この記事では、Microsoft Defender for Cloudに表示されるすべてのコンテナー のセキュリティに関する推奨事項を示します。
環境に表示される推奨事項は、保護するリソースとカスタマイズした構成に基づいています。 リソースに適用ポータルで推奨事項を確認できます。
Tip
推奨事項の説明に 関連ポリシーがない、通常は、その推奨事項が別の推奨事項に依存しているためです。
たとえば、推奨事項 エンドポイント保護の正常性エラーを修復する必要があります は、エンドポイント保護ソリューションがインストールされているかどうかを確認する推奨事項に依存します (エンドポイント保護ソリューションをインストールする必要があります)。 基になる推奨事項にはポリシーが存在します。 ポリシーを基本的な推奨事項のみに制限すると、ポリシー管理が簡略化されます。
Microsoft Defender for Cloudは、コンテナー イメージの脆弱性評価を実行し、サポートされている環境全体でコンテナーを実行します。 結果は、クラウド プロバイダー、リソースの種類 (コンテナー レジストリまたは実行中のコンテナー)、および有効なDefenderプランに基づいて生成される、Defender for Cloudの個々のセキュリティに関する推奨事項として表示されます。 Defender for Cloudは、固定された推奨事項のセットに依存するのではなく、コンテナーのワークロードとイメージを動的に評価し、推奨事項エクスペリエンスで関連する推奨事項を提示します。推奨事項は、リスクとスコープに基づいてフィルター処理および優先順位付けできます。 このアプローチにより、新しい環境、脅威、および機能が導入されるにつれて、脆弱性評価の結果が正確かつ最新の状態に保たれるようにします。
Azure コンテナーの推奨事項
Arc 対応 Kubernetes クラスター Azure Azure Policy拡張機能がインストールされている必要があります
Description: Kubernetes のAzure Policy拡張機能Gatekeeper v3 を拡張します。 Open Policy Agent (OPA) 用のアドミッション コントローラー Webhook。 (関連ポリシーはありません)
重要度: 高
型: コントロール プレーン
Azure Arc有効な Kubernetes クラスターには、Defender 拡張機能がインストールされている必要があります
Description: Azure Arc用の Defender 拡張機能は、Arc 対応 Kubernetes クラスターの脅威保護を提供します。 拡張機能は、クラスター内のすべてのコントロール プレーン (マスター) ノードからデータを収集し、さらに分析するためにクラウドの Microsoft Defender for Containers バックエンドに送信します。 (関連ポリシーはありません)
重要度: 高
型: コントロール プレーン
クラスター Azure Kubernetes Service Defender プロファイルが有効になっている必要がある
Description: Microsoft Defender for Containers は、環境のセキュリティ強化、ワークロード保護、実行時の保護など、クラウドネイティブの Kubernetes セキュリティ機能を提供します。 Azure Kubernetes Service クラスターで SecurityProfile.AzureDefender プロファイルを有効にすると、セキュリティ イベント データを収集するためにエージェントがクラスターにデプロイされます。 詳細については、コンテナーのMicrosoft Defenderへの導入に関するページを参照してください。 (関連ポリシーはありません)
重要度: 高
型: コントロール プレーン
クラスター Azure Kubernetes Service Kubernetes 用のAzure Policy アドオンがインストールされている必要があります
Description: Kubernetes のAzure Policy アドオンは、v3 Gatekeeper 拡張されます。 Open Policy Agent (OPA) 用のアドミッション コントローラー Webhook。 Defender for Cloud では、クラスター内のセキュリティ機能とコンプライアンスを監査および適用するためにこのアドオンが必要です。 詳細については、こちらをご覧ください。 Kubernetes v1.14.0 以降が必要です。 (関連ポリシー: Azure Policy Kubernetes Service (AKS) のアドオンをクラスターにインストールして有効にする必要があります)。
重要度: 高
型: コントロール プレーン
レジストリ コンテナー イメージAzure脆弱性を解決する必要がある (Microsoft Defender 脆弱性の管理を利用)
説明: コンテナー イメージの脆弱性評価では、レジストリで一般的に知られている脆弱性 (CVE) がスキャンされ、各イメージの詳細な脆弱性レポートが提供されます。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。 (関連ポリシー: Azure Container Registry イメージ内のVulnerabilitiesを修復する必要があります)。
