Microsoft Defender for Containers のコンテナー セキュリティ
Microsoft Defender for Containers は、マルチクラウド環境とオンプレミス環境全体で、コンテナー化された資産 (Kubernetes クラスター、Kubernetes ノード、Kubernetes ワークロード、コンテナー レジストリ、コンテナー イメージなど) とそのアプリケーションのセキュリティを向上、監視、および維持するためのクラウドネイティブ ソリューションです。
Defender for Containers は、コンテナー セキュリティの 4 つのコア ドメインを支援します。
- セキュリティ態勢管理 - クラウド API、Kubernetes API、Kubernetes ワークロードの継続的な監視を実行して、クラウド リソースを検出し、包括的なインベントリ機能を提供し、構成ミスを検出してそれらを軽減するためのガイドラインを提供し、コンテキスト リスク評価を提供し、ユーザーが Defender for Cloud セキュリティ エクスプローラーを通じて強化されたリスク ハンティング機能を実行できるようにします。
- 脆弱性評価 - 修復ガイドライン、ゼロ構成、毎日の再スキャン、OS と言語パッケージのカバレッジ、悪用可能性に関する分析情報を含む Azure、AWS、GCP のエージェントレス脆弱性評価が提供されます。
- ランタイムの脅威に対する保護 - Microsoft の主要な脅威インテリジェンスを活用した Kubernetes クラスター、ノード、ワークロード用の豊富な脅威検出スイートであり、MITRE ATT&CK フレームワークへのマッピングを提供し、リスクと関連するコンテキスト、自動応答、セキュリティ情報イベント管理 (SIEM)/拡張検出と応答 (XDR) の統合を容易に理解できるようにします。
- デプロイと監視- Kubernetes クラスターで不足しているエージェントがないか監視し、エージェントベースの機能のスムーズで大規模なデプロイ、標準の Kubernetes 監視ツールのサポート、監視されていないリソースの管理を提供します。
Microsoft Defender for Containers プランの可用性
| 属性 | 細部 |
|---|---|
| リリース状態: | 一般提供 (GA) 一部の機能はプレビュー段階です。 完全な一覧については、Defender for Cloud のコンテナーのサポート マトリックスを参照してください |
| 使用可能な機能 | 機能のリリース状態と可用性の詳細については、Defender for Cloud のコンテナーサポート マトリックスを参照してください。 |
| プライシング: | Microsoft Defender for Containers は、価格ページに示すように課金されます |
| 必要なロールとアクセス許可: | • 必要なコンポーネントをデプロイするには、各コンポーネントのアクセス許可を参照してください。 •セキュリティ管理者は、アラートを無視することができます • セキュリティ閲覧者は脆弱性評価の結果を表示できます 修復のロールと Azure Container Registry のロールとアクセス許可も参照してください |
| 雲: | Defender for Cloud のコンテナー サポート マトリックスを表示して、クラウドの可用性を確認します。 |
セキュリティ体制管理
エージェントレス機能
- Kubernetes のエージェントレス検出 - フットプリントがゼロで、Kubernetes クラスターの API ベースの検出、その構成、デプロイが提供されます。
- エージェントレス脆弱性評価 - レジストリとランタイムの推奨事項、新しいイメージのクイック スキャン、結果の毎日の更新、悪用可能性の分析情報など、すべてのコンテナー イメージの脆弱性評価を提供します。 コンテキスト リスクの評価と攻撃パスの計算、およびハンティング機能のために、脆弱性情報がセキュリティ グラフに追加されます。
- 包括的なインベントリ機能 - セキュリティ エクスプローラーを使用してリソース、ポッド、サービス、リポジトリ、イメージ、構成を探索し、資産を簡単に監視および管理できます。
- リスクハンティングの強化 - セキュリティ管理者は、セキュリティ エクスプローラーでクエリ (組み込みおよびカスタム) とセキュリティの分析情報を使用して、コンテナー化された資産のポスチャの問題を積極的に検出できます
- コントロール プレーンのセキュリティ強化 - クラスターの構成を継続的に評価し、サブスクリプションに適用されるイニシアティブと比較します。 構成の誤りが検出されると、Defender for Cloud では、Defender for Cloud の [推奨事項] ページで使用できるセキュリティに関する推奨事項が生成されます。 推奨事項を使用すると、問題を調査して修復できます。
リソース フィルターを使用して、資産インベントリまたは推奨事項ページのいずれにあるかにかかわらず、コンテナー関連リソースの未処理の推奨事項を確認できます。
注
この機能に含まれる詳細については、推奨事項のリファレンス テーブルのコンテナー セクションを確認し、"コントロール プレーン" 型の推奨事項を探します。
エージェントベースの機能
Kubernetes データ プレーンのセキュリティ強化 - ベスト プラクティスの推奨事項を使用して Kubernetes コンテナーのワークロードを保護するために、Kubernetes 用の Azure Policy をインストールできます。 Defender for Cloud の監視コンポーネントの詳細について説明します。
Kubernetes クラスター上のアドオンを使用すると、Kubernetes API サーバーに対するすべての要求は、クラスターに永続化される前に、定義済みのベスト プラクティスのセットに対して監視されます。 その後、ベスト プラクティスを適用し、将来のワークロードのためにそれらを必須にするように構成できます。
たとえば、特権コンテナーを作成しないように要求し、今後の要求がブロックされるようにすることができます。
脆弱性評価
Defender for Containers は、Azure Container Registry (ACR)、Amazon AWS Elastic Container Registry (ECR)、Google Artifact Registry (GAR)、Google Container Registry (GCR) のコンテナー イメージをスキャンして、レジストリとランタイムの推奨事項、修復ガイダンス、新しいイメージのクイック スキャン、実際の悪用の分析情報、悪用可能性の分析情報など、コンテナー イメージのエージェントレス脆弱性評価を提供します。
Microsoft Defender 脆弱性管理を利用した脆弱性情報がクラウド セキュリティ グラフに追加され、コンテキスト リスク、攻撃パスの計算、およびハンティング機能が提供されます。
Azure には、Microsoft Defender 脆弱性管理と Qualys を利用した 2 つの脆弱性評価ソリューションがあります。
Kubernetes ノードとクラスターの実行時保護
Defender for Containers は、サポートされているコンテナー化された環境に対してリアルタイムの脅威保護を提供し、疑わしいアクティビティのアラートを生成します。 この情報を使用して、セキュリティの問題をすばやく修復し、コンテナーのセキュリティを向上させることができます。
脅威保護は、クラスター レベル、ノード レベル、ワークロード レベルで Kubernetes に提供され、Defender エージェントを必要とするエージェント ベースのカバレッジと、Kubernetes 監査ログの分析に基づくエージェントレス カバレッジの両方が含まれます。 セキュリティ アラートは、サブスクリプションで Defender for Containers を有効にした後に発生するアクションと展開に対してのみトリガーされます。
- Microsoft Defenders for Containers が監視するセキュリティ イベントの例を次に示します。
- 公開されている Kubernetes ダッシュボード
- 高い権限のロールの作成
機密マウントの作成
セキュリティ アラートを表示するには、Defender for Cloud の概要ページの上部にある [セキュリティ アラート] タイルを選択するか、サイドバーのリンクを選択します。
[セキュリティ アラート] ページが開きます。
クラスター内のランタイム ワークロードに関するセキュリティ アラートは、アラートの種類の Kubernetes K8S.NODE_ プレフィックスで見分けることができます。
Defender for Containers には、ランタイム ワークロードに基づく 60 を超える Kubernetes 対応分析、AI、異常検出を使用したホスト レベルの脅威検出も含まれています。