Microsoft Defender 脆弱性の管理を使用した Azure の脆弱性評価
Microsoft Defender 脆弱性の管理を利用した Azure の脆弱性評価は、セキュリティ チームが、オンボードのための構成不要かつエージェントをデプロイもなしでコンテナー イメージの脆弱性を簡単に検出し修復することを可能にする、すぐに使用できるソリューションです。
Note
この機能では、Azure Container Registry (ACR) 内イメージのスキャンのみがサポートされます。 他のコンテナー レジストリに格納されているイメージを、カバレッジのために ACR にインポートする必要があります。 詳しくは、「コンテナー レジストリにコンテナー イメージをインポートする」をご覧ください。
この機能が有効になっているすべてのサブスクリプションで、ACR に保存されている、スキャン トリガーの基準を満たしているすべてのイメージに対して脆弱性のスキャンが行われます。ユーザーやレジストリの追加の構成は必要ありません。 脆弱性レポートを含む推奨事項は、ACR 内のすべてのイメージと、ACR レジストリまたは Defender for Cloud でサポートされている他のレジストリ (ECR、GCR、または GAR) からプルされた AKS で現在実行されているイメージに対して提供されます。 イメージはレジストリに追加された直後にスキャンされ、24 時間ごとに新しい脆弱性について再スキャンされます。
Microsoft Defender 脆弱性の管理を利用したコンテナーの脆弱性評価には、次の機能があります。
- OS パッケージのスキャン - コンテナーの脆弱性評価には、Linux および Windows OS の OS パッケージ マネージャーによりインストールされたパッケージでの脆弱性をスキャンする機能があります。 サポートされている OS とそのバージョンの完全な一覧を参照してください。
- 言語固有のパッケージ - Linux のみ - 言語固有のパッケージとファイル、および OS パッケージ マネージャーなしでインストールまたはコピーされた依存関係のサポート。 サポートされている言語の完全な一覧を確認してください。
- Azure Private Link でのイメージ スキャン - Azure コンテナーの脆弱性評価では、Azure Private Link 経由でアクセスできるコンテナー レジストリ内のイメージをスキャンする機能が提供されます。 この機能には、レジストリを使用した信頼されたサービスと認証へのアクセスが必要です。 信頼されたサービスによるアクセスを許可する方法をご確認ください。
- 悪用可能性情報 - 各脆弱性レポートは、報告された各脆弱性に関連する実際のリスクを判断するのに役立つように、悪用可能性データベースを通じて検索されます。
- レポート - Microsoft Defender 脆弱性の管理を利用した Azure のコンテナー脆弱性評価では、次の推奨事項を使用して脆弱性レポートを提供します。
これらは、ランタイム コンテナーの脆弱性とレジストリ イメージの脆弱性について報告する新しい推奨事項です。 これらは現在プレビュー段階ですが、古い推奨事項を置き換えることを目的としています。 これらの新しい推奨事項は、プレビュー段階ではセキュア スコアにはカウントされません。 両方の推奨セットのスキャン エンジンは同じです。
| 推奨 | Description | 評価キー |
|---|---|---|
| [プレビュー] Azure レジストリのコンテナー イメージは脆弱性の検出を解決する必要があります | Defender for Cloud は、レジストリ イメージをスキャンして既知の脆弱性 (CVE) を探し、スキャンした各イメージの詳細な結果を提供します。 レジストリ内のコンテナー イメージの脆弱性をスキャンして修復することは、安全で信頼性の高いソフトウェア サプライ チェーンを維持し、セキュリティ インシデントのリスクを軽減し、業界標準へのコンプライアンスを保証するのに役立ちます。 | 33422d8f-ab1e-42be-bc9a-38685bb567b9 |
| [プレビュー] Azure で実行されているコンテナーは脆弱性の検出を解決する必要があります | Defender for Cloud は、Kubernetes クラスターで現在実行されているすべてのコンテナー ワークロードのインベントリを作成し、使われているイメージとレジストリ イメージに対して作成された脆弱性レポートを照合することで、それらのワークロードの脆弱性レポートを提供します。 コンテナー ワークロードの脆弱性をスキャンして修復することは、堅牢で安全なソフトウェア サプライ チェーンを確保し、セキュリティ インシデントのリスクを軽減し、業界標準へのコンプライアンスを確保するために重要です。 | e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 |
現在廃止予定となっている以前の推奨事項を次に示します:
| 推奨 | Description | 評価キー |
|---|---|---|
| Azure レジストリ コンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。 | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Azure 実行中のコンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。 | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
