Microsoft Defender for Containers の概要

Microsoft Defender for Containers は、クラスター、コンテナー、およびそれらのアプリケーションのセキュリティを向上、監視、保守できるようにする、コンテナーをセキュリティで保護するためのクラウド ネイティブ ソリューションです。

各 Kubernetes プラットフォームでの Defender for Containers の動作

Microsoft Defender for Containers に関する製品マネージャーからの詳細情報については、「Microsoft Defender for Containers」をご覧ください。

Microsoft Defender for Containers プランの可用性

側面 詳細
リリース状態: 一般公開 (GA)
一部の機能はプレビュー段階です。一覧については、可用性 に関するセクションを参照してください。
使用可能な機能 機能のリリース状態と可用性の詳細については、可用性 に関するセクションを参照してください。
価格: Microsoft Defender for Containers は、価格に関するページに示されているように課金されます
必要なロールとアクセス許可: • 必要なコンポーネントを自動プロビジョニングするには、各コンポーネントのアクセス許可を参照してください
セキュリティ管理者はアラートを無視できます
セキュリティ閲覧者は、脆弱性評価の結果を表示できます
Azure Container Registry のロールとアクセス許可」も参照してください。
クラウド: Azure:
商用クラウド
国内クラウド (Azure Government、Azure China 21Vianet) (プレビュー機能を除く))

Azure 以外:
接続されている AWS アカウント (プレビュー)
接続された GCP プロジェクト (プレビュー)
Arc 対応 Kubernetes を介してサポートされるオンプレミス/IaaS (プレビュー)。

詳細については、可能性のセクションを参照してください。

Microsoft Defender for Containers の利点

Defender for Containers は、コンテナー セキュリティの次の主要な側面に役立ちます。

  • 環境のセキュリティ強化 - Defender for Containers により、Azure Kubernetes Service、オンプレミスまたは IaaS 上の Kubernetes、Amazon EKS のいずれで実行されているかに関係なく。Kubernetes クラスターが保護されます。 Defender for Containers では、クラスターを継続的に評価することにより、特定された脅威を軽減するのに役立つ誤った構成とガイドラインを可視化します。

  • 脆弱性評価 - ACR レジストリに格納され、Azure Kubernetes Service で実行されているイメージの脆弱性の評価および管理ツール。

  • ノードとクラスターの実行時の脅威保護 - クラスターおよび Linux ノードの脅威保護により、不審なアクティビティに対してセキュリティ アラートが生成されます。

セキュリティ強化

Kubernetes クラスターの継続的な監視 - ホストされている場所を問わない

Defender for Cloud では、クラスターの構成を継続的に評価し、それらを、サブスクリプションに適用されているイニシアチブと比較します。 誤った設定が検出されると、Defender for Cloud によってセキュリティの推奨事項が生成されます。 クラウドの [ 推奨事項] ページ で Defender を使用して、推奨事項を表示し、問題を修復します。 この機能に表示される可能性がある、Defender for Cloud の関連する推奨事項の詳細については、推奨事項参照テーブルのコンピューティング セクションをご覧ください。

EKS 上の Kubernetes クラスターについては、AWS アカウントを Microsoft Defender for Cloud に接続する必要があります。 次に、CSPM プランが有効になっていることを確認します。

資産インベントリまたは [推奨事項] ページのいずれであるかに関わらず、コンテナー関連リソースに関する未解決の推奨事項を確認する場合は、リソース フィルターを使用できます。

Screenshot showing you where the resource filter is located.

Kubernetes データ プレーンのセキュリティ強化

カスタマイズされたレコメンデーションで Kubernetes コンテナーのワークロードを保護するには、Azure Policy for Kubernetes をインストールします。 エージェントと拡張機能の自動プロビジョニングの有効化に関するページで説明されているように、このコンポーネントは自動的にデプロイすることもできます。

AKS クラスターにアドオンが存在する場合、Kubernetes API サーバーに対するすべての要求が、クラスターに保存される前に、事前定義された一連のベスト プラクティスを基準にして監視されます。 その後、ベスト プラクティスを適用し、それを将来のワークロードに対して要求するように構成できます。

たとえば、特権コンテナーが作成されないように要求することができます。また、今後の特権コンテナー作成要求はすべてブロックされます。

詳細については、「Kubernetes データ プレーンのセキュリティ強化」をご覧ください。

脆弱性評価

ACR レジストリ内のイメージのスキャン

Defender for Containers には、Azure Container Registry 内のイメージをスキャンするための統合された脆弱性スキャナーが含まれています。 脆弱性スキャナーはイメージ上で次のように実行されます。

  • イメージをレジストリにプッシュした際
  • 過去 30 回以内にプルされたイメージに対して毎週
  • 自身の Azure Container Registry にイメージをインポートした際
  • 特定な状態で継続的に

詳細については、「脆弱性評価」を参照してください。

Sample Microsoft Defender for Cloud recommendation about vulnerabilities discovered in Azure Container Registry (ACR) hosted images.

実行中のイメージの脆弱性を表示する

[実行中のコンテナー イメージでは脆弱性の検出結果が解決されている必要がある] という推奨事項には、ACR レジストリからのスキャン結果と、Defender のセキュリティ プロファイルまたは拡張機能からの実行中のイメージに関する情報を使用して、実行中のイメージの脆弱性が示されています。 ACR 以外のレジストリから展開されたイメージは、[適用不可] タブに表示されます。

Screenshot showing where the recommendation is viewable.

Kubernetes ノードとクラスターの実行時の保護

Defender for Containers には、コンテナー化された環境に対するリアルタイムの脅威の防止機能が用意されていて、不審なアクティビティに対してはアラートが生成されます。 ユーザーは、この情報を使用して、迅速にセキュリティの問題を修復し、コンテナーのセキュリティを強化することができます。 クラスター レベルの脅威保護は、Defender プロファイルと Kubernetes 監査ログの分析によって提供されます。 このレベルのイベントの例としては、公開された Kubernetes ダッシュボード、高い特権を持つロールの作成、機密性の高いマウントの作成があります。

さらに、Microsoft の脅威検出は、Kubernetes 管理レイヤーを超えています。 Defender for Containers には、60 を超える Kubernetes 対応の分析、AI、ランタイム ワークロードに基づいた異常検出によるホストレベルの脅威検出が含まれています。 Microsoft のグローバルなセキュリティ研究者チームは、脅威状況を常時監視しています。 コンテナー固有のアラートや脆弱性は、それらが検出された時点で追加されます。

このソリューションは、マルチクラウド Kubernetes デプロイの増大する攻撃対象サーフェスをモニターし、Center for Threat-Informed Defense が Microsoft などと緊密に連携して開発したフレームワークである MITRE ATT&CK® matrix for Containers を追跡します。

使用可能なアラートの完全な一覧については、アラートの参照テーブルを参照してください。

Screenshot of Defender for Cloud's alerts page showing alerts for multicloud Kubernetes resources.

FAQ - Defender for Containers

新しいプランを大規模に有効にするオプションは何ですか?

新しいプランの大規模な有効化を容易にするために、Azure Policy で新しいポリシー "Microsoft Defender for Containers を構成して有効にする" をロールアウトしました。

Microsoft Defender for Containers は、仮想マシン スケール セットを含む AKS クラスターをサポートしていますか?

はい。

Microsoft Defender for Containers は、スケール セット (既定) のない AKS をサポートしていますか?

いいえ。 ノードに対して仮想マシン スケール セットを使用する Azure Kubernetes Service (AKS) クラスターのみサポートされています。

セキュリティ保護のために、AKS ノードに Log Analytics VM 拡張機能をインストールする必要がありますか?

いいえ。AKS はマネージド サービスであり、IaaS リソースの操作はサポートされていません。 Log Analytics VM 拡張機能は必要ありません。追加料金が発生する可能性があります。

詳細情報

Defender for Containers について学習します。

次のステップ

この概要では、Microsoft Defender for Cloud でのコンテナー セキュリティの中核となる要素について説明しました。 プランを有効にするには、以下を参照してください。