Azure Defender for container registries の概要Introduction to Azure Defender for container registries

Azure Container Registry (ACR) は、Azure デプロイ用のコンテナー イメージを中央のレジストリに格納して管理する、プライベートなマネージド Docker レジストリ サービスです。Azure Container Registry (ACR) is a managed, private Docker registry service that stores and manages your container images for Azure deployments in a central registry. これは、オープンソースの Docker Registry 2.0 を基にしています。It's based on the open-source Docker Registry 2.0.

サブスクリプション内のすべての Azure Resource Manager ベースのレジストリを保護するには、サブスクリプション レベルで コンテナー レジストリ用 Azure Defender を有効にします。To protect all the Azure Resource Manager based registries in your subscription, enable Azure Defender for container registries at the subscription level. その後、Security Center では、レジストリにプッシュされたイメージ、レジストリにインポートされたイメージ、または過去 30 日以内にプルされたイメージがスキャンされます。Security Center will then scan images that are pushed to the registry, imported into the registry, or any images pulled within the last 30 days. この機能では、イメージごとに課金されます。This feature is charged per image.

コンテナー レジストリ用 Azure Defender の利点は何ですか?What are the benefits of Azure Defender for container registries?

Security Center では、サブスクリプション内の Azure Resource Manager ベースの ACR レジストリが識別され、レジストリのイメージに対する Azure ネイティブの脆弱性の評価と管理がシームレスに提供されます。Security Center identifies Azure Resource Manager based ACR registries in your subscription and seamlessly provides Azure-native vulnerability assessment and management for your registry's images.

コンテナー レジストリ用 Azure Defender には、Azure Resource Manager ベースの Azure Container Registry レジストリ内のイメージをスキャンし、画像の脆弱性をより詳細に把握するための脆弱性スキャナーが含まれています。Azure Defender for container registries includes a vulnerability scanner to scan the images in your Azure Resource Manager-based Azure Container Registry registries and provide deeper visibility into your images' vulnerabilities. 統合されたスキャナーは、業界トップレベルの脆弱性スキャン ベンダーである Qualys を使用しています。The integrated scanner is powered by Qualys, the industry-leading vulnerability scanning vendor.

Qualys または Security Center によって問題が見つかった場合は、Security Center ダッシュボードで通知されます。When issues are found – by Qualys or Security Center – you'll get notified in the Security Center dashboard. Security Center には、すべての脆弱性について、実行可能な推奨事項、重大度の分類、および問題の修正方法に関するガイダンスが表示されます。For every vulnerability, Security Center provides actionable recommendations, along with a severity classification, and guidance for how to remediate the issue. コンテナーの Security Center の推奨事項の詳細については、推奨事項の参照リストを参照してください。For details of Security Center's recommendations for containers, see the reference list of recommendations.

Security Center では、スキャナーによる検出結果がフィルター処理および分類されます。Security Center filters and classifies findings from the scanner. イメージが正常な場合、Security Center ではそのように示されます。When an image is healthy, Security Center marks it as such. Security Center では、解決の必要な問題があるイメージに対してのみ、セキュリティに関する推奨事項が生成されます。Security Center generates security recommendations only for images that have issues to be resolved. Security Center には、報告された各脆弱性の詳細と、重要度の分類が表示されます。Security Center provides details of each reported vulnerability and a severity classification. また、各イメージで検出された特定の脆弱性を修復する方法についてのガイダンスも提供されます。Additionally, it gives guidance for how to remediate the specific vulnerabilities found on each image.

問題があるときにだけ通知することにより、Security Center では不要な情報アラートの可能性が減ります。By only notifying when there are problems, Security Center reduces the potential for unwanted informational alerts.

ヒント

Security Center のコンテナーのセキュリティ機能の詳細については、以下をご覧ください。To learn more about Security Center's container security features, see:

イメージはどのような場合にスキャンされますか。When are images scanned?

イメージ スキャンには、次の 3 つのトリガーがあります。There are three triggers for an image scan:

  • プッシュ時 - イメージがレジストリにプッシュされるたびに、Security Center はそのイメージを自動的にスキャンします。On push - Whenever an image is pushed to your registry, Security Center automatically scans that image. イメージのスキャンをトリガーするには、イメージをリポジトリにプッシュしてください。To trigger the scan of an image, push it to your repository.