- Azure Resource Graph を使用して脆弱性情報のクエリを実行する - Azure Resource Graph を使用して脆弱性情報に対してクエリを実行する機能。 ARG を介して推奨事項のクエリを実行する方法をご確認ください。
- REST API を使用してスキャン結果をクエリする - REST API を使用してスキャン結果をクエリする方法について説明します。
- 除外のサポート - 管理グループ、リソース グループ、またはサブスクリプションの除外規則を作成する方法について説明します。
- 脆弱性の無効化のサポート - イメージの脆弱性を無効にする方法をご確認ください。
スキャン トリガー
イメージ スキャンのトリガーは次のとおりです。
1 回限りのトリガー:
- コンテナー レジストリにプッシュまたはインポートされた各イメージは、スキャンされるようにトリガーされます。 ほとんどの場合、スキャンは数分以内に完了しますが、まれに最大で 1 時間かかる場合があります。
- レジストリからプルされた各イメージは、24 時間以内にスキャンされるようにトリガーされます。
継続的な再スキャン トリガー - 新しい脆弱性が公開された場合に、脆弱性について以前にスキャンされたイメージが再スキャンされて脆弱性レポートが更新されるようにするには、継続的な再スキャンが必要です。
- 再スキャンは、次に対して 1 日に 1 回実行されます。
- 過去 90 日間にプッシュされたイメージ。
- 過去 30 日間にプルされたイメージ。
- Defender for Cloud によって監視されている Kubernetes クラスターで現在実行されているイメージ (Kubernetes のエージェントレス検出または Defender センサーのどちらかを使用)。
- 再スキャンは、次に対して 1 日に 1 回実行されます。
イメージスキャンのしくみ
スキャン プロセスの詳細な説明は次のとおりです。
Microsoft Defender 脆弱性の管理を利用した Azure のコンテナー脆弱性評価を有効にするときに、Defender for Cloud が Azure コンテナー レジストリ内のコンテナー イメージをスキャンすることを承認します。
Defender for Cloud により、(この機能を有効にする前または後に作成された) すべてのコンテナー レジストリ、リポジトリ、イメージが自動的に検出されます。
Defender for Cloud は、新しいイメージが Azure Container Registry にプッシュされるたびに通知を受け取ります。 すると、その新しいイメージが Defender for Cloud が保持するイメージのカタログにすぐに追加され、イメージをすぐにスキャンするためのアクションがキューに入れられます。
1 日に 1 回、レジストリにプッシュされた新しいイメージの場合:
- 新しく検出されたすべてのイメージがプルされ、イメージごとにインベントリが作成されます。 新しいスキャナー機能で必要になる場合を除き、これ以上のイメージ プルを回避するためにイメージ インベントリが保持されます。
- インベントリを使用すると、新しいイメージに対して脆弱性レポートが生成され、過去 90 日間にレジストリにプッシュされたか現在実行中の、以前にスキャンされたイメージに対して更新されます。 イメージが現在実行中かどうかを確認するために、Defender for Cloud では、Kubernetes のエージェントレス検出、および AKS ノードで実行されている Defender センサーを介して収集されたインベントリの両方が使用されます
- リポジトリ コンテナー イメージの脆弱性レポートは推奨事項として提供されます。
Kubernetes のエージェントレス検出または AKS ノード で実行されている Defender センサーを介して収集されたインベントリを使用しているお客様の場合、Defender for Cloud により、AKS クラスターで実行されている脆弱なイメージの脆弱性を修復するための推奨事項も作成されます。 Kubernetes のエージェントレス検出のみを使用しているお客様の場合、この推奨事項のインベントリの更新時間は 7 時間に 1 回です。 Defender センサーも実行しているクラスターには、2 時間のインベントリ更新頻度のメリットがあります。 イメージ スキャンの結果は、どちらの場合もレジストリ スキャンに基づいて更新されるため、24 時間ごとにのみ更新されます。
Note
Defender for Container Registries (非推奨) の場合、イメージはプッシュ時、またはプル時に 1 回スキャンされ、週に 1 回だけ再スキャンされます。
レジストリからイメージを削除すると、そのイメージに関する脆弱性レポートが削除されるまでにどれくらいの時間がかかりますか?
Azure Container Registries は、イメージが削除されると Defender for Cloud に通知し、削除されたイメージについての脆弱性評価を 1 時間以内に削除します。 まれに、削除時に Defender for Cloud への通知がされない場合があり、このような場合に関連する脆弱性の削除には最大 3 日かかる場合があります。
次のステップ
- 詳細については、Defender for Cloud Defender プランに関する説明を参照してください。
- Defender for Containers に関する一般的な質問をご確認ください。