Microsoft Defender for Containers は、コンテナー化された資産のセキュリティを強化、監視、および維持するクラウドネイティブ ソリューションです。 これらの資産には、Kubernetes クラスター、ノード、ワークロード、レジストリ、イメージなどが含まれます。 マルチクラウド環境とオンプレミス環境全体でアプリケーションを保護します。
Defender for Containers は、コンテナー セキュリティの 5 つのコア ドメインで役立ちます。
セキュリティ体制管理: クラウド API、Kubernetes API、および Kubernetes ワークロードの継続的な監視を実行します。 クラウド リソースを検出し、包括的なインベントリ機能を提供し、軽減ガイドラインを使用して誤った構成を検出し、コンテキストに応じたリスク評価を提供し、Defender for Cloud セキュリティ エクスプローラーを使用して強化されたリスクハンティング機能をユーザーに実行できるようにします。
脆弱性評価: 修復ガイドライン、ゼロ構成、毎日の再スキャン、OS と言語パッケージの対象範囲、および悪用可能性の分析情報を使用 して、コンテナー レジストリ イメージ、実行中のコンテナー、サポートされている Kubernetes ノード のエージェントレス脆弱性評価を実行します。 脆弱性の検出アーティファクトは、整合性と信頼性のために Microsoft 証明書を使用して署名され、検証のニーズに合わせてレジストリ内のコンテナー イメージに関連付けられます。
: Microsoftの主要な脅威インテリジェンスを利用した Kubernetes クラスター、ノード、ワークロード用の豊富な脅威検出スイートにより、MITRE ATT& へのマッピングが提供されますリスクと関連するコンテキストを容易に理解し、自動対応するための CK フレームワーク。 セキュリティ オペレーターは、Microsoft Defender XDR ポータルを使用して、Kubernetes サービスに対する脅威を調査して対応することもできます。実行時の脅威保護 ソフトウェア サプライ チェーン保護: イメージをスキャンし、レジストリ内のイメージに脆弱性の結果を関連付け、それらの結果を使用して Kubernetes のゲートデプロイをサポートすることで、脆弱なコンテナー イメージを展開するリスクを軽減するのに役立ちます。 イメージが組織の脆弱性ポリシーを満たしていない場合は、ゲート展開規則を使用してデプロイを監査またはブロックできます。
デプロイと監視: 不足しているセンサーについて Kubernetes クラスターを監視し、センサーベースの機能、標準の Kubernetes 監視ツールのサポート、監視対象外のリソースの管理のための摩擦のない大規模なデプロイを提供します。
詳細については、Field ビデオ シリーズの Defender for Cloud に関するビデオ「Microsoft Defender for Containers」をご覧ください。
Defender for Containers には、次のコア機能があります。
セキュリティ体制管理: クラウド API、Kubernetes API、および Kubernetes ワークロードを継続的に監視して、リソースを検出し、誤った構成を検出し、軽減ガイダンスを使用してセキュリティに関する推奨事項を表示します。 リスク調査およびハンティングのために、ポスチャ データはインベントリ ビュー、推奨事項、セキュリティ エクスプローラーを通じて利用できます。
脆弱性評価: コンテナー レジストリ イメージ、実行中のコンテナー、およびサポートされている Kubernetes ノードのエージェントレス脆弱性評価を実行します。 結果には、修復ガイダンス、悪用可能性の分析情報、コンテキスト リスク分析のための クラウド セキュリティ グラフ との統合が含まれます。
実行時の脅威保護: Kubernetes 対応の分析と脅威インテリジェンスを使用して、Kubernetes クラスター、ノード、ワークロードの疑わしいアクティビティを検出します。 アラートはコンテナー用のMITRE ATT&CK®フレームワークにマップされ、
Microsoft Defender XDR を使用して調査できます。ソフトウェア サプライ チェーン保護: コンテナー イメージをスキャンし、脆弱性評価の結果をレジストリ内のイメージに関連付けることで、脆弱なイメージを展開するリスクを軽減します。 これらの結果は、Kubernetes のゲートデプロイなど、コンテナーの他のDefender機能で使用できます。
デプロイと監視: センサーがない、または完全に保護されていない Kubernetes クラスターの可視性など、Defender コンポーネントの大規模なデプロイと監視をサポートします。
セキュリティ態勢管理
エージェントレス機能
Kubernetes 向けエージェントレス検出: エージェント導入不要で、Kubernetes クラスター、構成、デプロイを API ベースで検出できます。
エージェントレス脆弱性評価: レジストリとランタイムの推奨事項、新しいイメージのクイック スキャン、結果の毎日の更新、悪用可能性の分析情報など、 クラスター ノード と すべてのコンテナー イメージに対する脆弱性評価を提供します。 コンテキスト リスク評価と攻撃パスの計算、およびハンティング機能のため、脆弱性情報がセキュリティ グラフに追加されます。
包括的なインベントリ機能: セキュリティ エクスプローラー を使用してリソース、ポッド、サービス、リポジトリ、イメージ、および構成を探索し、資産を簡単に監視および管理できます。
リスクハンティングの強化: セキュリティ管理者は、セキュリティ エクスプローラーでクエリ (組み込みおよびカスタム) と セキュリティの分析情報 を使用して、コンテナー化された資産のポスチャの問題を積極的に検出 できます
コントロール プレーンのセキュリティ強化: クラスターの構成を継続的に評価し、サブスクリプションに適用されるイニシアチブと比較します。 誤った構成が検出されると、Defender for Cloudは、Defender for Cloudの [推奨事項] ページで使用できるセキュリティに関する推奨事項を生成します。 レコメンデーションを使用すると、問題を調査して修復できます。
リソース フィルターを使用して、資産インベントリまたは推奨事項ページのいずれにあるかにかかわらず、コンテナー関連リソースの未処理の推奨事項を確認できます。
この機能に含まれる詳細については、「コンテナーの推奨事項」を確認し、"コントロール プレーン" の種類の推奨事項を参照してください
センサーベースの機能
マルウェア対策: Defender for Containers には、コンテナー内の悪意のあるアクティビティを検出して警告するセンサーベースの機能が用意されています。 これは、潜在的なセキュリティ脅威を事前に特定して軽減するのに役立ちます。 詳細については、「 マルウェア対策保護」を参照してください。
DNS 検出: Defender for Containers は、コンテナー ワークロードから疑わしい DNS アクティビティを検出してネットワークベースの脅威を特定するセンサーベースの機能を提供します。 クラウドによるランタイム保護の可用性については、「 ランタイム保護機能」を参照してください。
バイナリ ドリフト検出: Defender for Containers では、コンテナー内の承認されていない外部プロセスを検出することで、潜在的なセキュリティの脅威について警告するセンサーベースの機能が提供されます。 ドリフト ポリシーを定義して、アラートを生成する条件を指定することで、正当なアクティビティと潜在的な脅威を区別するのに役立ちます。 詳細については、「 バイナリ ドリフト保護」を参照してください。
バイナリ ドリフト ブロック: Defender for Containers は、コンテナー内の承認されていない外部プロセスをブロックするセンサーベースの機能を提供します。 ドリフト ポリシーを定義して、プロセスをブロックする条件を指定し、潜在的なセキュリティ上の脅威を防ぐことができます。 詳細については、「 バイナリ ドリフト保護」を参照してください。
Kubernetes データ プレーンのセキュリティ強化: ベスト プラクティスの推奨事項を使用して Kubernetes コンテナーのワークロードを保護するために、Kubernetes のAzure Policyをインストールできます。 Defender for Cloud の監視コンポーネントに関する詳細をご覧ください。
Kubernetes クラスターに対して定義されたポリシーを使用すると、Kubernetes API サーバーに対するすべての要求が、クラスターに保存される前に、事前定義された一連のベスト プラクティスを基準にして監視されます。 その後、ベスト プラクティスを適用し、将来のワークロードのためにそれらを必須にするように構成できます。
たとえば、特権コンテナーを作成しないように要求し、今後の要求がブロックされるようにすることができます。
Kubernetes データ プレーンのセキュリティ強化の詳細を確認できます。
脆弱性評価
Defender for Containers では、クラスター ノードの OS とアプリケーション ソフトウェア、Azure Container Registry (ACR)、Amazon AWS Elastic Container Registry (ECR)、Google Artifact Registry (GAR)、Google Container Registry (GCR)、サポートされている外部イメージ レジストリ内のコンテナー イメージをスキャンして、エージェントレスの脆弱性評価を提供します。
マルチクラウド環境でのパブリック プレビューでは、Defender for Containers では、実行中のすべてのコンテナーの毎日のスキャンも実行され、コンテナーのイメージ レジストリに依存しない更新された脆弱性評価が提供されます。
Microsoft Defender 脆弱性の管理を利用した脆弱性情報は、コンテキスト リスク、攻撃パスの計算、ハンティング機能のクラウド セキュリティ グラフに追加されます。
クラスター ノードの脆弱性評価など、Defender for Containers でサポートされている環境の脆弱性評価の詳細について説明します。
Kubernetes ノードとクラスターの実行時保護
Defender for Containers には、サポート済みのコンテナー化された環境に対するリアルタイムの脅威の防止機能が用意されていて、不審なアクティビティに対してはアラートが生成されます。 この情報を使用して、セキュリティの問題をすばやく修復し、コンテナーのセキュリティを向上させることができます。
Kubernetes に対する脅威保護は、クラスター、ノード、ワークロードの各レベルで提供されます。 脅威の検出には、 Defender センサー を必要とするセンサー ベースのカバレッジと、Kubernetes 監査ログの分析に基づくエージェントレス カバレッジの両方が使用されます。 セキュリティ アラートは、サブスクリプションで Defender for Containers を有効にした後に発生するアクションと展開に対してのみトリガーされます。
ランタイム検出の例
Microsoft Defender for Containers が監視するセキュリティ イベントの例を次に示します。
- 公開されている Kubernetes ダッシュボード
- 公開された Kubernetes サービスが検出されました (
LoadBalancerの種類の Kubernetes サービスが作成または更新され、ワークロードがパブリックに公開された場合) - 高い権限のロールの作成
- 機密マウントの作成
インターネット向けアクセスが意図しないものである場合、または公開されたサービスの認証が脆弱であるか設定されていない場合は、外部公開アラートを優先してください。
アラート シミュレーション ツールなど、Defender for Containers によって検出されたアラートの詳細については、 Kubernetes クラスターのアラートを参照してください。
Defender for Containers には、ランタイム ワークロードに基づく 60 を超える Kubernetes 対応の分析、AI、異常検出によるホストレベルの脅威検出が含まれています。
Defender for Cloud は、Microsoft と緊密に連携して Threat-Informed Defense センター によって開発されたフレームワークである MITRE ATT&CK® マトリックス for Containers に基づいて、マルチクラウド Kubernetes デプロイの攻撃対象領域を監視します。
Defender for Cloud は、Microsoft Defender XDR に統合されています。 Defender for Containers が有効になっている場合、セキュリティ オペレーターは Defender XDR を使用して、サポートされている Kubernetes サービスのセキュリティの問題を調査して対応できます。
Microsoft が管理するコンテナー イメージ
Defender for Containers は、ランタイム保護コンポーネントの一部として Microsoft によって管理および更新されるコンテナー イメージをデプロイします。 これらのイメージは、Microsoft Container Registry (MCR) に発行されます。
お客様は、これらのイメージを直接変更したり、修正プログラムを適用したりすることはありません。 Microsoft は、Defender for Containers リリース プロセスの一環として、それらを維持および更新します。
Defender for Containers ランタイム保護コンポーネントでは、次の画像が使用されます。
| Image | Purpose | MCR パス |
|---|---|---|
security-publisher |
Kubernetes 環境から収集されたセキュリティ結果を発行する | mcr.microsoft.com/azuredefender/stable/security-publisher |
low-level-collector |
Kubernetes ノードから低レベルのランタイム テレメトリを収集します | mcr.microsoft.com/azuredefender/stable/low-level-collector |
pod-collector |
脅威検出に使用される Kubernetes ポッドのランタイム データを収集します | mcr.microsoft.com/azuredefender/stable/pod-collector |
anti-malware-collector |
コンテナー ワークロードのマルウェア検出シグナルを収集します | mcr.microsoft.com/azuredefender/stable/anti-malware-collector |
old-file-cleaner |
初期化ワークフローの一部として一時ファイルと古いファイルをクリーンアップする | mcr.microsoft.com/azuredefender/stable/old-file-cleaner |
audit-logs-enabler |
サポートされている環境 (オンプレミス クラスターなど) の監査ログ収集を有効にします。 | mcr.microsoft.com/azuredefender/stable/audit-logs-enabler |
defender-admission-controller |
Kubernetes ワークロードにランタイム ゲーティング ポリシーを適用する | mcr.microsoft.com/mdc/prd/defender-admission-controller |
更新プログラムは、環境で使用されるデプロイ メカニズムを通じて配信されます。 例えば次が挙げられます。
- AKS アドオンを使用してデプロイすると、更新プログラムは AKS リリース ライフサイクルを通じて配信されます。
- Helm を使用してデプロイすると、更新されたグラフ バージョンを通じて 30 日以内に更新プログラムがリリースされます。
Microsoft が管理する Defender イメージの脆弱性を検出した場合は、Azure サポート要求を開き、イメージ名、タグ、および CVE 識別子を含めます。
関連するコンテンツ
Defender for Containers の詳細については、次のブログを参照してください。
次のステップ
この概要では、Microsoft Defender for Cloud でのコンテナー セキュリティの中核となる要素について説明しました。 プランを有効にするには、以下を参照してください。
Microsoft Defender for Cloud で Defender for Containers を有効にする
Azure CLI Defender for Containers に関する一般的な質問をご確認ください。