要件を満たすコンテナー イメージのみが Kubernetes 環境で実行されるようにします。 クラスターに許可される前に、定義されたセキュリティ規則に対してコンテナー イメージを評価し、セキュリティ チームが脆弱なワークロードをブロックし、コンプライアンスを維持できるようにします。
メリット
- 既知の脆弱性を持つコンテナー イメージのデプロイを防止します
- セキュリティ ポリシーをリアルタイムで適用する
- Defender for Cloud の脆弱性管理ワークフローとの統合
- 段階的なロールアウトをサポートします。監査モードで開始してから、拒否モードに移行します
有効化戦略
多くのお客様は、Microsoft Defender for Containers 脆弱性スキャナーを既に使用しています。 ゲートデプロイは、この基盤上に構築されています。
| モード | 説明 |
|---|---|
| Audit | デプロイを続行し、セキュリティ規則に違反する脆弱なイメージのアドミッション イベントを生成できます |
| Deny | セキュリティ規則に違反するイメージのデプロイをブロックする |
監査モードで開始して影響を評価し、拒否モードに移行して規則を適用します。
動作方法
- セキュリティ規則は、CVE の重大度や監査や拒否などのアクションなどの条件を定義します。
- アドミッション コントローラーは、これらの規則に対してコンテナー イメージを評価します。
- ルールが一致すると、システムは定義されたアクションを実行します。
- アドミッション コントローラーは、Defender for Cloud がサポートし、ACR、ECR、Google Artifact Registry などのスキャン用に構成されているレジストリの脆弱性スキャン結果を使用します。
主な機能
- 対象となるクラスターで高または重大な脆弱性を持つイメージのデプロイに自動的にフラグを設定する既定の監査規則を使用する
- 期限付きのスコープ付き除外を設定します。
- ターゲット ルールは、クラスター、名前空間、ポッド、またはイメージごとに細かく設定します。
- Defender for Cloud を使用して受付イベントを監視します。
関連コンテンツ
次の記事の詳細なガイダンスを参照してください。
有効化ガイド: Defender for Containers におけるゲーテッド展開の構成 オンボーディング、ルール作成、除外、監視に関するステップバイステップの手順。
FAQ: Defender for Containers でのゲート付きデプロイ
ゲートデプロイの動作と構成に関する一般的な顧客の質問に対する回答。トラブルシューティング ガイド: ゲートデプロイと開発者エクスペリエンス
オンボードの問題、デプロイの失敗、開発者向けのメッセージの解釈の解決に役立ちます。