コンテナーのセキュリティに関する推奨事項
この記事では、Microsoft Defender for Cloud に表示される可能性があるコンテナーのセキュリティに関するすべての推奨事項を示します。
環境に表示される推奨事項は、保護するリソースとカスタマイズした構成に基づいています。
ヒント
推奨事項の説明に 関連ポリシーがない、通常は、その推奨事項が別の推奨事項に依存しているためです。
たとえば、推奨事項 エンドポイント保護の正常性エラーを修復する必要があります は、エンドポイント保護ソリューションがインストールされているかどうかを確認する推奨事項に依存します (エンドポイント保護ソリューションをインストールする必要があります)。 基になる推奨事項にはポリシーが存在します。 ポリシーを基本的な推奨事項のみに制限すると、ポリシー管理が簡略化されます。
Azure コンテナーの推奨事項
Azure Arc 対応 Kubernetes クラスターには、Azure Policy 拡張機能がインストールされている必要がある
説明: Kubernetes 用 Azure Policy 拡張機能は、 Gatekeeper v3 ( Open Policy Agent (OPA) のアドミッション コントローラー Webhook) を拡張して、クラスターに一元的かつ一貫した方法で大規模な適用と保護を適用します。 (関連ポリシーはありません)
重大度: 高
型: コントロール プレーン
Azure Arc 対応 Kubernetes クラスターには、Defender の拡張機能がインストールされている必要がある
説明: Azure Arc 用の Defender 拡張機能は、Arc 対応 Kubernetes クラスターに対する脅威保護を提供します。 拡張機能は、クラスター内のすべてのコントロール プレーン (マスター) ノードからデータを収集し、さらに分析するためにクラウドの Microsoft Defender for Kubernetes バックエンド に送信します。 (関連ポリシーはありません)
重大度: 高
型: コントロール プレーン
Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある
説明: Microsoft Defender for Containers は、環境のセキュリティ強化、ワークロード保護、実行時の保護など、クラウドネイティブの Kubernetes セキュリティ機能を提供します。 Azure Kubernetes Service クラスターで SecurityProfile.AzureDefender プロファイルを有効にすると、セキュリティ イベント データを収集するために、エージェントがクラスターにデプロイされます。 詳細については、「Microsoft Defender for Containers の概要」を参照してください。 (関連ポリシーはありません)
重大度: 高
型: コントロール プレーン
Azure Kubernetes Service クラスターには Kubernetes 用の Azure Policy アドオンがインストールされている必要がある
説明: Kubernetes 用 Azure Policy アドオンは、 Gatekeeper v3 ( Open Policy Agent (OPA) のアドミッション コントローラー Webhook) を拡張して、クラスターに対して一元的かつ一貫した方法で大規模な適用と保護を適用します。 Defender for Cloud では、クラスター内のセキュリティ機能とコンプライアンスを監査および適用するためにこのアドオンが必要です。 詳細情報。 Kubernetes v1.14.0 以降が必要です。 (関連ポリシー: Kubernetes Service (AKS) 用の Azure Policy アドオンをクラスターにインストールして有効にする必要があります)。
重大度: 高
型: コントロール プレーン
Azure レジストリ コンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用)
説明: コンテナー イメージの脆弱性評価では、レジストリで一般的に知られている脆弱性 (CVE) がスキャンされ、各イメージの詳細な脆弱性レポートが提供されます。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。 (関連ポリシー: Azure Container Registry イメージの脆弱性を修復する必要があります)。
重大度: 高
種類: 脆弱性評価
Azure レジストリ コンテナー イメージで脆弱性を解決する必要があります (Qualys を利用)
説明: コンテナー イメージの脆弱性評価では、レジストリでセキュリティの脆弱性がスキャンされ、各イメージの詳細な結果が公開されます。 脆弱性を解決することで、お使いのコンテナーのセキュリティ体制が大幅に向上し、それらを攻撃から保護できます。 (関連ポリシー: Azure Container Registry イメージの脆弱性を修復する必要があります)。
