Kubernetes ノードの Defender for Cloud 保護の概要
Defender for Cloud は、Kubernetes クラスターのコントロール プレーンとワークロードを保護するだけでなく、セキュリティとコンプライアンスを、利用者のマルチクラウド Kubernetes サービス内の Kubernetes ノードに対しても拡張します。
Kubernetes ノードの保護
Kubernetes ノードは、Kubernetes クラスターのコントロール プレーンとワークロードを実行するためにクラウド環境の Kubernetes サービスによって作成された VM です。 クラスターの "ノード プール" (または "ノード グループ") は、同じ VM の種類とバージョンからなるマネージド セットです。 Kubernetes サービスでは、利用者はノード プールの構成を含め、クラスターを構成することができます。 ノード プールの構成には、ノードの数、およびノードの同じ VM の種類とバージョンの設定が含まれます。 利用者は、クラスターのノード プールの構成を、その中で実行されるアプリケーションの要件に従って決定します。 また、利用者は各ノード プールをセットとして管理します。つまり、プール内のすべてのノードの構成と更新は一括で行われます。
利用者は、Defender for Cloud の推奨事項に従って、ノードのセキュリティを向上させるためにノード プール VM のバージョンをアップグレードします。
Kubernetes ノードの保護のサポートの詳細については、「Defender for Cloud 内のコンテナーのサポート マトリックス」において、各クラウド環境の「脆弱性評価」および「ランタイムの脅威に対する保護」セクションで説明されています。
Kubernetes ノードの共有責任
Kubernetes ノードの保守の責任は、Kubernetes サービスと利用者の間で共有されています。
- Kubernetes サービスは、アップグレードされたバージョンを提供することで、サポート対象のノード VM イメージの OS とソフトウェアの保守とパッチ適用を行います。
- 利用者は、クラスター内で実行されるアプリケーションの要件に基づいた、Kubernetes ノード プールの初期構成の責任を負います。 また、利用者は、セキュリティを強化し、クラスター内で実行されているアプリケーションをサポートするために、必要に応じてノード プール VM のバージョンをアップグレードする責任も負います。
Kubernetes ノードの保護
Kubernetes ノードに対しては、以下の保護が提供されます。
脆弱性評価 - Kubernetes ノード ソフトウェアが既知の脆弱性を持っていないかのスキャンが行われます。 利用者が確認して修復を行うための推奨事項が生成されます。
マルウェア検出 - Kubernetes ノードがマルウェアを含んでいないかのスキャンが行われます。 利用者が確認して修復を行うためのセキュリティ アラートが生成されます。
Kubernetes ノードの保護は、スキャン用のノード プール ディスクのスナップショットを取得することによって提供されます。 詳細については、「エージェントレス スキャン アーキテクチャの説明」を参照してください。
マシンのエージェントレス スキャンを有効にする
Kubernetes ノードの保護は、Defender for Containers、Defender クラウド セキュリティ態勢管理、Defender for Servers P2 プランで、[マシンのエージェントレス スキャン] をオンにすることで有効になります。
Azure portal で、Defender for Containers プランのマシンのエージェントレス スキャンを有効にするには: