Azure Defender for Kubernetes の概要Introduction to Azure Defender for Kubernetes

Azure Kubernetes Service (AKS) は、コンテナー化されたアプリケーションを開発、デプロイ、管理するための Microsoft のマネージド サービスです。Azure Kubernetes Service (AKS) is Microsoft's managed service for developing, deploying, and managing containerized applications.

Azure Security Center と AKS を組み合わせることで、最高レベルのクラウドネイティブな Kubernetes セキュリティ オファリングが形成され、以下で概説するように、環境のセキュリティ強化、ワークロード保護、実行時保護が実現されます。Azure Security Center and AKS form the best cloud-native Kubernetes security offering and together they provide environment hardening, workload protection, and run-time protection as outlined below.

Kubernetes クラスターの脅威を検出するには、 Azure Defender for Kubernetes を有効にします。For threat detection for your Kubernetes clusters, enable Azure Defender for Kubernetes .

Azure Defender for server を有効にすると、Linux AKS ノードのホスト レベルの脅威検出を使用できます。Host-level threat detection for your Linux AKS nodes is available if you enable Azure Defender for servers.

可用性Availability

側面Aspect 詳細Details
リリース状態:Release state: 一般提供 (GA)Generally available (GA)
価格:Pricing: Azure Defender for Kubernetes の課金については、 価格に関するページをご覧ください。Azure Defender for Kubernetes is billed as shown on the pricing page
必要なロールとアクセス許可:Required roles and permissions: セキュリティ管理者 はアラートを無視できます。Security admin can dismiss alerts.
セキュリティ閲覧者 は、結果を表示できます。Security reader can view findings.
クラウド:Clouds: Yes 商用クラウドCommercial clouds
No ナショナル/ソブリン (US Gov、China Gov、その他の Gov)National/Sovereign (US Gov, China Gov, Other Gov)

Azure Defender for Kubernetes の利点What are the benefits of Azure Defender for Kubernetes?

実行時保護Run-time protection

Security Center では、次の AKS ソースの継続的な分析によって、コンテナー化された環境に対する脅威をリアルタイムで防止し、ホスト および AKS クラスター レベルで検出された脅威や悪意のあるアクティビティに関するアラートを生成します。Through continuous analysis of the following AKS sources, Security Center provides real-time threat protection for your containerized environments and generates alerts for threats and malicious activity detected at the host and AKS cluster level. ユーザーは、この情報を使用して、迅速にセキュリティの問題を修復し、コンテナーのセキュリティを強化することができます。You can use this information to quickly remediate security issues and improve the security of your containers.

Security Center では、さまざまなレベルで脅威の防止が提供されます。Security Center provides threat protection at different levels:

  • ホスト レベル (Azure Defender for servers が提供) - Azure Defender は、Security Center が他の VM で使用しているものと同じ Log Analytics エージェントを使用して、Web シェルの検出や既知の疑わしい IP アドレスを使用した接続などの不審なアクティビティについて、Linux AKS ノードを監視します。Host level (provided by Azure Defender for servers) - Using the same Log Analytics agent that Security Center uses on other VMs, Azure Defender monitors your Linux AKS nodes for suspicious activities such as web shell detection and connection with known suspicious IP addresses. エージェントは、特権コンテナーの作成、API サーバーへの不審なアクセス、Docker コンテナー内での SSH (Secure Shell) サーバーの実行など、コンテナー固有の分析についても監視します。The agent also monitors for container-specific analytics such as privileged container creation, suspicious access to API servers, and Secure Shell (SSH) servers running inside a Docker container.

    AKS ホスト レベルのアラートの一覧については、アラートのリファレンス表をご覧ください。For a list of the AKS host level alerts, see the Reference table of alerts.

    重要

    ホストにエージェントをインストールしなかった場合、脅威の防止によってもたらされるメリットとセキュリティ アラートは限定されます。If you choose not to install the agents on your hosts, you will only receive a subset of the threat protection benefits and security alerts. その場合でも、ネットワーク分析や悪意のあるサーバーとの通信に関連したアラートは通知されます。You'll still receive alerts related to network analysis and communications with malicious servers.

  • AKS クラスター レベル (Azure Defender for Kubernetes が提供) - クラスター レベルでは、脅威の防止は Kubernetes の監査ログの分析に基づいています。AKS cluster level (provided by Azure Defender for Kubernetes) - At the cluster level, the threat protection is based on analyzing Kubernetes' audit logs. この エージェントレス型 監視を有効にするには、Azure Defender を有効にします。To enable this agentless monitoring, enable Azure Defender. このレベルのアラートを生成するために、Security Center は、AKS によって取得されたログを使用して、AKS のマネージド サービスを監視します。To generate alerts at this level, Security Center monitors your AKS-managed services using the logs retrieved by AKS. このレベルのイベントの例として、公開されている Kubernetes ダッシュボード、高い特権ロールの作成、機微なマウントの作成などがあります。Examples of events at this level include exposed Kubernetes dashboards, creation of high privileged roles, and the creation of sensitive mounts.

