Microsoft Defender for Containers のコンテナー セキュリティの概要

Microsoft Defender for Containers は、コンテナー化された資産 (Kubernetes クラスター、Kubernetes ノード、Kubernetes ワークロード、コンテナー レジストリ、コンテナー イメージなど) とそのアプリケーションのセキュリティをマルチクラウド全体とオンプレミス環境で改善、監視、維持するためのクラウドネイティブ ソリューションです。

Defender for Containers は、コンテナー セキュリティの次の 4 つの主要な分野を支援します:

• セキュリティ態勢管理 - クラウド API、Kubernetes API、Kubernetes ワークロードの継続的な監視を実行して、クラウド リソースを検出し、包括的なインベントリ機能を提供し、構成ミスを検出してそれらを軽減するためのガイドラインを提供し、コンテキスト リスク評価を提供し、ユーザーが Defender for Cloud セキュリティ エクスプローラーを通じて強化されたリスク ハンティング機能を実行できるようにします。

• 脆弱性評価 - 修復ガイドライン、ゼロ構成、毎日の再スキャン、OS と言語パッケージのカバレッジ、悪用可能性に関する分析情報を含む Azure、AWS、GCP のエージェントレス脆弱性評価が提供されます。

• 実行時の脅威に対する保護 - Microsoft の最先端の脅威インテリジェンスを活用した、Kubernetes クラスター、ノード、ワークロード向けの豊富な脅威検出スイートでは、リスクと関連コンテキストを簡単に理解するための MITRE ATT&CK フレームワークへのマッピング、自動応答、SIEM/XDR 統合が提供されます。

• デプロイと監視- Kubernetes クラスターで不足しているエージェントがないか監視し、エージェントベースの機能のスムーズで大規模なデプロイ、標準の Kubernetes 監視ツールのサポート、監視されていないリソースの管理を提供します。

詳細については、Field ビデオ シリーズの Defender for Cloud に関するビデオ「Microsoft Defender for Containers」をご覧ください。

Microsoft Defender for Containers プランの可用性

側面	詳細
リリース状態:	一般公開 (GA) 一部の機能はプレビュー段階です。 完全な一覧については、「Defender for Cloud のコンテナー サポート マトリックス」を参照してください
利用可能な機能	機能のリリース状態と可用性の詳細については、「Defender for Cloud のコンテナー サポート マトリックス」を参照してください。
価格:	Microsoft Defender for Containers は、価格に関するページに示されているように課金されます
必要なロールとアクセス許可:	• 必要なコンポーネントをデプロイするには、各コンポーネントのアクセス許可を参照してください • セキュリティ管理者はアラートを無視できます • セキュリティ閲覧者は、脆弱性評価の結果を表示できます 修復のためのロールと Azure Container Registry のロールとアクセス許可についても参照してください。
クラウド:	「Defender for Cloud でのコンテナー サポート マトリックス」を表示して、クラウドの可用性を確認します。

セキュリティ体制管理

エージェントレス機能

• Kubernetes のエージェントレス検出 - フットプリントがゼロで、Kubernetes のクラスター、その構成、デプロイが API ベースで検出されます。

• エージェントレス脆弱性評価 - レジストリとランタイムの推奨事項、新しいイメージのクイック スキャン、結果の毎日の更新、悪用可能性に関する分析情報など、すべてのコンテナー イメージの脆弱性評価を提供します。 コンテキスト リスク評価と攻撃パスの計算、およびハンティング機能のため、脆弱性情報がセキュリティ グラフに追加されます。

• 包括的なインベントリ機能 - セキュリティ エクスプローラーを使ってリソース、ポッド、サービス、リポジトリ、イメージ、構成を探索し、資産を簡単に監視および管理できます。

• 強化されたリスク ハンティング - セキュリティ管理者は、セキュリティ エクスプローラーのクエリ (組み込みおよびカスタム) とセキュリティ分析情報を使用して、コンテナー化された資産にある態勢の問題を積極的に検出できます

• コントロール プレーンの強化 - クラスターの構成を継続的に評価し、それらを、サブスクリプションに適用されているイニシアティブと比較します。 構成ミスが見つかると、Defender for Cloud の [レコメンデーション] ページには、使用できるセキュリティに関する推奨事項が生成されます。 レコメンデーションを使用すると、問題を調査して修復できます。

