この記事では、Azure portal を使用して Azure Kubernetes Service (AKS) クラスターで Microsoft Defender for Containers を有効にする方法について説明します。 包括的な保護のためにすべてのセキュリティ機能を一度に有効にするか、要件に基づいて特定のコンポーネントを選択的にデプロイするかを選択できます。
このガイドを使用する場合
次の操作を行う場合は、このガイドを使用します。
- 初めて Azure に Defender for Containers を設定する
- 包括的な保護のためにすべてのセキュリティ機能を有効にする
- 特定のコンポーネントを選択的にデプロイする
- 不足しているコンポーネントを修正または既存のデプロイに追加する
- 保護から特定のクラスターを除外する
[前提条件]
ネットワークの要件
Defender センサーは、セキュリティ データとイベントを送信するために Microsoft Defender for Cloud に接続する必要があります。 必要なエンドポイントが送信アクセス用に構成されていることを確認します。
接続の要件
Defender センサーには、次の接続が必要です。
- Microsoft Defender for Cloud (セキュリティ データとイベントの送信用)
既定で、AKS クラスターは、送信 (エグレス) インターネット アクセスが無制限です。
エグレスが制限されたクラスターでは、Microsoft Defender for Containers の特定の FQDN が正常に機能することを許可する必要があります。 必要なエンドポイントについては、AKS 送信ネットワークドキュメントの 「Microsoft Defender for Containers - Required FQDN/application rules 」を参照してください。
プライベート リンクの構成
クラスターからのイベント エグレスで Azure Monitor Private Link Scope (AMPLS) を使用する必要がある場合は、次の手順を実行します。
Container Insights と Log Analytics ワークスペースを使用してクラスターを定義する
クラスターの Log Analytics ワークスペースを AMPLS のリソースとして定義する
次の間の AMPLS に仮想ネットワーク プライベート エンドポイントを作成します。
- クラスターの仮想ネットワーク
- Log Analytics リソース
仮想ネットワーク プライベート エンドポイントは、プライベート DNS ゾーンと統合されます。
手順については、「 Azure Monitor プライベート リンク スコープの作成」を参照してください。
Defender for Containers プランを有効にする
まず、サブスクリプションで Defender for Containers プランを有効にします。
Azure portal にサインインします。
「Microsoft Defender for Cloud」を参照してください。
左側のメニューで、[ 環境設定] を選択します。
AKS クラスターが配置されているサブスクリプションを選択します。
[Defender プラン] ページで、[ コンテナー ] 行を見つけて、状態を [オン] に切り替えます。
![[Defender プラン] ページの [コンテナー プラン] トグル スイッチを示すスクリーンショット。](media/tutorial-enable-containers-azure/containers-enabled-aks.png)
![[Defender プラン] ページの [コンテナー プラン] トグル スイッチを示すスクリーンショット。](media/tutorial-enable-containers-azure/containers-enabled-aks.png#lightbox)
プラン コンポーネントを構成する
プランを有効にしたら、コンポーネントを確認して構成します。 既定では、Defender for Containers プランを有効にすると、すべてのコンポーネントが有効になります。
[コンテナー プラン] 行で [設定] を 選択します。
[設定] には、使用可能なすべてのコンポーネントが表示されます。
既定で有効になっているコンポーネントを確認します。
- マシンのエージェントレス スキャン - エージェントに依存したり、マシンのパフォーマンスに影響を与えたりすることなく、インストールされているソフトウェア、脆弱性、シークレット スキャンについてマシンをスキャンします
- Defender センサー - 各ワーカー ノードに展開され、実行時の脅威保護に必要なセキュリティ関連データを収集します
- Azure Policy - Kubernetes クラスターにエージェントとしてデプロイされます。 Kubernetes データ プレーンのセキュリティ強化を提供します
- Kubernetes API アクセス - エージェントレス コンテナーの体制、ランタイムの脆弱性評価、応答アクションに必要
- レジストリ アクセス - レジストリ イメージのエージェントレス脆弱性評価を有効にします
次のようにすることができます。
- すべてのコンポーネントを有効のままにする (包括的な保護に推奨)
- 不要な特定のコンポーネントを無効にする
- 以前に無効にした場合は、コンポーネントを再度有効にする
続行を選択します。
監視対象範囲ページを確認して、保護されているリソースを確認します。
続行を選択します。
構成の概要を確認し、[ 保存] を選択します。
ロールとアクセス許可
