Security Center のコンテナーのセキュリティ

Azure Security Center は、コンテナーをセキュリティ保護するための Azure ネイティブ ソリューションです。

Security Center では、次のコンテナー リソースの種類を保護できます。

リソースの種類 Security Center によって提供される保護
Kubernetes サービス
Kubernetes クラスター
クラスターの継続的な評価。構成ミスを可視化すると共に、特定された脅威を軽減するためのガイドラインを提供します。 詳細については、セキュリティ推奨事項による環境のセキュリティ強化に関する情報を参照してください。

クラスターおよび Linux ノードの脅威の防止。 不審なアクティビティのアラートは、Azure Defender for Kubernetes によって提供されます。 Kubernetes クラスターは、ホストされている場所が Azure Kubernetes Service (AKS) であれ、オンプレミスであれ、他のクラウド プロバイダーのクラスターであれ、この Azure Defender プランで防御することができます。 clusters.
Kubernetes ノードとクラスターの実行時の保護に関する詳細情報をご覧ください。
コンテナー ホスト
コンテナー ホスト
(Docker を実行している VM)
お使いの Docker 環境の継続的な評価。構成ミスを可視化すると共に、オプションの Azure Defender for servers によって特定された脅威を軽減するためのガイドラインを提供します。
詳細については、セキュリティ推奨事項による環境のセキュリティ強化に関する情報を参照してください。
コンテナー レジストリ
Azure Container Registry (ACR) レジストリ
オプションのAzure Defender for container registries を使用した Azure Resource Manager ベースの ACR レジストリ内のイメージを対象とした脆弱性評価および管理ツール。
詳細については、コンテナー イメージの脆弱性スキャンに関するページを参照してください。

この記事では、コンテナー レジストリ、サーバー、および Kubernetes 用のオプションの Azure Defender プランと共に Security Center を使用して、コンテナーとそのアプリのセキュリティを改善、監視、および維持する方法について説明します。

ここでは、コンテナーのセキュリティのこうした主要な側面について、Security Center がどのように役立つかを説明します。

次のスクリーンショットは、資産インベントリ ページと、Security Center によって保護されるさまざまなコンテナー リソースの種類を示しています。

Security Center の資産インベントリ ページのコンテナー関連リソース

脆弱性管理 - コンテナー イメージのスキャン

Azure Resource Manager ベースの Azure コンテナー レジストリ内のイメージを監視するには、Azure Defender for container registries を有効にします。 過去 30 日間にプルされたイメージ、レジストリにプッシュされたイメージ、またはインポートされたイメージが、Security Center によってスキャンされます。 統合されたスキャナーは、業界トップレベルの脆弱性スキャン ベンダー Qualys によって提供されます。

Qualys または Security Center によって問題が見つかった場合は、Azure Defender ダッシュボードで通知されます。 Security Center には、すべての脆弱性について、実行可能な推奨事項、重大度の分類、および問題の修正方法に関するガイダンスが表示されます。 コンテナーの Security Center の推奨事項の詳細については、推奨事項の参照リストを参照してください。

Security Center では、スキャナーによる検出結果がフィルター処理および分類されます。 イメージが正常な場合、Security Center ではそのように示されます。 Security Center では、解決の必要な問題があるイメージに対してのみ、セキュリティに関する推奨事項が生成されます。 問題があるときにだけ通知することにより、Security Center では不要な情報アラートの可能性が減ります。

環境のセキュリティ強化

Docker 構成の継続的な監視

Azure Security Center では、IaaS Linux VM 上、または Docker コンテナーを実行している他の Linux マシン上でホストされているアンマネージド コンテナーが識別されます。 Security Center によって、こうしたコンテナーの構成が継続的に評価されます。 その後、Center for Internet Security (CIS) Docker Benchmark と比較されます。

Security Center には CIS Docker Benchmark のルールセット全体が含まれており、コンテナーがいずれかのコントロールを満たしていない場合は警告が表示されます。 不適切な構成が検出されると、Security Center によってセキュリティの推奨事項が生成されます。 Security Center の 推奨事項ページ を使用して、推奨事項を表示したり、問題を修復したりします。 CIS ベンチマーク チェックは、AKS マネージド インスタンスまたは Databricks マネージド VM では実行されません。

この機能に表示される可能性がある、Security Center の関連する推奨事項の詳細については、推奨事項参照テーブルのコンピューティング セクションをご覧ください。

VM のセキュリティ問題を調査している場合、Security Center にはマシン上のコンテナーに関する追加情報が表示されます。 こうした情報には、Docker のバージョンとホストで実行されているイメージの数が含まれます。

IaaS Linux VM でホストされているアンマネージド コンテナーを監視するには、オプションのAzure Defender for servers を有効にします。

Kubernetes クラスターの継続的な監視

Security Center は Azure Kubernetes Service (AKS) と連携して機能します。これは、コンテナー化されたアプリケーションを開発、デプロイ、および管理するための Microsoft のマネージド コンテナー オーケストレーション サービスです。

AKS には、クラスターのセキュリティ体制をセキュリティで制御し、把握する機能があります。 Security Center では、これらの機能を使用して、AKS クラスターの構成を常に監視し、業界標準に沿ったセキュリティの推奨事項を生成します。