  • 最近プルされたもの - 新しい脆弱性は日々検出されるため、 コンテナー レジストリ用 Azure Defender は、過去 30 日以内にプルされたすべてのイメージもスキャンします。Recently pulled - Since new vulnerabilities are discovered every day, Azure Defender for container registries also scans any image that has been pulled within the last 30 days. 再スキャンに対する追加料金は発生しません。前述のように、イメージごとに 1 回の課金となります。There's no additional charge for a rescan; as mentioned above, you're billed once per image.

  • インポート時 - Azure Container Registry には、Docker Hub、Microsoft Container Registry、またはその他の Azure コンテナー レジストリからレジストリにイメージを取り込むためのインポート ツールが用意されています。On import - Azure Container Registry has import tools to bring images to your registry from Docker Hub, Microsoft Container Registry, or another Azure container registry. コンテナー レジストリ用 Azure Defender は、インポートした、サポートされているイメージをスキャンします。Azure Defender for container registries scans any supported images you import. 詳細については、「コンテナー レジストリにコンテナー イメージをインポートする」を参照してください。Learn more in Import container images to a container registry.

通常、スキャンは 2 分以内に完了しますが、最大で 15 分かかる場合もあります。The scan completes typically within 2 minutes, but it might take up to 15 minutes. 結果は、Security Center の推奨事項として、次のように表示されます。Findings are made available as Security Center recommendations such as this one:

Azure Container Registry (ACR) でホストされるイメージで検出された脆弱性に関する Azure Security Center の推奨事項のサンプルSample Azure Security Center recommendation about vulnerabilities discovered in an Azure Container Registry (ACR) hosted image

Security Center では Azure Container Registry がどのように使用されていますか。How does Security Center work with Azure Container Registry

コンポーネントの概要図、および Security Center でレジストリを保護する利点を次に示します。Below is a high-level diagram of the components and benefits of protecting your registries with Security Center.

Azure Security Center と Azure Container Registry (ACR) の概要

Azure Container Registry のイメージ スキャンに関する FAQFAQ for Azure Container Registry image scanning

Security Center ではどのような方法でイメージがスキャンされますか。How does Security Center scan an image?

イメージがレジストリから抽出されます。The image is pulled from the registry. その後、隔離されたサンドボックスの中で、既知の脆弱性の一覧を抽出する Qualys スキャナーによって実行されます。It's then run in an isolated sandbox with the Qualys scanner that extracts a list of known vulnerabilities.

Security Center では、スキャナーによる検出結果がフィルター処理および分類されます。Security Center filters and classifies findings from the scanner. イメージが正常な場合、Security Center ではそのように示されます。When an image is healthy, Security Center marks it as such. Security Center では、解決の必要な問題があるイメージに対してのみ、セキュリティに関する推奨事項が生成されます。Security Center generates security recommendations only for images that have issues to be resolved. 問題があるときにだけ通知することにより、Security Center では不要な情報アラートの可能性が減ります。By only notifying when there are problems, Security Center reduces the potential for unwanted informational alerts.

REST API 経由でスキャン結果を取得できますか。Can I get the scan results via REST API?

はい。Yes. 結果は Sub-Assessments Rest API の下にあります。The results are under Sub-Assessments Rest API. また、Azure Resource Graph (ARG) を利用できます。これはすべてのリソースを対象とする Kusto のような API であり、1 つのクエリで特定のスキャンをフェッチできます。Also, you can use Azure Resource Graph (ARG), the Kusto-like API for all of your resources: a query can fetch a specific scan.

どのようなレジストリの種類がスキャンされますか。What registry types are scanned? どのような種類が課金されますか。What types are billed?

コンテナー レジストリ用 Azure Defender によってサポートされているコンテナー レジストリの種類の一覧については、「可用性」をご覧ください。For a list of the types of container registries supported by Azure Defender for container registries, see Availability.

サポートされていないレジストリを Azure サブスクリプションに接続している場合、これらはスキャンされず、課金対象にもなりません。If you connect unsupported registries to your Azure subscription, they won't be scanned and you won't be billed for them.

脆弱性スキャナーの結果をカスタマイズすることはできますか。Can I customize the findings from the vulnerability scanner?

はい。Yes. 組織のニーズとして、検出結果を修復するのではなく無視する必要がある場合は、必要に応じて検出結果を無効にできます。If you have an organizational need to ignore a finding, rather than remediate it, you can optionally disable it. 無効化された検出結果は、セキュリティ スコアに影響を与えたり、不要なノイズを生成したりすることはありません。Disabled findings don't impact your secure score or generate unwanted noise.

統合された脆弱性評価ツールからの結果を無効にするルールを作成する方法について確認してくださいLearn about creating rules to disable findings from the integrated vulnerability assessment tool.

次のステップNext steps