評価キー: dbd0cb49-b563-45e7-9724-889e799fa648
種類: 脆弱性評価
Azure 実行中のコンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用)
説明: コンテナー イメージの脆弱性評価では、レジストリで一般的に知られている脆弱性 (CVE) がスキャンされ、各イメージの詳細な脆弱性レポートが提供されます。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。
重大度: 高
種類: 脆弱性評価
Azure 実行コンテナー イメージで脆弱性を解決する必要があります (Qualys を利用)
説明: コンテナー イメージの脆弱性評価は、Kubernetes クラスターで実行されているコンテナー イメージをスキャンしてセキュリティの脆弱性を検出し、各イメージの詳細な結果を公開します。 脆弱性を解決することで、お使いのコンテナーのセキュリティ体制が大幅に向上し、それらを攻撃から保護できます。 (関連ポリシーはありません)
評価キー: 41503391-efa5-47ee-9282-4eff6131462c
種類: 脆弱性評価
コンテナーの CPU とメモリの制限を強制する必要がある
説明: CPU とメモリの制限を適用すると、リソース枯渇攻撃 (サービス拒否攻撃の一種) を防ぐことができます。
コンテナーに制限を設定し、設定された制限を超えてリソースがコンテナーで使用されないように、ランタイムによって防ぐことをお勧めします。
(関連ポリシー: コンテナーの CPU とメモリのリソース制限が Kubernetes クラスターで指定された制限を超えないようにします)。
重大度: 中
型: Kubernetes データ プレーン
コンテナー イメージは信頼されたレジストリからのみデプロイする必要がある
説明: Kubernetes クラスターで実行されているイメージは、既知の監視対象のコンテナー イメージ レジストリから取得する必要があります。 信頼されたレジストリは、不明な脆弱性、セキュリティの問題、および悪意のあるイメージの導入の可能性を制限することで、クラスターの露出リスクを軽減します。
(関連ポリシー: Kubernetes クラスターで許可されているコンテナー イメージのみを確認します)。
重大度: 高
型: Kubernetes データ プレーン
[プレビュー] Azure レジストリのコンテナー イメージは脆弱性の検出を解決する必要があります
説明: Defender for Cloud は、レジストリ イメージで既知の脆弱性 (CVE) をスキャンし、スキャンされた各イメージの詳細な結果を提供します。 レジストリ内のコンテナー イメージの脆弱性をスキャンして修復することは、安全で信頼性の高いソフトウェア サプライ チェーンを維持し、セキュリティ インシデントのリスクを軽減し、業界標準へのコンプライアンスを保証するのに役立ちます。
推奨事項 Azure レジストリ コンテナー イメージに脆弱性が解決されている必要があります (Microsoft Defender 脆弱性の管理を利用) 、新しい推奨事項が一般公開されると削除されます。
新しい推奨事項はプレビュー段階であり、セキュリティ スコアの計算には使用されません。
重大度: 高
種類: 脆弱性評価
(必要に応じて有効にする)コンテナー レジストリは、カスタマー マネージド キー (CMK) を使用して暗号化する必要があります
説明: 保存データの暗号化にカスタマー マネージド キーを使用するための推奨事項は、既定では評価されませんが、該当するシナリオに対して有効にすることができます。 データはプラットフォーム マネージド キーを使用して自動的に暗号化されるため、カスタマー マネージド キーの使用は、コンプライアンスまたは制限の厳しいポリシーの要件によって義務付けられる場合にのみ適用する必要があります。 この推奨事項を有効にするには、該当するスコープのセキュリティ ポリシーに移動し、対応するポリシーの [効果] パラメーターを更新して、カスタマー マネージド キーの使用を監査または適用します。 詳細については、「セキュリティ ポリシーの管理」を参照してください。 カスタマー マネージド キーを使用して、レジストリのコンテンツ保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすためには一般に、カスタマー マネージド キー (CMK) が必要です。 CMK を使用すると、自分が作成して所有する Azure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 CMK 暗号化の詳細については、 カスタマー マネージド キーの概要を参照してください。 (関連ポリシー: コンテナー レジストリは、カスタマー マネージド キー (CMK)) で暗号化する必要があります。