重要度: 高
種類: 脆弱性評価
実行中のコンテナー イメージAzure脆弱性が解決されている必要がある (Microsoft Defender 脆弱性の管理を利用)
説明: コンテナー イメージの脆弱性評価では、レジストリで一般的に知られている脆弱性 (CVE) がスキャンされ、各イメージの詳細な脆弱性レポートが提供されます。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 現在実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃surfaceを大幅に削減するための鍵となります。
重要度: 高
種類: 脆弱性評価
コンテナーの CPU とメモリの制限を強制する必要がある
説明: CPU とメモリの制限を適用すると、リソース枯渇攻撃 (サービス拒否攻撃の一種) を防ぐことができます。
コンテナーに制限を設定し、設定された制限を超えてリソースがコンテナーで使用されないように、ランタイムによって防ぐことをお勧めします。
(関連ポリシー: コンテナーの CPU とメモリリソースの制限が Kubernetes クラスターで指定された制限を超えないようにします)。
重要度: 中
型: Kubernetes データ プレーン
コンテナー イメージは信頼されたレジストリからのみデプロイする必要がある
説明: Kubernetes クラスターで実行されているイメージは、既知の監視対象のコンテナー イメージ レジストリから取得する必要があります。 信頼されたレジストリは、不明な脆弱性、セキュリティの問題、および悪意のあるイメージの導入の可能性を制限することで、クラスターの露出リスクを軽減します。
(関連ポリシー: Kubernetes クラスターで許可されているコンテナー イメージのみを確認します)。
重要度: 高
型: Kubernetes データ プレーン
(必要に応じて有効にする)コンテナー レジストリは、カスタマー マネージド キー (CMK) を使用して暗号化する必要があります
説明: 保存データの暗号化にカスタマー マネージド キーを使用するための推奨事項は、既定では評価されませんが、該当するシナリオに対して有効にすることができます。 データはプラットフォーム マネージド キーを使用して自動的に暗号化されるため、カスタマー マネージド キーの使用は、コンプライアンスまたは制限の厳しいポリシーの要件によって義務付けられる場合にのみ適用する必要があります。 この推奨事項を有効にするには、該当するスコープのセキュリティ ポリシーに移動し、対応するポリシーの [効果] パラメーターを更新して、カスタマー マネージド キーの使用を監査または適用します。 詳細については、「セキュリティ ポリシーの管理」を参照してください。 カスタマー マネージド キーを使用して、レジストリのコンテンツ保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすためには一般に、カスタマー マネージド キー (CMK) が必要です。 CMK を使用すると、ユーザーが作成して所有するAzure Key Vaultキーを使用してデータを暗号化できます。 ローテーションや管理など、主要なライフサイクルに対する完全な制御と責任があります。 CMK 暗号化の詳細については、 カスタマー マネージド キーの概要を参照してください。 (関連ポリシー: コンテナー レジストリは、カスタマー マネージド キー (CMK) を使用して暗号化する必要があります)。
重大度: 低
型: コントロール プレーン
コンテナー レジストリでは無制限のネットワーク アクセスを許可しない
Description: コンテナー レジストリAzure既定では、任意のネットワーク上のホストからのインターネット経由の接続を受け入れます。 潜在的な脅威からレジストリを保護するには、特定のパブリック IP アドレスまたはアドレス範囲のみからのアクセスを許可します。 レジストリに IP またはファイアウォール規則、あるいは構成済みの仮想ネットワークがない場合は、異常なリソースとして表示されます。 Container Registry ネットワーク規則の詳細については、「パブリック IP ネットワーク 規則の構成およびAzure仮想ネットワーク内のサービス エンドポイントを使用したコンテナー レジストリへのアクセスの制限を参照してください。 (関連ポリシー: コンテナー レジストリでは無制限のネットワーク アクセスを許可しないでください)。
重要度: 中
型: コントロール プレーン
コンテナー レジストリではプライベート リンクを使用する必要がある
Description: Azure Private Linkを使用すると、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームでは、Azure のバックボーン ネットワークを介してコンシューマーとサービスの間の接続が処理されます。 サービス全体ではなく、コンテナー レジストリにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 (関連ポリシー: コンテナー レジストリはプライベート リンクを使用する必要があります)。
