Docker ホストのセキュリティ強化の推奨事項を確認する
Microsoft Defender for Cloud では、IaaS Linux VM 上、または Docker コンテナーを実行している他の Linux マシン上でホストされているアンマネージド コンテナーが識別されます。 Defender for Cloud によって、こうしたコンテナーの構成が継続的に評価されます。 その後、Center for Internet Security (CIS) Docker Benchmark と比較されます。
Defender for Cloud には CIS Docker Benchmark のルールセット全体が含まれており、コンテナーがいずれかのコントロールを満たしていない場合は警告が表示されます。 誤った設定が検出されると、Defender for Cloud によってセキュリティの推奨事項が生成されます。 クラウドの [ 推奨事項] ページ で Defender を使用して、推奨事項を表示し、問題を修復します。
脆弱性が見つかった場合、1 つの推奨事項内にグループ化されます。
Note
これらの CIS ベンチマーク チェックは、AKS マネージド インスタンスまたは Databricks マネージド VM では実行されません。
可用性
側面 | 詳細 |
---|---|
リリース状態: | 一般公開 (GA) |
価格: | Microsoft Defender for Servers Plan 2 が必要 |
必要なロールとアクセス許可: | ホストが接続するワークスペースの閲覧者 |
クラウド: | 商用クラウド 国 (Azure Government、21Vianet によって運営される Microsoft Azure) 接続されている AWS アカウント |
Docker 構成のセキュリティの脆弱性を特定して修復する
Defender for Cloud のメニューから、[推奨事項] ページ を開 きます。
推奨事項を [コンテナーのセキュリティ構成の脆弱性を修復する必要があります] でフィルター処理して、推奨事項を選択します。
[推奨事項] ページには、影響を受けるリソース (Docker ホスト) が表示されます。
注意
Docker を実行していないマシンは、 [適用されないリソース] タブに表示されます。これらは Azure Policy に [準拠] と表示されます。
特定のホストで障害が発生した CIS コントロールを表示して修復するには、調査するホストを選択します。
ヒント
[資産インベントリ] ページで開始し、そこからこの推奨事項に到達した場合は、[推奨事項] ページの [アクションの実行] ボタンを選択します。
実行の準備が整ったカスタム操作を示した Log Analytics が開きます。 既定のカスタム クエリには、問題を解決するためのガイドラインと共に評価済みの失敗したルールの全一覧が含まれています。
必要に応じて、クエリ パラメーターを調整します。
コマンドが適切であり、ホストの準備ができていることを確認したら、 [実行] を選択します。
次のステップ
Docker のセキュリティ強化は、Defender for Cloud のコンテナー セキュリティ機能の 1 つの側面にす簡易です。