重大度: 低
型: コントロール プレーン
コンテナー レジストリでは無制限のネットワーク アクセスを許可しない
説明: Azure コンテナー レジストリは、既定で、任意のネットワーク上のホストからのインターネット経由の接続を受け入れます。 潜在的な脅威からレジストリを保護するには、特定のパブリック IP アドレスまたはアドレス範囲のみからのアクセスを許可します。 レジストリに IP またはファイアウォール規則、あるいは構成済みの仮想ネットワークがない場合は、異常なリソースとして表示されます。 Container Registry ネットワーク規則の詳細については、「パブリック IP ネットワーク 規則の構成および Azure 仮想ネットワークのサービス エンドポイントを使用したコンテナー レジストリへのアクセスの制限を参照してください。 (関連ポリシー: コンテナー レジストリでは、無制限のネットワーク アクセス) を許可しないでください。
重大度: 中
型: コントロール プレーン
コンテナー レジストリではプライベート リンクを使用する必要がある
説明: Azure Private Link を使用すると、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、コンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 (関連ポリシー: コンテナー レジストリでは、プライベート リンク) を使用する必要があります。
重大度: 中
型: コントロール プレーン
[プレビュー] Azure で実行されているコンテナーは脆弱性の検出を解決する必要があります
説明: Defender for Cloud は、現在 Kubernetes クラスターで実行されているすべてのコンテナー ワークロードのインベントリを作成し、イメージとレジストリ イメージ用に作成された脆弱性レポートを照合することで、それらのワークロードの脆弱性レポートを提供します。 コンテナー ワークロードの脆弱性をスキャンして修復することは、堅牢で安全なソフトウェア サプライ チェーンを確保し、セキュリティ インシデントのリスクを軽減し、業界標準へのコンプライアンスを確保するために重要です。
新しい推奨事項はプレビュー段階であり、セキュリティ スコアの計算には使用されません。
Note
2024 年 10 月 6 日以降、この推奨事項は、ルート コントローラーごとに 1 つのコンテナーのみを報告するように更新されました。 たとえば、cronjob が複数のジョブを作成し、各ジョブが脆弱なコンテナーを持つポッドを作成している場合、推奨事項では、そのジョブ内の脆弱なコンテナーの 1 つのインスタンスのみが報告されます。 この変更は、修復に 1 つのアクションを必要とする同一のコンテナーの重複レポートを削除する際に役立ちます。 変更前にこの推奨事項を使用した場合は、この推奨事項のインスタンス数が減少することが予想されます。
この改善をサポートするために、この推奨事項の評価キーが c5045ea3-afc6-4006-ab8f-86c8574dbf3d
に更新されました。 現在、API を使用してこの推奨事項から脆弱性レポートを取得している場合は、新しい評価キーを使用するように API 呼び出しを変更してください。
重大度: 高
種類: 脆弱性評価
機密性の高いホストの名前空間を共有するコンテナーは避ける必要がある
説明: コンテナー外の特権エスカレーションから保護するには、Kubernetes クラスター内の機密性の高いホスト名前空間 (ホスト プロセス ID とホスト IPC) へのポッド アクセスを回避します。 (関連ポリシー: Kubernetes クラスター コンテナーは、ホスト プロセス ID またはホスト IPC 名前空間) を共有しないでください。
重大度: 中
型: Kubernetes データ プレーン
コンテナーでは、許可されている AppArmor プロファイルのみを使用する
説明: Kubernetes クラスターで実行されているコンテナーは、許可されている AppArmor プロファイルのみに制限する必要があります。 AppArmor (Application Armor) は、オペレーティング システムとそのアプリケーションをセキュリティの脅威から保護する Linux セキュリティ モジュールです。 これを使用するには、システム管理者が AppArmor セキュリティ プロファイルを各プログラムに関連付けます。 (関連ポリシー: Kubernetes クラスター コンテナーでは、許可されている AppArmor プロファイル) のみを使用する必要があります。
重大度: 高
型: Kubernetes データ プレーン
特権エスカレーションを含むコンテナーは避ける必要がある
