Microsoft Defender for Containers のコンテナー セキュリティ

完了

Microsoft Defender for Containers は、コンテナー化された資産 (Kubernetes クラスター、Kubernetes ノード、Kubernetes ワークロード、コンテナー レジストリ、コンテナー イメージなど) とそのアプリケーションのセキュリティをマルチクラウド全体とオンプレミス環境で改善、監視、維持するためのクラウドネイティブ ソリューションです。

Defender for Containers は、コンテナー セキュリティの次の 4 つの主要な分野を支援します:

  • セキュリティ態勢管理 - クラウド API、Kubernetes API、Kubernetes ワークロードの継続的な監視を実行して、クラウド リソースを検出し、包括的なインベントリ機能を提供し、構成ミスを検出してそれらを軽減するためのガイドラインを提供し、コンテキスト リスク評価を提供し、ユーザーが Defender for Cloud セキュリティ エクスプローラーを通じて強化されたリスク ハンティング機能を実行できるようにします。
  • 脆弱性評価 - 修復ガイドライン、ゼロ構成、毎日の再スキャン、OS と言語パッケージのカバレッジ、悪用可能性に関する分析情報を含む Azure、AWS、GCP のエージェントレス脆弱性評価が提供されます。
  • ランタイムの脅威に対する保護 - Microsoft の主要な脅威インテリジェンスを活用した Kubernetes クラスター、ノード、ワークロード用の豊富な脅威検出スイートであり、MITRE ATT&CK フレームワークへのマッピングを提供し、リスクと関連するコンテキスト、自動応答、セキュリティ情報イベント管理 (SIEM)/拡張検出と応答 (XDR) の統合を容易に理解できるようにします。
  • デプロイと監視- Kubernetes クラスターで不足しているエージェントがないか監視し、エージェントベースの機能のスムーズで大規模なデプロイ、標準の Kubernetes 監視ツールのサポート、監視されていないリソースの管理を提供します。

Microsoft Defender for Containers プランの可用性

特徴 詳細
リリース状態: 一般公開 (GA)
一部の機能はプレビュー段階です。 完全な一覧については、「Defender for Cloud のコンテナー サポート マトリックス」を参照してください
利用可能な機能 機能のリリース状態と可用性の詳細については、「Defender for Cloud のコンテナー サポート マトリックス」を参照してください。
価格: Microsoft Defender for Containers は、価格に関するページに示されているように課金されます
必要なロールとアクセス許可: • 必要なコンポーネントをデプロイするには、各コンポーネントのアクセス許可を参照してください
• セキュリティ管理者はアラートを無視できます
• セキュリティ閲覧者は、脆弱性評価の結果を表示できます
修復のためのロールと Azure Container Registry のロールとアクセス許可についても参照してください。
クラウド: 「Defender for Cloud でのコンテナー サポート マトリックス」を表示して、クラウドの可用性を確認します。

セキュリティ体制管理

エージェントレス機能

  • Kubernetes のエージェントレス検出 - フットプリントがゼロで、Kubernetes のクラスター、その構成、デプロイが API ベースで検出されます。
  • エージェントレス脆弱性評価 - レジストリとランタイムの推奨事項、新しいイメージのクイック スキャン、結果の毎日の更新、悪用可能性に関する分析情報など、すべてのコンテナー イメージの脆弱性評価を提供します。 コンテキスト リスク評価と攻撃パスの計算、およびハンティング機能のため、脆弱性情報がセキュリティ グラフに追加されます。
  • 包括的なインベントリ機能 - セキュリティ エクスプローラーを使用してリソース、ポッド、サービス、リポジトリ、イメージ、構成を探索して、資産を簡単に監視および管理できます。
  • リスクハンティングの強化 - セキュリティ管理者は、セキュリティ エクスプローラーでクエリ (組み込みおよびカスタム) とセキュリティ分析情報を使用して、コンテナー化された資産の態勢に関する問題を積極的に検出できます
  • コントロール プレーンの強化 - クラスターの構成を継続的に評価し、それらを、サブスクリプションに適用されているイニシアティブと比較します。 構成ミスが見つかると、Defender for Cloud の [レコメンデーション] ページには、使用できるセキュリティに関する推奨事項が生成されます。 レコメンデーションを使用すると、問題を調査して修復できます。

リソース フィルターを使用して、資産インベントリまたは [レコメンデーション] ページのいずれであるかに関わらず、コンテナー関連リソースに関する未解決の推奨事項を確認できます。

リソース フィルターを使用して未処理の推奨事項を確認する方法の例を示すスクリーンショット。

Note

この機能に含まれる詳細については、推奨事項の参照テーブルのコンテナー セクションを確認し、"コントロール プレーン" の種類の推奨事項を参照してください

エージェントベースの機能

Kubernetes データ プレーンの強化 - ベスト プラクティスの推奨事項に従って Kubernetes コンテナーのワークロードを保護するには、Kubernetes 用の Azure Policy をインストールします。 Defender for Cloud の監視コンポーネントに関する詳細をご覧ください。

Kubernetes クラスター上のアドオンを使うと、Kubernetes API サーバーに対するすべての要求が、クラスターに保存される前に、事前定義された一連のベスト プラクティスを基準にして監視されます。 その後、ベスト プラクティスを適用し、それを将来のワークロードに対して要求するように構成できます。

たとえば、特権コンテナーを作成しないように強制し、今後の作成要求をブロックできます。

脆弱性評価

Defender for Containers では、Azure Container Registry (ACR)、Amazon AWS Elastic Container Registry (ECR)、Google Artifact Registry (GAR)、Google Container Registry (GCR) のコンテナー イメージをスキャンして、レジストリとランタイムの推奨事項、修復ガイダンス、新しいイメージのクイック スキャン、実際の悪用に関する分析情報、悪用可能性に関する分析情報など、コンテナー イメージのエージェントレス脆弱性評価が提供されます。

Microsoft Defender 脆弱性の管理を利用した脆弱性情報は、コンテキスト リスク、攻撃パスの計算、ハンティング機能のクラウド セキュリティ グラフに追加されます。

Azure には脆弱性評価のための 2 つのソリューションがあり、1 つはMicrosoft Defender 脆弱性の管理を利用し、もう 1 つは Qualys を利用しています。

Kubernetes ノードとクラスターの実行時の保護

Defender for Containers には、サポート済みのコンテナー化された環境に対するリアルタイムの脅威の防止機能が用意されていて、不審なアクティビティに対してはアラートが生成されます。 ユーザーは、この情報を使用して、迅速にセキュリティの問題を修復し、コンテナーのセキュリティを強化することができます。

脅威に対する保護はクラスター レベル、ノード レベル、ワークロード レベルで Kubernetes に対して提供され、Defender エージェントを必要とするエージェント ベース カバレッジと、Kubernetes 監査ログの分析に基づくエージェントレス カバレッジの両方が含まれます。 サブスクリプションで Defender for Containers を有効にした後に発生したアクションやデプロイに対してのみ、セキュリティ アラートがトリガーされます。

  • Microsoft Defender for Containers で監視されるセキュリティ イベントの例を次に示します。
  • 公開された Kubernetes ダッシュボード
  • 高い特権ロールの作成

機密性の高いマウントの作成

Defender for Cloud の概要ページの上部にある [セキュリティ アラート] タイルまたはサイドバーのリンクを選択して、セキュリティ アラートを表示することができます。

Defender for Cloud の概要ページでセキュリティ アラートを表示する方法の例を示すスクリーンショット。

[セキュリティ アラート] ページが開きます。

クラスター内のランタイム ワークロードに関するセキュリティ アラートを表示する方法の例を示すスクリーンショット。

クラスター内のランタイム ワークロードに関するセキュリティ アラートは、アラートの種類の Kubernetes K8S.NODE_ プレフィックスで見分けることができます。

Defender for Containers には、60 を超える Kubernetes 対応の分析、AI、ランタイム ワークロードに基づいた異常検出によるホストレベルの脅威検出が含まれています。