Defender for Containers の拡張機能のプロビジョニングに使用されるロールの詳細を確認してください。
デプロイの進行状況を監視する
変更を保存すると、選択したコンポーネントの AKS クラスターへのデプロイが Defender for Cloud によって自動的に開始されます。
[Microsoft Defender for Cloud]>[推奨事項] の順に移動します。
リソースの種類 = Kubernetes サービスで推奨事項をフィルター処理します。
次の主要な推奨事項を探します。
- "Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある"
- "Kubernetes 用の Azure Policy をクラスターにインストールして有効にする必要がある"
各推奨事項を選択して、影響を受けるリソースと修復の進行状況を確認します。
Defender センサーをデプロイする
Important
Helm を使用した Defender センサーの展開: 自動プロビジョニングおよび自動的に更新される他のオプションとは異なり、Helm では Defender センサーを柔軟に展開できます。 このアプローチは、DevOps とコードとしてのインフラストラクチャのシナリオで特に役立ちます。 Helm を使用すると、CI/CD パイプラインにデプロイを統合し、すべてのセンサー更新を制御できます。 プレビューバージョンと GA バージョンを受け取ることもできます。 Helm を使用して Defender センサーをインストールする手順については、「Helm を使用した Defender for Containers センサーのインストール」を参照してください。
Defender センサー設定を有効にすると、サブスクリプション内のすべての AKS クラスターに自動的にデプロイされます。 自動展開を無効にした場合は、次の方法を使用してセンサーを手動でデプロイできます。
選択した AKS クラスターのグループにデプロイする
[Microsoft Defender for Cloud]>[推奨事項] の順に移動します。
"Azure Kubernetes Service クラスターで Defender プロファイルが有効になっている必要があります" を検索して選択します。
センサーを必要とする AKS クラスターを選択します。
[修正] を選択します。
![[修正] ボタンを選択する方法を示す、影響を受けるリソースが選択されている推奨事項のスクリーンショット。](media/tutorial-enable-containers-azure/affected-fix.png)
デプロイ構成を確認します。
Xリソースの修正を選択してデプロイします。
![[修正] ボタンを選択する方法を示す、影響を受けるリソースが選択されている推奨事項のスクリーンショット。](media/tutorial-enable-containers-azure/affected-fix.png#lightbox)
注
Helm を使用して Defender センサーを展開し、デプロイ構成をより詳細に制御することもできます。 Helm のデプロイ手順については、 Helm を使用した Defender センサーのデプロイに関する記事を参照してください。
特定の AKS クラスターにデプロイする
Defender センサーを特定の AKS クラスターにデプロイするには:
Azure portal で、AKS クラスターに移動します。
クラスター名の下の左側のメニューで、 Microsoft Defender for Cloud を選択します。
クラスターの Microsoft Defender for Cloud ページで、上部の行で [設定] を選択し、 Defender センサー の行を見つけて 、[オン] に切り替えます。
![[オン] に切り替えされた Defender センサーのスクリーンショット。](media/defender-for-containers-enable-plan-aks/defender-sensor-on.png)
保存 を選択します。
![[オン] に切り替えされた Defender センサーのスクリーンショット。](media/defender-for-containers-enable-plan-aks/defender-sensor-on.png#lightbox)
特定のクラスターを除外する (省略可能)
タグを適用することで、自動プロビジョニングから特定の AKS クラスターを除外できます。
AKS クラスターに移動します。
[ 概要] で、[タグ] を選択 します。
次のいずれかのタグを追加します。
- Defender センサーの場合:
ms_defender_container_exclude_sensors=true - Azure Policy の場合:
ms_defender_container_exclude_azurepolicy=true
- Defender センサーの場合:
継続的なセキュリティを監視する
セットアップ後、定期的に次の手順を実行します。
- 脆弱性の管理 - コンテナー イメージの脆弱性スキャンの結果を確認する
- 推奨事項の確認 - AKS クラスターで特定されたセキュリティの問題に対処する
- アラートの調査 - Defender センサーによって検出された実行時の脅威に対応する
- コンプライアンスの追跡 - セキュリティ標準とベンチマークへの準拠を監視する
リソースをクリーンアップする
Defender for Containers を無効にし、AKS クラスターからデプロイされたすべてのコンポーネントを削除するには、「 Azure (AKS) から Defender for Containers を削除する」を参照してください。