  リソース フィルターを使用して、資産インベントリまたは [レコメンデーション] ページのいずれであるかに関わらず、コンテナー関連リソースに関する未解決の推奨事項を確認できます。

  

  この機能に含まれる詳細については、推奨事項の参照テーブルのコンテナー セクションを確認し、"コントロール プレーン" の種類の推奨事項を参照してください

エージェントベースの機能

Kubernetes データ プレーンの強化 - ベスト プラクティスの推奨事項に従って Kubernetes コンテナーのワークロードを保護するには、Kubernetes 用の Azure Policy をインストールします。 Defender for Cloud の監視コンポーネントに関する詳細をご覧ください。

Kubernetes クラスター上のアドオンを使うと、Kubernetes API サーバーに対するすべての要求が、クラスターに保存される前に、事前定義された一連のベスト プラクティスを基準にして監視されます。 その後、ベスト プラクティスを適用し、それを将来のワークロードに対して要求するように構成できます。

たとえば、特権コンテナーを作成しないように強制し、今後の作成要求をブロックできます。

Kubernetes データ プレーンのセキュリティ強化の詳細を確認できます。

脆弱性評価

Defender for Containers では、Azure Container Registry (ACR)、Amazon AWS Elastic Container Registry (ECR)、Google Artifact Registry (GAR)、Google Container Registry (GCR) のコンテナー イメージをスキャンして、レジストリとランタイムの推奨事項、修復ガイダンス、新しいイメージのクイック スキャン、実際の悪用に関する分析情報、悪用可能性に関する分析情報など、コンテナー イメージのエージェントレス脆弱性評価が提供されます。

Microsoft Defender 脆弱性の管理を利用した脆弱性情報は、コンテキスト リスク、攻撃パスの計算、ハンティング機能のクラウド セキュリティ グラフに追加されます。

各項目の詳細情報

• Microsoft Defender 脆弱性の管理を使用した Azure の脆弱性評価
• Microsoft Defender 脆弱性の管理を使用した AWS の脆弱性評価
• Microsoft Defender 脆弱性の管理を使用した GCP の脆弱性評価

Kubernetes ノードとクラスターの実行時の保護

Defender for Containers には、サポート済みのコンテナー化された環境に対するリアルタイムの脅威の防止機能が用意されていて、不審なアクティビティに対してはアラートが生成されます。 ユーザーは、この情報を使用して、迅速にセキュリティの問題を修復し、コンテナーのセキュリティを強化することができます。

脅威に対する保護はクラスター レベル、ノード レベル、ワークロード レベルで Kubernetes に対して提供され、Defender エージェントを必要とするエージェント ベース カバレッジと、Kubernetes 監査ログの分析に基づくエージェントレス カバレッジの両方が含まれます。 サブスクリプションで Defender for Containers を有効にした後に発生したアクションやデプロイに対してのみ、セキュリティ アラートがトリガーされます。

Microsoft Defender for Containers で監視されるセキュリティ イベントの例を次に示します。

• 公開された Kubernetes ダッシュボード
• 高い特権ロールの作成
• 機密性の高いマウントの作成

Defender for Cloud の概要ページの上部にある [セキュリティ アラート] タイルまたはサイドバーのリンクを選択して、セキュリティ アラートを表示することができます。

[セキュリティ アラート] ページが開きます。

クラスター内のランタイム ワークロードのセキュリティ アラートは、アラートの種類の K8S.NODE_ プレフィックスで見分けることができます。 クラスター レベルのアラートの一覧については、アラートのリファレンス表を参照してください。

Defender for Containers には、60 を超える Kubernetes 対応の分析、AI、ランタイム ワークロードに基づいた異常検出によるホストレベルの脅威検出が含まれています。

Defender for Cloud では、Center for Threat-Informed Defense が Microsoft と緊密に連携して開発したフレームワークである MITRE ATT&CK® matrix for Containers に基づいて、マルチクラウド Kubernetes デプロイの攻撃対象領域を監視します。

詳細情報

Defender for Containers の詳細については、次のブログを参照してください。

• Microsoft Defender for Containers の紹介
• Microsoft Defender for Cloud のデモ

次のステップ

この概要では、Microsoft Defender for Cloud でのコンテナー セキュリティの中核となる要素について説明しました。 プランを有効にするには、以下を参照してください。

• Defender for Containers を有効にする
• Defender for Containers に関する一般的な質問をご確認ください。