説明: Kubernetes クラスター内のルートへの特権エスカレーションを使用してコンテナーを実行しないでください。 プロセスが親プロセスよりも多くの特権を取得できるかどうかは、AllowPrivilegeEscalation 属性によって制御されます。 (関連ポリシー: Kubernetes クラスターでは、コンテナー特権のエスカレーション) を許可しないでください。
重大度: 中
型: Kubernetes データ プレーン
Kubernetes サービスの診断ログを有効にする必要がある
説明: Kubernetes サービスで診断ログを有効にし、最大 1 年間保持します。 これにより、セキュリティ インシデントが発生した場合に、調査目的でアクティビティ証跡を再作成できます。 (関連ポリシーはありません)
重大度: 低
型: コントロール プレーン
コンテナーで不変 (読み取り専用) のルート ファイル システムを適用する必要がある
説明: コンテナーは、Kubernetes クラスター内の読み取り専用ルート ファイル システムで実行する必要があります。 不変のファイル システムは、PATH に追加された悪意のあるバイナリによる実行時の変更から、コンテナーを保護します。 (関連ポリシー: Kubernetes クラスター コンテナーは、読み取り専用のルート ファイル システム) で実行する必要があります。
重大度: 中
型: Kubernetes データ プレーン
Kubernetes API サーバーは制限付きアクセスで構成する必要がある
説明: 許可されたネットワーク、マシン、またはサブネットからのアプリケーションのみがクラスターにアクセスできるようにするには、Kubernetes API サーバーへのアクセスを制限します。 アクセスを制限するには、「 プライベート Azure Kubernetes Service クラスターの作成で説明されているように、承認された IP 範囲を定義するか、API サーバーをプライベート クラスターとして設定します。 (関連ポリシー: 承認された IP 範囲は、Kubernetes Services) で定義する必要があります。
重大度: 高
型: コントロール プレーン
Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある
説明: HTTPS を使用すると、認証が保証され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 この機能は、Kubernetes Service (AKS) と、AKS Engine および Azure Arc 対応 Kubernetes のプレビューで現在一般提供されています。 詳細については、 https://aka.ms/kubepolicydoc (関連ポリシー: Kubernetes クラスターの Enforce HTTPS イングレス) を参照してください。
重大度: 高
型: Kubernetes データ プレーン
Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある
説明: 自動マウント API 資格情報を無効にして、侵害された可能性のあるポッド リソースが Kubernetes クラスターに対して API コマンドを実行するのを防ぎます。 詳細については、https://aka.ms/kubepolicydocを参照してください。 (関連ポリシー: Kubernetes クラスターでは、API 資格情報) の自動マウントを無効にする必要があります。
重大度: 高
型: Kubernetes データ プレーン
Kubernetes クラスターでは、CAPSYSADMIN セキュリティ機能を許可しない
説明: コンテナーの攻撃対象領域を減らすには、Linux の機能CAP_SYS_ADMIN制限します。 詳細については、https://aka.ms/kubepolicydocを参照してください。 (関連ポリシーはありません)
重大度: 高
型: Kubernetes データ プレーン
Kubernetes クラスターでは既定の名前空間を使用しない
説明: Kubernetes クラスターで既定の名前空間を使用しないようにして、ConfigMap、Pod、Secret、Service、ServiceAccount のリソースの種類に対する未承認のアクセスから保護します。 詳細については、https://aka.ms/kubepolicydocを参照してください。 (関連ポリシー: Kubernetes クラスターでは、既定の名前空間) を使用しないでください。
重大度: 低
型: Kubernetes データ プレーン
コンテナーで最小限の特権を持つ Linux 機能を適用する必要がある
説明: コンテナーの攻撃対象領域を減らすには、ルート ユーザーのすべての特権を付与せずに、Linux の機能を制限し、コンテナーに特定の特権を付与します。 すべての機能を削除してから、必要な機能を追加することをお勧めします (関連ポリシー: Kubernetes クラスター コンテナーでは、許可された機能のみを使用する必要があります)。
重大度: 中
型: Kubernetes データ プレーン
Microsoft Defender for Containers を有効にする必要がある
説明: Microsoft Defender for Containers は、Azure、ハイブリッド、およびマルチクラウド Kubernetes 環境に対して、セキュリティ強化、脆弱性評価、実行時の保護を提供します。 ユーザーは、この情報を使用して、迅速にセキュリティの問題を修復し、コンテナーのセキュリティを強化することができます。
この推奨事項の修復によって、Kubernetes クラスターを保護するための料金が発生します。 このサブスクリプションに Kubernetes クラスターがない場合、料金は発生しません。 今後、このサブスクリプションに Kubernetes クラスターを作成すると、それらは自動的に保護され、その時点で料金が発生します。 詳細については、「Microsoft Defender for Containers の概要」を参照してください。 (関連ポリシーはありません)
重大度: 高
型: コントロール プレーン
特権コンテナーの使用を避ける必要がある
説明: 無制限のホスト アクセスを防ぐには、可能な限り特権コンテナーを避けてください。
特権コンテナーには、ホスト マシンのすべてのルート機能が含まれています。 攻撃のエントリ ポイントとして使用したり、侵害されたアプリケーション、ホスト、ネットワークに悪意のあるコードやマルウェアを拡散したりすることができます。 (関連ポリシー: Kubernetes クラスターで特権コンテナーを許可しないでください)。
重大度: 中
型: Kubernetes データ プレーン
Kubernetes Services ではロールベースのアクセス制御を使用する必要がある
説明: ユーザーが実行できるアクションの詳細なフィルター処理を提供するには、 Role ベースのアクセス制御 (RBAC) を使用して、Kubernetes Service クラスターのアクセス許可を管理し、関連する承認ポリシーを構成します。 (関連ポリシー: Kubernetes Services ) でロールベースのアクセス制御 (RBAC) を使用する必要があります。
重大度: 高
型: コントロール プレーン
コンテナーをルート ユーザーとして実行しない
説明: コンテナーは Kubernetes クラスターのルート ユーザーとして実行しないでください。 コンテナー内でプロセスをルート ユーザーとして実行すると、それはホスト上のルートとして実行されます。 侵害を受けた場合、攻撃者はコンテナーのルート権限を持つことになり、構成ミスを悪用しやすくなります。 (関連ポリシー: Kubernetes クラスターのポッドとコンテナーは、承認済みのユーザー ID とグループ ID でのみ実行する必要があります)。
重大度: 高
型: Kubernetes データ プレーン
サービスは許可されたポートでのみリッスンする必要がある
説明: Kubernetes クラスターの攻撃対象領域を減らすには、構成されたポートへのサービス アクセスを制限することで、クラスターへのアクセスを制限します。 (関連ポリシー: サービスが Kubernetes クラスターで許可されているポートでのみリッスンするようにします)。
重大度: 中
型: Kubernetes データ プレーン
ホスト ネットワークとポートの使用を制限する必要がある
説明: Kubernetes クラスター内のホスト ネットワークと許可されるホスト ポート範囲へのポッド アクセスを制限します。 hostNetwork 属性を有効にして作成されたポッドの間では、ノードのネットワーク領域が共有されます。 セキュリティ侵害を受けたコンテナーによってネットワーク トラフィックがスニッフィングされるのを防ぐため、ホスト ネットワークにはポッドを配置しないことをお勧めします。 ノードのネットワーク上でコンテナー ポートを公開する必要があり、Kubernetes Service ノード ポートを使用してもニーズが満たされない場合は、ポッド 仕様でコンテナーの hostPort を指定することもできます (関連ポリシー: Kbernetes クラスター ポッドでは、承認されたホスト ネットワークとポート範囲のみを使用する必要があります)。
重大度: 中
型: Kubernetes データ プレーン
ポッドの HostPath ボリューム マウントの使用を既知のリストに制限して、侵害されたコンテナーからのノード アクセスを制限する必要がある
説明: Kubernetes クラスター内のポッド HostPath ボリューム マウントを、構成済みの許可されたホスト パスに制限することをお勧めします。 侵害を受けた場合は、コンテナーからのコンテナー ノード アクセスを制限する必要があります。 (関連ポリシー: Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されたホスト パスのみを使用する必要があります)。
重大度: 中
型: Kubernetes データ プレーン
AWS コンテナーの推奨事項
[プレビュー] AWS レジストリのコンテナー イメージは脆弱性の検出を解決する必要があります
説明: Defender for Cloud は、レジストリ イメージで既知の脆弱性 (CVE) をスキャンし、スキャンされた各イメージの詳細な結果を提供します。 レジストリ内のコンテナー イメージの脆弱性をスキャンして修復することは、安全で信頼性の高いソフトウェア サプライ チェーンを維持し、セキュリティ インシデントのリスクを軽減し、業界標準へのコンプライアンスを保証するのに役立ちます。
推奨事項 AWS レジストリ コンテナー イメージの脆弱性の結果を解決する必要があります (Microsoft Defender 脆弱性の管理を利用) 、新しい推奨事項が一般公開されることによって削除されます。
新しい推奨事項はプレビュー段階であり、セキュリティ スコアの計算には使用されません。
重大度: 高
種類: 脆弱性評価
[プレビュー] AWS で実行されているコンテナーは脆弱性の検出を解決する必要があります
説明: Defender for Cloud は、現在 Kubernetes クラスターで実行されているすべてのコンテナー ワークロードのインベントリを作成し、イメージとレジストリ イメージ用に作成された脆弱性レポートを照合することで、それらのワークロードの脆弱性レポートを提供します。 コンテナー ワークロードの脆弱性をスキャンして修復することは、堅牢で安全なソフトウェア サプライ チェーンを確保し、セキュリティ インシデントのリスクを軽減し、業界標準へのコンプライアンスを確保するために重要です。
新しい推奨事項はプレビュー段階であり、セキュリティ スコアの計算には使用されません。
Note
2024 年 10 月 6 日以降、この推奨事項は、ルート コントローラーごとに 1 つのコンテナーのみを報告するように更新されました。 たとえば、cronjob が複数のジョブを作成し、各ジョブが脆弱なコンテナーを持つポッドを作成している場合、推奨事項では、そのジョブ内の脆弱なコンテナーの 1 つのインスタンスのみが報告されます。 この変更は、修復に 1 つのアクションを必要とする同一のコンテナーの重複レポートを削除する際に役立ちます。 変更前にこの推奨事項を使用した場合は、この推奨事項のインスタンス数が減少することが予想されます。
この改善をサポートするために、この推奨事項の評価キーが 8749bb43-cd24-4cf9-848c-2a50f632043c
に更新されました。 現在、API を使用してこの推奨事項から脆弱性レポートを取得している場合は、新しい評価キーを使用するように API 呼び出しを更新してください。
重大度: 高
種類: 脆弱性評価
EKS クラスターでは、必要な AWS アクセス許可を Microsoft Defender for Cloud に付与する必要がある
説明: Microsoft Defender for Containers は、EKS クラスターの保護を提供します。 セキュリティの脆弱性と脅威についてクラスターを監視するには、Defender for Containers に AWS アカウントのアクセス許可が必要です。 これらのアクセス許可は、クラスターで Kubernetes コントロール プレーンのログ記録を有効にし、クラスターとクラウド内の Defender for Cloud のバックエンドの間に信頼性の高いパイプラインを確立するために使用されます。 詳細については、コンテナー化された環境に対する Microsoft Defender for Cloud のセキュリティ機能に関する記事を参照してください。
重大度: 高
EKS クラスターには、Azure Arc 用の Microsoft Defender の拡張機能をインストールする必要がある
説明: Microsoft Defender の クラスター拡張機能 は、EKS クラスターのセキュリティ機能を提供します。 この拡張機能を使用すると、クラスターとそのノードからデータが収集され、セキュリティの脆弱性と脅威が特定されます。 この拡張機能は、Azure Arc 対応 Kubernetes で動作します。 詳細については、コンテナー化された環境に対する Microsoft Defender for Cloud のセキュリティ機能に関する記事を参照してください。
重大度: 高
AWS コネクタで Microsoft Defender for Containers を有効にする必要がある
説明: Microsoft Defender for Containers は、コンテナー化された環境に対してリアルタイムの脅威保護を提供し、疑わしいアクティビティに関するアラートを生成します。 この情報を使用して、Kubernetes クラスターのセキュリティを強化し、セキュリティの問題を修復します。