重要度: 中
型: コントロール プレーン
機密性の高いホストの名前空間を共有するコンテナーは避ける必要がある
説明: コンテナー外の特権エスカレーションから保護するには、Kubernetes クラスター内の機密性の高いホスト名前空間 (ホスト プロセス ID とホスト IPC) へのポッド アクセスを回避します。 (関連ポリシー: Kubernetes クラスター コンテナーは、ホスト プロセス ID またはホスト IPC 名前空間を共有しないでください)。
重要度: 中
型: Kubernetes データ プレーン
特権エスカレーションを含むコンテナーは避ける必要がある
説明: Kubernetes クラスター内の root への特権エスカレーションを使用してコンテナーを実行しないでください。 プロセスが親プロセスよりも多くの特権を取得できるかどうかは、AllowPrivilegeEscalation 属性によって制御されます。 (関連ポリシー: Kubernetes クラスターでは、コンテナー特権のエスカレーションを許可しないでください)。
重要度: 中
型: Kubernetes データ プレーン
Kubernetes サービスの診断ログを有効にする必要がある
説明: Kubernetes サービスで診断ログを有効にし、最大 1 年間保持します。 これにより、セキュリティ インシデントが発生した場合に、調査目的でアクティビティ証跡を再作成できます。 (関連ポリシーはありません)
重大度: 低
型: コントロール プレーン
コンテナーで不変 (読み取り専用) のルート ファイル システムを適用する必要がある
説明: コンテナーは、Kubernetes クラスター内の読み取り専用ルート ファイル システムで実行する必要があります。 不変のファイル システムは、PATH に追加された悪意のあるバイナリによる実行時の変更から、コンテナーを保護します。 (関連ポリシー: Kubernetes クラスター コンテナーは、読み取り専用のルート ファイル システムで実行する必要があります)。
重要度: 中
型: Kubernetes データ プレーン
Kubernetes API サーバーは制限付きアクセスで構成する必要がある
説明: 許可されたネットワーク、マシン、またはサブネットからのアプリケーションのみがクラスターにアクセスできるようにするには、Kubernetes API サーバーへのアクセスを制限します。 アクセスを制限するには、許可された IP 範囲を定義するか、「プライベート Azure Kubernetes Service クラスターを作成するで説明されているように、API サーバーをプライベート クラスターとして設定します。 (関連ポリシー: 承認された IP 範囲は Kubernetes Services で定義する必要があります)。
重要度: 高
型: コントロール プレーン
Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある
説明: HTTPS を使用すると、認証が保証され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 この機能は現在、Kubernetes Service (AKS) で一般公開されており、AKS エンジンと Azure Arc 対応 Kubernetes のプレビュー段階にあります。 詳細については、 https://aka.ms/kubepolicydoc (関連ポリシー: Kubernetes クラスターでの HTTPS イングレスの強制) に関するページを参照してください。
重要度: 高
型: Kubernetes データ プレーン
Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある
説明: 自動マウント API 資格情報を無効にして、侵害された可能性のあるポッド リソースが Kubernetes クラスターに対して API コマンドを実行するのを防ぎます。 詳細については、https://aka.ms/kubepolicydocを参照してください。 (関連ポリシー: Kubernetes クラスターでは、API 資格情報の自動マウントを無効にする必要があります)。
重要度: 高
型: Kubernetes データ プレーン
Kubernetes クラスターでは既定の名前空間を使用しない
説明: Kubernetes クラスターで既定の名前空間を使用しないようにして、ConfigMap、Pod、Secret、Service、ServiceAccount のリソースの種類に対する未承認のアクセスから保護します。 詳細については、https://aka.ms/kubepolicydocを参照してください。 (関連ポリシー: Kubernetes クラスターでは既定の名前空間を使用しないでください)。
重大度: 低
型: Kubernetes データ プレーン
コンテナーで最小限の特権を持つ Linux 機能を適用する必要がある
説明: コンテナーの攻撃対象領域を減らすには、ルート ユーザーのすべての特権を付与せずに、Linux の機能を制限し、コンテナーに特定の特権を付与します。 すべての機能を削除してから、必要な機能を追加することをお勧めします (関連ポリシー: Kubernetes クラスター コンテナーでは、許可された機能のみを使用する必要があります)。
重要度: 中
型: Kubernetes データ プレーン
コンテナーのMicrosoft Defenderを有効にする必要がある
Description: コンテナーのMicrosoft Defenderは、Azure、ハイブリッド、およびマルチクラウド Kubernetes 環境に対して、セキュリティ強化、脆弱性評価、ランタイム保護を提供します。 この情報を使用して、セキュリティの問題をすばやく修復し、コンテナーのセキュリティを向上させることができます。
この推奨事項の修復によって、Kubernetes クラスターを保護するための料金が発生します。 このサブスクリプションに Kubernetes クラスターがない場合、料金は発生しません。 今後、このサブスクリプションに Kubernetes クラスターを作成すると、それらは自動的に保護され、その時点で料金が発生します。 詳細については、コンテナーのMicrosoft Defenderへの導入に関するページを参照してください。 (関連ポリシーはありません)
重要度: 高
型: コントロール プレーン
特権コンテナーの使用を避ける
説明: 無制限のホスト アクセスを防ぐには、可能な限り特権コンテナーを使用しないでください。
特権コンテナーには、ホスト マシンのすべてのルート機能が含まれています。 攻撃のエントリ ポイントとして使用したり、侵害されたアプリケーション、ホスト、ネットワークに悪意のあるコードやマルウェアを拡散したりすることができます。 (関連ポリシー: Kubernetes クラスターで特権コンテナーを許可しない)。
重要度: 中
型: Kubernetes データ プレーン
Kubernetes Services でRole-Based Access Control を使用する必要がある
Description: ユーザーが実行できるアクションの詳細なフィルター処理を提供するには、Role-Based Access Control (RBAC) を使用して Kubernetes Service クラスターのアクセス許可を管理し、関連する承認ポリシーを構成します。 (関連ポリシー: Role-Based Access Control (RBAC) を Kubernetes Services で使用する必要があります)。
重要度: 高
型: コントロール プレーン
コンテナーをルート ユーザーとして実行しない
説明: コンテナーは、Kubernetes クラスターでルート ユーザーとして実行しないでください。 コンテナー内でプロセスをルート ユーザーとして実行すると、それはホスト上のルートとして実行されます。 侵害を受けた場合、攻撃者はコンテナーのルート権限を持つことになり、構成ミスを悪用しやすくなります。 (関連ポリシー: Kubernetes クラスターのポッドとコンテナーは、承認されたユーザー ID とグループ ID でのみ実行する必要があります)。
重要度: 高
型: Kubernetes データ プレーン
Azure Kubernetes Serviceをアップグレードして、AKS システム ポッドから脆弱性を削除する
種類: Azure Kubernetes Service バージョンのアップグレード
Description: Defender for Cloudは、AKS マネージド システム ポッドで既知の脆弱性 (CVE) をスキャンします。 脆弱性が検出されると、この推奨事項では、各 CVE を解決する AKS バージョンの最小アップグレードが特定され、明確で実用的な修復パスが提供されます。 この推奨事項は、お客様のワークロードではなく、AKS によって管理されるシステム ポッドに適用されます。 各 CVE について、推奨事項には CVSS スコアと、修正プログラムを含む最小 AKS バージョンが一覧表示されます。 (関連ポリシーはありません)
重要度: 高
種類: 脆弱性評価
AWS コンテナーの推奨事項
CodeBuild プロジェクトでアーティファクトの暗号化を有効にする必要がある
Description: amazon S3 に出力を格納する AWS CodeBuild プロジェクトで、暗号化されていないビルドアーティファクトを識別Defender for Cloud。 ビルド成果物は、パッケージ、バイナリ、レポートなど、ビルド中に生成されるファイルです。 成果物の暗号化が無効になっている場合、機密性の高いビルド出力が、承認されていないアクセスまたは開示に公開される可能性があります。
重要度: 中
AWS レジストリ コンテナー イメージに脆弱性の検出結果が解決されている必要がある
説明: AWS レジストリのコンテナー イメージで一般的に知られている脆弱性 (CVE) をスキャンし、各イメージの詳細な脆弱性レポートを提供します。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。
重要度: 高
種類: 脆弱性評価
AWS 実行中のコンテナー イメージで脆弱性の結果が解決されている必要がある
説明: コンテナー イメージの脆弱性評価では、レジストリで一般的に知られている脆弱性 (CVE) がスキャンされ、各イメージの詳細な脆弱性レポートが提供されます。 この推奨事項により、Elastic Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 現在実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃surfaceを大幅に削減するための鍵となります。
重要度: 高
種類: 脆弱性評価
EKS クラスターは、Microsoft Defender for Cloudに必要な AWS アクセス許可を付与する必要があります
Description: Microsoft Defender for Containers は、EKS クラスターの保護を提供します。 セキュリティの脆弱性と脅威についてクラスターを監視するには、Defender for Containers に AWS アカウントのアクセス許可が必要です。 これらのアクセス許可は、クラスターで Kubernetes コントロール プレーンのログ記録を有効にし、クラスターとクラウド内の Defender for Cloud のバックエンドの間に信頼性の高いパイプラインを確立するために使用されます。 コンテナー化された環境のMicrosoft Defender for Cloudのセキュリティ機能の詳細についてはを参照してください。
重要度: 高
EKS クラスターには、Azure ArcのMicrosoft Defenderの拡張機能がインストールされている必要があります
Description: Microsoft Defenderの cluster 拡張機能 は、EKS クラスターのセキュリティ機能を提供します。 この拡張機能を使用すると、クラスターとそのノードからデータが収集され、セキュリティの脆弱性と脅威が特定されます。 この拡張機能は、Azure Arc 対応 Kubernetes で動作します。 コンテナー化された環境のMicrosoft Defender for Cloudのセキュリティ機能の詳細についてはを参照してください。
重要度: 高
AWS コネクタでコンテナーのMicrosoft Defenderを有効にする必要がある
Description: コンテナーのMicrosoft Defenderは、コンテナー化された環境に対してリアルタイムの脅威保護を提供し、疑わしいアクティビティに関するアラートを生成します。 この情報を使用して、Kubernetes クラスターのセキュリティを強化し、セキュリティの問題を修復します。
コンテナーのMicrosoft Defenderを有効にし、EKS クラスターにAzure Arcをデプロイすると、保護と料金が開始されます。 クラスターにAzure Arcをデプロイしない場合、Defender for Containers では保護されません。また、そのクラスターのこのMicrosoft Defenderプランに対して料金は発生しません。
重要度: 高
CodeBuild プロジェクトで特権モードを無効にする必要がある
Description: AWS CodeBuild プロジェクト環境で識別された有効な特権モードDefender for Cloud。 特権モードでは、ホストと Docker ランタイムへのより広範なアクセスをビルド コンテナーに許可します。 これにより、ビルド プロセスまたは依存関係が侵害された場合、特権エスカレーションと未承認アクセスのリスクが発生します。
重要度: 中
CodeBuild ソース接続でセキュリティで保護された SSL を有効にする必要がある
Description: AWS CodeBuild ソース接続でセキュリティで保護されていない SSL 設定が識別Defender for Cloud。 SSL は、接続を暗号化し、リモート エンドポイントを検証することで、CodeBuild とソース リポジトリの間で交換されるデータを保護します。 これにより、暗号化されたトランスポートが適用されない場合、ソース コードの傍受や改ざんのリスクが伴います。
重要度: 中
CodeBuild プロジェクトでソース プロバイダー認証を有効にする必要がある
Description: Defender for Cloud、外部ソース リポジトリに接続する AWS CodeBuild プロジェクトでソース プロバイダー認証が見つからないことが特定されました。 ソース プロバイダー認証は、承認された接続または資格情報を使用して、CodeBuild がリポジトリにアクセスすることを確認します。 これにより、プライベート リポジトリへのアクセスが適切に制御されていない場合、未承認のリポジトリ アクセスとソース コードの公開のリスクが発生します。 パブリック リポジトリでは、この設定は必要ありません。
重要度: 中
データ プレーンの推奨事項
Kubernetes に対して有効な
GCP コンテナーの推奨事項
GCP コネクタで Defender for Containers の詳細な構成を有効にする必要がある
Description: Microsoft Defender for Containers は、環境のセキュリティ強化、ワークロード保護、実行時の保護など、クラウドネイティブの Kubernetes セキュリティ機能を提供します。 ソリューションが正しくプロビジョニングされ、機能の完全なセットを使用できるようにするには、すべての詳細な構成設定を有効にします。
