次の方法で共有


Defender for Cloud でのコンテナー保護

Microsoft Defender for Containers は、コンテナー化された資産 (Kubernetes クラスター、Kubernetes ノード、Kubernetes ワークロード、コンテナー レジストリ、コンテナー イメージなど) とそのアプリケーションのセキュリティをマルチクラウド全体とオンプレミス環境で改善、監視、維持するためのクラウドネイティブ ソリューションです。

Defender for Containers は、コンテナー セキュリティの次の 4 つの主要な分野を支援します:

  • セキュリティ態勢管理では、クラウド API、Kubernetes API、Kubernetes ワークロードの継続的な監視を実行して、クラウド リソースを検出し、包括的なインベントリ機能を提供し、軽減に関するガイドラインを使用して構成ミスを検出し、コンテキスト リスク評価を提供し、ユーザーが Defender for Cloud セキュリティ エクスプローラーを通じて強化されたリスク ハンティング機能を実行できるようにします。

  • 脆弱性評価 - 修復ガイドライン、ゼロ構成、毎日の再スキャン、OS と言語パッケージのカバレッジ、悪用可能性に関する分析情報を使用して、サポートされている K8 のノードとコンテナー レジストリのエージェントレス脆弱性評価を実行します。

  • 実行時の脅威に対する保護 - Microsoft の最先端の脅威インテリジェンスを活用した、Kubernetes クラスター、ノード、ワークロード向けの豊富な脅威検出スイートでは、リスクと関連コンテキストを簡単に理解するための MITRE ATT&CK フレームワークへのマッピング、および自動応答が提供されます。 セキュリティ オペレーターは、Microsoft Defender XDR ポータルを使用して、Kubernetes サービスに対する脅威を調査して対応することもできます。

  • デプロイとモニタリング- Kubernetes クラスターで不足しているセンサーがないかモニターし、センサーベースの機能のスムーズかつ大規模なデプロイ、標準の Kubernetes モニタリング ツールのサポート、モニターされていないリソースの管理を提供します。

詳細については、Field ビデオ シリーズの Defender for Cloud に関するビデオ「Microsoft Defender for Containers」をご覧ください。

Microsoft Defender for Containers プランの可用性

特徴 詳細
リリース状態: 一般公開 (GA)
一部の機能はプレビュー段階です。 完全な一覧については、「Defender for Cloud のコンテナー サポート マトリックス」を参照してください
利用可能な機能 機能のリリース状態と可用性の追加情報については、「Defender for Cloud でのコンテナー サポート マトリックス」を参照してください
価格: Microsoft Defender for Containers は、価格に関するページに示されているように課金されます
必要なロールとアクセス許可: * 必要なコンポーネントをデプロイするには、各コンポーネントのアクセス許可を参照してください
* セキュリティ管理者はアラートを無視できます
* セキュリティ閲覧者は、脆弱性評価の結果を表示できます
修復のためのロールAzure Container Registry のロールとアクセス許可についても参照してください。
クラウド: Defender for Cloud でのコンテナー サポート マトリックス」を表示して、クラウドの可用性を確認します。

セキュリティ体制管理

エージェントレス機能

  • Kubernetes のエージェントレス検出 - フットプリントがゼロで、Kubernetes のクラスター、構成、デプロイが API ベースで検出されます。

  • エージェントレス脆弱性評価 - レジストリとランタイムの推奨事項、新しいイメージのクイック スキャン、結果の毎日の更新、悪用可能性に関する分析情報など、クラスター ノードおよびすべてのコンテナー イメージの脆弱性評価を提供します。 コンテキスト リスク評価と攻撃パスの計算、およびハンティング機能のため、脆弱性情報がセキュリティ グラフに追加されます。

  • 包括的なインベントリ機能 - セキュリティ エクスプローラーを使用してリソース、ポッド、サービス、リポジトリ、イメージ、および構成を探索し、資産を簡単に監視および管理できます。

  • 強化されたリスク ハンティング - セキュリティ管理者は、セキュリティ エクスプローラーのクエリ (組み込みおよびカスタム) とセキュリティ分析情報を使用して、コンテナー化された資産にある態勢の問題を積極的に検出できます

  • コントロール プレーンの強化 - クラスターの構成を継続的に評価し、それらを、サブスクリプションに適用されているイニシアティブと比較します。 構成ミスが見つかると、Defender for Cloud の [レコメンデーション] ページには、使用できるセキュリティに関する推奨事項が生成されます。 レコメンデーションを使用すると、問題を調査して修復できます。

    リソース フィルターを使用して、資産インベントリまたは [レコメンデーション] ページのいずれであるかに関わらず、コンテナー関連リソースに関する未解決の推奨事項を確認できます。

    この機能に含まれる詳細については、「コンテナーの推奨事項」を確認し、"コントロール プレーン" の種類の推奨事項を参照してください

センサーベースの機能

バイナリ ドリフト検出 - Defender for Containers には、コンテナー内の承認されていない外部プロセスを検出することで、潜在的なセキュリティ脅威について警告するセンサーベースの機能が用意されています。 ドリフト ポリシーを定義して、アラートを生成する条件を指定することで、正当なアクティビティと潜在的な脅威を区別するのに役立ちます。 詳細については、バイナリ ドリフト検出 (プレビュー) に関する記事を参照してください。

Kubernetes データ プレーンの強化 - ベスト プラクティスの推奨事項に従って Kubernetes コンテナーのワークロードを保護するには、Kubernetes 用の Azure Policy をインストールします。 Defender for Cloud の監視コンポーネントに関する詳細をご覧ください。

Kubernetes クラスターに対して定義されたポリシーを使用すると、Kubernetes API サーバーに対するすべての要求が、クラスターに保存される前に、事前定義された一連のベスト プラクティスを基準にして監視されます。 その後、ベスト プラクティスを適用し、それを将来のワークロードに対して要求するように構成できます。

たとえば、特権コンテナーを作成しないように強制し、今後の作成要求をブロックできます。

Kubernetes データ プレーンのセキュリティ強化の詳細を確認できます。

脆弱性評価

Defender for Containers では、クラスター ノードの OS とアプリケーション ソフトウェア、Azure Container Registry (ACR)、Amazon AWS Elastic Container Registry (ECR)、Google Artifact Registry (GAR)、Google Container Registry (GCR)、サポートされている外部イメージ レジストリ内のコンテナー イメージをスキャンして、エージェントレスの脆弱性評価を提供します。

Microsoft Defender 脆弱性の管理を利用した脆弱性情報は、コンテキスト リスク、攻撃パスの計算、ハンティング機能のクラウド セキュリティ グラフに追加されます。

以下に対する脆弱性評価に関する詳細を学びます。

コンテナー レジストリ -

クラスター ノード -

Kubernetes ノードとクラスターの実行時の保護

Defender for Containers には、サポート済みのコンテナー化された環境に対するリアルタイムの脅威の防止機能が用意されていて、不審なアクティビティに対してはアラートが生成されます。 ユーザーは、この情報を使用して、迅速にセキュリティの問題を修復し、コンテナーのセキュリティを強化することができます。

Kubernetes に対する脅威保護は、クラスター、ノード、ワークロードの各レベルで提供されます。 脅威の検出には、Defender センサーを必要とするセンサー ベースのカバレッジと、Kubernetes 監査ログの分析に基づくエージェントレス カバレッジの両方が使用されます。 サブスクリプションで Defender for Containers を有効にした後に発生したアクションやデプロイに対してのみ、セキュリティ アラートがトリガーされます。

Microsoft Defender for Containers で監視されるセキュリティ イベントの例を次に示します。

  • 公開された Kubernetes ダッシュボード
  • 高い特権ロールの作成
  • 機密性の高いマウントの作成

Defender for Cloud の概要ページの上部にある [セキュリティ アラート] タイルまたはサイドバーのリンクを選択して、セキュリティ アラートを表示することができます。

クラスター内のランタイム ワークロードのセキュリティ アラートには、アラートの種類のプレフィックス K8S.NODE_ が含まれます。 クラスター レベルのアラートの一覧については、アラートのリファレンス表を参照してください。

Defender for Containers には、60 を超える Kubernetes 対応の分析、AI、ランタイム ワークロードに基づいた異常検出を使用する脅威検出が含まれています。

Defender for Cloud では、Center for Threat-Informed Defense が Microsoft と緊密に連携して開発したフレームワークである MITRE ATT&CK® matrix for Containers に基づいて、マルチクラウド Kubernetes デプロイの攻撃対象領域を監視します。

Defender for Cloud は、Microsoft Defender XDR に統合されています。 Defender for Containers が有効になっている場合、セキュリティ オペレーターは Defender XDR を使用して、サポートされている Kubernetes サービスのセキュリティの問題を調査して対応できます。

詳細情報

Defender for Containers の詳細については、次のブログを参照してください。

次のステップ

この概要では、Microsoft Defender for Cloud でのコンテナー セキュリティの中核となる要素について説明しました。 プランを有効にするには、以下を参照してください。