Microsoft Defender for Containers を有効にして Azure Arc を EKS クラスターにデプロイすると、保護と料金が開始されます。 クラスターに Azure Arc をデプロイしない場合、Defender for Containers はそれを保護せず、そのクラスターに対するこの Microsoft Defender プランに対して料金は発生しません。
重大度: 高
データ プレーンの推奨事項
Kubernetes の Azure Policy を有効にした 後Kbernetes データ プレーンのセキュリティに関するすべての推奨事項が AWS でサポート。
GCP コンテナーの推奨事項
GCP コネクタで Defender for Containers の詳細な構成を有効にする必要がある
説明: Microsoft Defender for Containers は、環境のセキュリティ強化、ワークロード保護、実行時の保護など、クラウドネイティブの Kubernetes セキュリティ機能を提供します。 ソリューションが正しくプロビジョニングされ、機能の完全なセットを使用できるようにするには、すべての詳細な構成設定を有効にします。
重大度: 高
[プレビュー] GCP レジストリのコンテナー イメージは脆弱性の検出を解決する必要があります
説明: Defender for Cloud は、レジストリ イメージで既知の脆弱性 (CVE) をスキャンし、スキャンされた各イメージの詳細な結果を提供します。 レジストリ内のコンテナー イメージの脆弱性をスキャンして修復することは、安全で信頼性の高いソフトウェア サプライ チェーンを維持し、セキュリティ インシデントのリスクを軽減し、業界標準へのコンプライアンスを保証するのに役立ちます。
推奨事項 GCP レジストリ コンテナー イメージでは、新しい推奨事項が一般公開されると、(Microsoft Defender 脆弱性管理を利用して 脆弱性の結果を解決する必要があります。
新しい推奨事項はプレビュー段階であり、セキュリティ スコアの計算には使用されません。
重大度: 高
種類: 脆弱性評価
[プレビュー] GCP で実行されているコンテナーは脆弱性の検出を解決する必要があります
説明: Defender for Cloud は、現在 Kubernetes クラスターで実行されているすべてのコンテナー ワークロードのインベントリを作成し、イメージとレジストリ イメージ用に作成された脆弱性レポートを照合することで、それらのワークロードの脆弱性レポートを提供します。 コンテナー ワークロードの脆弱性をスキャンして修復することは、堅牢で安全なソフトウェア サプライ チェーンを確保し、セキュリティ インシデントのリスクを軽減し、業界標準へのコンプライアンスを確保するために重要です。
新しい推奨事項はプレビュー段階であり、セキュリティ スコアの計算には使用されません。
Note
2024 年 10 月 6 日以降、この推奨事項は、ルート コントローラーごとに 1 つのコンテナーのみを報告するように更新されました。 たとえば、cronjob が複数のジョブを作成し、各ジョブが脆弱なコンテナーを持つポッドを作成している場合、推奨事項では、そのジョブ内の脆弱なコンテナーの 1 つのインスタンスのみが報告されます。 この変更は、修復に 1 つのアクションを必要とする同一のコンテナーの重複レポートを削除する際に役立ちます。 変更前にこの推奨事項を使用した場合は、この推奨事項のインスタンス数が減少することが予想されます。
この改善をサポートするために、この推奨事項の評価キーが 1b3abfa4-9e53-46f1-9627-51f2957f8bba
に更新されました。 現在、API を使用してこの推奨事項から脆弱性レポートを取得している場合は、新しい評価キーを使用するように API 呼び出しを更新してください。
重大度: 高
種類: 脆弱性評価
GKE クラスターには、Azure Arc 用の Microsoft Defender の拡張機能をインストールする必要がある
説明: Microsoft Defender の クラスター拡張機能 は、GKE クラスターのセキュリティ機能を提供します。 この拡張機能を使用すると、クラスターとそのノードからデータが収集され、セキュリティの脆弱性と脅威が特定されます。 この拡張機能は、Azure Arc 対応 Kubernetes で動作します。 詳細については、コンテナー化された環境に対する Microsoft Defender for Cloud のセキュリティ機能に関する記事を参照してください。
重大度: 高
GKE クラスターには、Azure Policy 拡張機能がインストールされている必要がある
説明: Kubernetes 用 Azure Policy 拡張機能は、 Gatekeeper v3 ( Open Policy Agent (OPA) のアドミッション コントローラー Webhook) を拡張して、クラスターに一元的かつ一貫した方法で大規模な適用と保護を適用します。 この拡張機能は、Azure Arc 対応 Kubernetes で動作します。
