Azure Kubernetes Service (AKS) セキュリティ ダッシュボード (プレビュー)
AKS セキュリティ ダッシュボードは、セキュリティの問題に対する包括的な可視性と自動修復機能を提供し、プラットフォーム エンジニアリング チームが Kubernetes 環境を簡単かつ効果的に保護できるようにします。
セキュリティおよび運用に関するデータがダイレクトに AKS ポータル内の 1 か所にまとめられるため、エンジニアは Kubernetes 環境の統合ビューのメリットを得ることができます。 このビューを使用すると、ワークフローの中断を最小限に抑えながら、より効率的にセキュリティの問題を検出して修復することで、セキュリティの問題を見落とすリスクを軽減し、修復サイクルを改善することができます。
AKS セキュリティ ダッシュボードで、ユーザーは次のことを実行できます。
- クラスターのセキュリティ態勢を表示します。
- Defender for Containers プランを有効にし、特定のクラスター リソースの設定を構成します。
- 脆弱性評価の推奨事項を確認します。
- セキュリティのベスト プラクティスに沿っていないクラスターおよび実行中のコンテナーの構成 ("構成の誤り") と、ガイド付きまたは自動的な修復について確認します。
- 指定した日付までの修復を担当する所有者を、推奨事項または構成の誤りに割り当てます。 (サブスクリプションで有効になっている Defender クラウド セキュリティ態勢管理 (DCSPM) で利用できます。)
前提条件
次のプランのうち少なくとも 1 つが有効になっている場合に、クラスターのセキュリティの脆弱性と構成の誤りが AKS セキュリティ ダッシュボードに表示されます。
- 個別のクラスターまたはサブスクリプションでの Defender for Containers
- サブスクリプションでの DCSPM
AKS セキュリティ ダッシュボードの使用
AKS セキュリティ ダッシュボードには、メニュー一覧で Microsoft Defender for Cloud を選択して、クラスター リソース ペインからアクセスします。 ダッシュボードには次のものが表示されます。
- [このクラスターのセキュリティの調査結果] の概要。 脆弱性と構成の誤りの合計数がリスク レベル別に示されます。
- [脆弱性] および [構成の誤り] のタブ。 各タブには、リスク レベルの概要と推奨事項の一覧が表示されます。
- クラスターの Microsoft Defender for Containers の状態と、そのカバレッジを構成するオプション。
脆弱性と構成の誤りの修復
[脆弱性] と [構成の誤り] のタブの両方で、いずれかの推奨事項を選択すると、その推奨事項のすべての詳細が表示されるペインが開きます。 詳細ペインで、ユーザーは次のことができます。
- 推奨事項のすべての詳細と、修復手順を表示します。
- [クイック修正] オプションを選択して、問題を修復します。
- 問題の修復を担当する所有者を割り当てます。 [所有者の割り当て] を選択すると、所有者名、修復期間、定期的なメール アラームを設定できるペインが開きます。
ユーザーは、各推奨事項の横にあるチェックボックスを使用して複数の推奨事項を選択し、ダッシュボード ルーラーにある [所有者の割り当て] を選択すると、それらのすべてに 1 人の所有者を割り当てることができます。
[CSV レポートのダウンロード] を選択すると、クラスターの脆弱性と構成の誤りが CSV ファイルとしてダウンロードされます。 クラスターの脆弱性と構成の誤りは、Defender for Cloud REST API を使用して取得することもできます。
Defender for Containers プランの設定
Microsoft Defender for Containers の状態の [設定] を選択すると、ユーザーが特定のクラスターの Defender for Containers プランを構成するためのペインが開きます。 Defender for Containers がサブスクリプション レベルで有効になっている場合、プラン設定はサブスクリプション レベルでのみ変更できます。 プランの構成には次の設定が含まれます。
- Kubernetes API アクセス - エージェントレス コンテナー セキュリティ態勢管理、ランタイム脆弱性評価、対応アクション。
- レジストリ アクセス - レジストリ イメージのエージェントレス脆弱性評価。
- Azure Policy - クラスター コントロールおよびデータ プレーンを強化するための推奨事項を生成するエージェントの、クラスターへのデプロイ。
クラスターの Defender for Containers プランは、REST API コマンドを使用して設定することもできます。