Azure Security Center、Azure Kubernetes Service、Azure Policy 間の相互作用の概要図を次に示します。

Azure Security Center、Azure Kubernetes Service、Azure Policy 間の相互作用のアーキテクチャ概要

Security Center が受信して分析する項目には、以下が含まれていることがわかります。

  • API サーバーからの監査ログ

  • Log Analytics エージェントからの生のセキュリティ イベント

    注意

    仮想マシン スケール セットで実行されている Azure Kubernetes Service クラスターへの Log Analytics エージェントのインストールは、現在サポートされていません。

  • AKS クラスターからのクラスター構成情報

  • Azure Policy からのワークロード構成 (Kubernetes 用の Azure Policy アドオン を使用)

この機能に表示される可能性がある、Security Center の関連する推奨事項の詳細については、推奨事項参照テーブルのコンピューティング セクションをご覧ください。

Kubernetes 受付制御を使用したワークロード保護のベストプラクティス

Kubernetes コンテナーのワークロードを保護する推奨事項のバンドルを取得するには、Kubernetes 用 Azure Policy アドオン をインストールします。 「Log Analytics エージェントと拡張機能の自動プロビジョニングの有効化」の説明に従って、このアドオンを自動でデプロイすることもできます。 アドオンの自動プロビジョニングが "オン" に設定されている場合は、既存のクラスターおよび今後作成されるクラスターすべて (アドオンのインストール要件を満たすもの) で、拡張機能が既定で有効になります。

こちらの Kubernetes 用 Azure Policy ページで説明するように、アドオンによって、 Open Policy Agent 用オープンソース Gatekeeper v3  アドミッション コントローラー Webhook が拡張されます。 Kubernetes アドミッション コントローラーは、クラスターの使用方法を規定するプラグインです。 アドオンは Webhook として Kubernetes 受付制御に登録され、大規模な実施内容と安全対策を、一元的で一貫性のある方法でお使いのクラスターに適用できるようにします。

AKS クラスターにアドオンが存在する場合、Kubernetes API サーバーに対するすべての要求が、クラスターに保存される前に、事前定義された一連のベスト プラクティスを基準にして監視されます。 その後、ベスト プラクティスを 適用 し、それを将来のワークロードに対して要求するように構成できます。

たとえば、特権コンテナーが作成されないように要求することができます。また、今後の特権コンテナー作成要求はすべてブロックされます。

詳細については、「Kubernetes ワークロードを保護する」を参照してください。

Kubernetes ノードとクラスターの実行時の保護

Azure Defender では、コンテナー化された環境に対するリアルタイムの脅威の防止が提供され、疑わしいアクティビティに対してはアラートが生成されます。 ユーザーは、この情報を使用して、迅速にセキュリティの問題を修復し、コンテナーのセキュリティを強化することができます。

Azure Defender では、さまざまなレベルで脅威の防止が提供されます。

  • ホスト レベル (Azure Defender for servers が提供) - Azure Defender は、Security Center が他の VM で使用しているものと同じ Log Analytics エージェントを使用して、Web シェルの検出や既知の疑わしい IP アドレスとの接続などの不審なアクティビティについて、Linux Kubernetes ノードを監視します。 エージェントは、特権コンテナーの作成、API サーバーへの不審なアクセス、Docker コンテナー内での SSH (Secure Shell) サーバーの実行など、コンテナー固有の分析についても監視します。

    ホストにエージェントをインストールしなかった場合、脅威の防止によってもたらされるメリットとセキュリティ アラートは限定されます。 その場合でも、ネットワーク分析や悪意のあるサーバーとの通信に関連したアラートは通知されます。

    重要

    仮想マシン スケール セットで実行されている Azure Kubernetes Service クラスターへの Log Analytics エージェントのインストールは、現在サポートされていません。

    クラスター レベルのアラートの一覧については、アラートのリファレンス表を参照してください。

  • クラスター レベル (Azure Defender for Kubernetes が提供) - クラスター レベルでは、脅威の防止は Kubernetes の監査ログの分析に基づいています。 この エージェントレス型 監視を有効にするには、Azure Defender を有効にします。 クラスターがオンプレミスまたは別のクラウド プロバイダー上にある場合は、Arc 対応 Kubernetes と Azure Defender 拡張機能を有効にします。

    このレベルでアラートを生成するために、Azure Defender によってクラスターのログが監視されます。 このレベルのイベントの例として、公開されている Kubernetes ダッシュボード、高い特権ロールの作成、機微なマウントの作成などがあります。

    注意

    ご利用のサブスクリプションで Defender for Kubernetes プランを有効にした後に生じたアクションやデプロイに対して、Azure Defender によってセキュリティのアラートが生成されます。

    クラスター レベルのアラートの一覧については、アラートのリファレンス表を参照してください。

また、Microsoft のセキュリティ研究員から成るグローバル チームも、脅威の状況を絶えず監視しています。 コンテナー固有のアラートや脆弱性は、それらが検出された時点で追加されます。

ヒント

コンテナーのアラートをシミュレートするには、こちらのブログ記事の手順に従います。

次のステップ

この概要では、Azure Security Center でのコンテナー セキュリティの中核となる要素について説明しました。 関連資料については、以下を参照してください。