重大度: 高
GCP コネクタで Microsoft Defender for Containers を有効にする必要がある
説明: Microsoft Defender for Containers は、環境のセキュリティ強化、ワークロード保護、実行時の保護など、クラウドネイティブの Kubernetes セキュリティ機能を提供します。 GCP コネクタでコンテナー計画を有効にして、Kubernetes クラスターのセキュリティを強化し、セキュリティの問題を修復します。 詳細については、Microsoft Defender for Containers に関する記事を参照してください。
重大度: 高
GKE クラスターの自動修復機能を有効にする必要がある
説明: この推奨事項は、キーと値のペア ( key: autoRepair, value: true
) のノード プールの管理プロパティを評価します。
重大度: 中
GKE クラスターの自動アップグレード機能を有効にする必要がある
説明: この推奨事項は、キーと値のペア ( key: autoUpgrade, value: true
) のノード プールの管理プロパティを評価します。
重大度: 高
GKE クラスターの監視を有効にする必要がある
説明: この推奨事項では、クラスターの monitoringService プロパティに、メトリックの書き込みに Cloud Monitoring が使用する必要がある場所が含まれているかどうかを評価します。
重大度: 中
GKE クラスターのログ記録を有効にする必要がある
説明: この推奨事項は、クラスターの loggingService プロパティに、ログの書き込みにクラウド ログが使用する場所が含まれているかどうかを評価します。
重大度: 高
GKE Web ダッシュボードを無効にする必要があります
説明: この推奨事項は、キーと値のペア 'disabled': false の addonsConfig プロパティの kubernetesDashboard フィールドを評価します。
重大度: 高
レガシ認証を GKE クラスターで無効にする必要があります
説明: この推奨事項は、キーと値のペア 'enabled' のクラスターの legacyAbac プロパティを評価します。
重大度: 高
コントロール プレーン承認済みネットワークが GKE クラスターで有効になっている必要がある
説明: この推奨事項では、クラスターの masterAuthorizedNetworksConfig プロパティのキーと値のペア 'enabled': false が評価されます。
重大度: 高
GKE クラスターではエイリアス IP 範囲を有効にする必要があります
説明: この推奨事項では、クラスター内の ipAllocationPolicy の useIPAliases フィールドが false に設定されているかどうかを評価します。
重大度: 低
GKE クラスターではプライベート クラスターを有効にする必要があります
説明: この推奨事項では、privateClusterConfig プロパティの enablePrivateNodes フィールドが false に設定されているかどうかを評価します。
重大度: 高
GKE クラスターでネットワーク ポリシーを有効にする必要がある
説明: この推奨事項では、キーと値のペア 'disabled' の addonsConfig プロパティの networkPolicy フィールドを評価します。true。
重大度: 中
データ プレーンの推奨事項
Kubernetes 用の Azure Policy を有効にした 後Kbernetes データ プレーンのセキュリティに関するすべての推奨事項が GCP でサポート。
外部コンテナー レジストリの推奨事項
[プレビュー]Docker Hub レジストリ内のコンテナー イメージに脆弱性の検出結果が解決されている必要がある
説明: Defender for Cloud は、レジストリ イメージで既知の脆弱性 (CVE) をスキャンし、スキャンされた各イメージの詳細な結果を提供します。 コンテナー イメージの脆弱性を修復することで、セキュリティで保護された信頼性の高いソフトウェア サプライ チェーンを維持し、セキュリティ インシデントのリスクを軽減し、業界標準への準拠を確保できます。"
重大度: 高
種類: 脆弱性評価
[プレビュー]Jfrog Artifactory レジストリのコンテナー イメージに脆弱性の結果が解決されている必要がある
説明: Defender for Cloud は、レジストリ イメージで既知の脆弱性 (CVE) をスキャンし、スキャンされた各イメージの詳細な結果を提供します。 コンテナー イメージの脆弱性を修復することで、セキュリティで保護された信頼性の高いソフトウェア サプライ チェーンを維持し、セキュリティ インシデントのリスクを軽減し、業界標準への準拠を確保できます。"
重大度: 高
種類: 脆弱性評価