    AKS クラスター レベルのアラートの一覧については、アラートのリファレンス表に関するページを参照してください。For a list of the AKS cluster level alerts, see the Reference table of alerts.

    注意

    Azure Kubernetes Service のアクションやデプロイについてのセキュリティ アラートが Security Center から生成されるのは、サブスクリプションの設定で Kubernetes オプションが有効にされた後になります。Security Center generates security alerts for Azure Kubernetes Service actions and deployments occurring after the Kubernetes option is enabled on the subscription settings.

また、Microsoft のセキュリティ研究員から成るグローバル チームも、脅威の状況を絶えず監視しています。Also, our global team of security researchers constantly monitor the threat landscape. コンテナー固有のアラートや脆弱性は、それらが検出された時点で追加されます。They add container-specific alerts and vulnerabilities as they're discovered.

ヒント

コンテナーのアラートをシミュレートするには、こちらのブログ記事の手順に従います。You can simulate container alerts by following the instructions in this blog post.

Security Center の Kubernetes 保護のしくみHow does Security Center's Kubernetes protection work?

Azure Security Center、Azure Kubernetes Service、Azure Policy 間の相互作用の概要図を次に示します。Below is a high-level diagram of the interaction between Azure Security Center, Azure Kubernetes Service, and Azure Policy.

Security Center が受信して分析する項目には、以下が含まれていることがわかります。You can see that the items received and analyzed by Security Center include:

Azure Security Center、Azure Kubernetes Service、Azure Policy 間の相互作用のアーキテクチャ概要

Azure Defender for Kubernetes - よくあるご質問Azure Defender for Kubernetes - FAQ

Log Analytics エージェントを使用しなくても AKS 保護を利用できますか。Can I still get AKS protections without the Log Analytics agent?

前述のように、オプションの Azure Defender for Kubernetes プランではクラスター レベルで保護を提供し、 Azure Defender for servers の Log Analytics エージェントはノードを保護します。As mentioned above, the optional Azure Defender for Kubernetes plan provides protections at the cluster level, the Log Analytics agent of Azure Defender for servers protects your nodes.

可能なかぎり最も完全な保護を実現するためには、両方をデプロイすることをお勧めします。We recommend deploying both, for the most complete protection possible.

ホストにエージェントをインストールしないことを選択した場合、脅威の防止の利点とセキュリティ アラートの一部だけが提供されます。If you choose not to install the agent on your hosts, you'll only receive a subset of the threat protection benefits and security alerts. その場合でも、ネットワーク分析や悪意のあるサーバーとの通信に関連したアラートは通知されます。You'll still receive alerts related to network analysis and communications with malicious servers.

AKS を使用すると、AKS ノードにカスタム VM 拡張機能をインストールできますか。Does AKS allow me to install custom VM extensions on my AKS nodes?

Azure Defender で AKS ノードを監視するには、それらのノードで Log Analytics エージェントが実行されている必要があります。For Azure Defender to monitor your AKS nodes, they must be running the Log Analytics agent.

AKS は管理サービスであり、Log Analytics エージェントは Microsoft マネージド拡張機能であるため、AKS クラスターでもサポートされています。AKS is a managed service and since the Log analytics agent is a Microsoft-managed extension, it is also supported on AKS clusters.

クラスターでコンテナー エージェントに対して Azure Monitor が既に実行されている場合、Log Analytics エージェントも必要ですか。If my cluster is already running an Azure Monitor for containers agent, do I need the Log Analytics agent too?

Azure Defender で AKS ノードを監視するには、それらのノードで Log Analytics エージェントが実行されている必要があります。For Azure Defender to monitor your AKS nodes, they must be running the Log Analytics agent.

クラスターでコンテナー エージェントに対して Azure Monitor が既に実行されている場合は、Log Analytics エージェントもインストールできます。この 2 つのエージェントは、問題なく一緒に動作できます。If your clusters are already running the Azure Monitor for containers agent, you can install the Log Analytics agent too and the two agents can work alongside one another without any problems.

コンテナー エージェントに対する Azure Monitor の詳細を学習します。Learn more about the Azure Monitor for containers agent.

次のステップNext steps

この記事では、Azure Defender for Kubernetes など、Security Center の Kubernetes 保護について説明しました。In this article, you learned about Security Center's Kubernetes protection including Azure Defender for Kubernetes.

関連資料については、次の記事をご覧ください。For related material, see the following articles: