Azure Kubernetes Service をセキュリティで保護して監視する

  • 7 分

Microsoft Defender for Containers は、コンテナー化された資産 (Kubernetes クラスター、Kubernetes ノード、Kubernetes ワークロード、コンテナー レジストリ、コンテナー イメージなど) とそのアプリケーションのセキュリティをマルチクラウド全体とオンプレミス環境で改善、監視、維持するためのクラウドネイティブ ソリューションです。

Defender for Containers は、コンテナー セキュリティの次の 4 つの主要な分野を支援します:

  • セキュリティ態勢管理 - クラウド API、Kubernetes API、Kubernetes ワークロードの継続的な監視を実行して、クラウド リソースを検出し、包括的なインベントリ機能を提供し、構成ミスを検出してそれらを軽減するためのガイドラインを提供し、コンテキスト リスク評価を提供し、ユーザーが Defender for Cloud セキュリティ エクスプローラーを通じて強化されたリスク ハンティング機能を実行できるようにします。
  • 脆弱性評価 - 修復ガイドライン、ゼロ構成、毎日の再スキャン、OS と言語パッケージのカバレッジ、悪用可能性に関する分析情報を含む Azure、AWS、GCP のエージェントレス脆弱性評価が提供されます。
  • ランタイムの脅威に対する保護 - Microsoft の主要な脅威インテリジェンスを活用した Kubernetes クラスター、ノード、ワークロード用の豊富な脅威検出スイートであり、MITRE ATT&CK フレームワークへのマッピングを提供し、リスクと関連するコンテキスト、自動応答、セキュリティ情報イベント管理/拡張検出と応答の統合を容易に理解できるようにします。
  • デプロイと監視- Kubernetes クラスターで不足しているエージェントがないか監視し、エージェントベースの機能のスムーズで大規模なデプロイ、標準の Kubernetes 監視ツールのサポート、監視されていないリソースの管理を提供します。

セキュリティ体制管理

エージェントレス機能

  • Kubernetes のエージェントレス検出 - フットプリントがゼロで、Kubernetes のクラスター、その構成、デプロイが API ベースで検出されます。
  • エージェントレス脆弱性評価 - レジストリとランタイムの推奨事項、新しいイメージのクイック スキャン、結果の毎日の更新、悪用可能性に関する分析情報など、すべてのコンテナー イメージの脆弱性評価を提供します。 コンテキスト リスク評価と攻撃パスの計算、およびハンティング機能のため、脆弱性情報がセキュリティ グラフに追加されます。
  • 包括的なインベントリ機能 - セキュリティ エクスプローラーを使用してリソース、ポッド、サービス、リポジトリ、イメージ、構成を探索して、資産を簡単に監視および管理できます。
  • リスクハンティングの強化 - セキュリティ管理者は、セキュリティ エクスプローラーでクエリ (組み込みおよびカスタム) とセキュリティ分析情報を使用して、コンテナー化された資産の態勢に関する問題を積極的に検出できます
  • コントロール プレーンの強化 - クラスターの構成を継続的に評価し、それらを、サブスクリプションに適用されているイニシアティブと比較します。 構成ミスが見つかると、Defender for Cloud の [レコメンデーション] ページには、使用できるセキュリティに関する推奨事項が生成されます。 レコメンデーションを使用すると、問題を調査して修復できます。

リソース フィルターを使用して、資産インベントリまたは [レコメンデーション] ページのいずれであるかに関わらず、コンテナー関連リソースに関する未解決の推奨事項を確認できます。

リソース フィルターを使用して未処理の推奨事項を確認する方法を示すスクリーンショット。

エージェントベースの機能

Kubernetes データ プレーンのセキュリティ強化 - ベスト プラクティスの推奨事項を使用して Kubernetes コンテナーのワークロードを保護するために、Kubernetes 用の Azure Policy をインストールできます。

Kubernetes クラスター上のアドオンを使うと、Kubernetes API サーバーに対するすべての要求が、クラスターに保存される前に、事前定義された一連のベスト プラクティスを基準にして監視されます。 その後、ベスト プラクティスを適用し、それを将来のワークロードに対して要求するように構成できます。

たとえば、特権コンテナーを作成しないように強制し、今後の作成要求をブロックできます。

脆弱性評価

Defender for Containers は、Azure Container Registry (ACR) と Amazon AWS Elastic Container Registry (ECR) のコンテナー イメージをスキャンして、コンテナー イメージの脆弱性レポートを提供し、検出された各脆弱性の詳細、修復ガイダンス、実際の悪用分析情報などを提供します。

Azure には脆弱性評価のための 2 つのソリューションがあり、1 つはMicrosoft Defender 脆弱性の管理を利用し、もう 1 つは Qualys を利用しています。

Kubernetes ノードとクラスターの実行時の保護

Defender for Containers には、サポート済みのコンテナー化された環境に対するリアルタイムの脅威の防止機能が用意されていて、不審なアクティビティに対してはアラートが生成されます。 ユーザーは、この情報を使用して、迅速にセキュリティの問題を修復し、コンテナーのセキュリティを強化することができます。

クラスター レベルの脅威保護は、Defender エージェントと Kubernetes 監査ログの分析によって提供されます。 つまり、サブスクリプションで Defender for Containers を有効にした後に発生したアクションやデプロイに対してのみ、セキュリティ アラートがトリガーされます。

Microsoft Defender for Containers で監視されるセキュリティ イベントの例を次に示します。

  • 公開された Kubernetes ダッシュボード
  • 高い特権ロールの作成
  • 機密性の高いマウントの作成

Defender for Cloud の概要ページの上部にある [セキュリティ アラート] タイルまたはサイドバーのリンクを選択して、セキュリティ アラートを表示することができます。

Defender for Cloud でセキュリティ アラートを表示する方法を示すスクリーンショット。

[セキュリティ アラート] ページが開きます。

クラスター内のランタイム ワークロードのセキュリティ アラートを示すスクリーンショット。

クラスター内のランタイム ワークロードのセキュリティ アラートは、アラートの種類の K8S.NODE_ プレフィックスで見分けることができます。

Defender for Containers には、60 を超える Kubernetes 対応の分析、AI、ランタイム ワークロードに基づいた異常検出によるホストレベルの脅威検出が含まれています。

Defender for Cloud は、Center for Threat-Informed Defense が Microsoft と緊密に連携して開発したフレームワークである MITRE ATT&CK matrix for Containers に基づいて、マルチクラウドの Kubernetes デプロイメントの攻撃面を監視します。