重要度: 高
GCP レジストリ コンテナー イメージに脆弱性の検出結果が解決されている必要がある
説明: GCP レジストリ コンテナー イメージで一般的に知られている脆弱性 (CVE) をスキャンし、各イメージの詳細な脆弱性レポートを提供します。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。
重要度: 高
種類: 脆弱性評価
コンテナー イメージを実行している GCP の脆弱性の結果が解決されている必要がある
説明: コンテナー イメージの脆弱性評価では、レジストリで一般的に知られている脆弱性 (CVE) がスキャンされ、各イメージの詳細な脆弱性レポートが提供されます。 この推奨事項により、Google Kubernetes クラスターで現在実行中の脆弱なイメージが可視化されます。 現在実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃surfaceを大幅に削減するための鍵となります。
重要度: 高
種類: 脆弱性評価
GKE クラスターには、Azure ArcのMicrosoft Defenderの拡張機能がインストールされている必要があります
Description: Microsoft Defenderの cluster 拡張機能 は、GKE クラスターのセキュリティ機能を提供します。 この拡張機能を使用すると、クラスターとそのノードからデータが収集され、セキュリティの脆弱性と脅威が特定されます。 この拡張機能は、Azure Arc 対応 Kubernetes で動作します。 コンテナー化された環境のMicrosoft Defender for Cloudのセキュリティ機能の詳細についてはを参照してください。
重要度: 高
GKE クラスターには、Azure Policy拡張機能がインストールされている必要があります
Description: Kubernetes のAzure Policy拡張機能Gatekeeper v3 を拡張します。 Open Policy Agent (OPA) 用のアドミッション コントローラー Webhook。 この拡張機能は、Azure Arc 対応 Kubernetes で動作します。
重要度: 高
GCP コネクタでコンテナーのMicrosoft Defenderを有効にする必要がある
Description: Microsoft Defender for Containers は、環境のセキュリティ強化、ワークロード保護、実行時の保護など、クラウドネイティブの Kubernetes セキュリティ機能を提供します。 GCP コネクタでコンテナー計画を有効にして、Kubernetes クラスターのセキュリティを強化し、セキュリティの問題を修復します。 コンテナーのMicrosoft Defenderの詳細を確認します。
重要度: 高
GKE クラスターの自動修復機能を有効にする必要がある
説明: この推奨事項は、キーと値のペア ( key: autoRepair, value: true) のノード プールの管理プロパティを評価します。
重要度: 中
GKE クラスターの自動アップグレード機能を有効にする必要がある
説明: この推奨事項は、キーと値のペア ( key: autoUpgrade, value: true) のノード プールの管理プロパティを評価します。
重要度: 高
GKE クラスターの監視を有効にする必要がある
説明: この推奨事項では、クラスターの monitoringService プロパティに、メトリックの書き込みに Cloud Monitoring が使用する必要がある場所が含まれているかどうかを評価します。
重要度: 中
GKE クラスターのログ記録を有効にする必要がある
説明: この推奨事項は、クラスターの loggingService プロパティに、ログの書き込みにクラウド ログが使用する場所が含まれているかどうかを評価します。
重要度: 高
GKE Web ダッシュボードを無効にする必要があります
説明: この推奨事項は、キーと値のペア 'disabled': false の addonsConfig プロパティの kubernetesDashboard フィールドを評価します。
重要度: 高
レガシ認証を GKE クラスターで無効にする必要があります
説明: この推奨事項は、キーと値のペア 'enabled' のクラスターの legacyAbac プロパティを評価します。
重要度: 高
コントロール プレーン承認済みネットワークが GKE クラスターで有効になっている必要がある
説明: この推奨事項では、クラスターの masterAuthorizedNetworksConfig プロパティのキーと値のペア 'enabled': false が評価されます。
重要度: 高
GKE クラスターではエイリアス IP 範囲を有効にする必要があります
説明: この推奨事項では、クラスター内の ipAllocationPolicy の useIPAliases フィールドが false に設定されているかどうかを評価します。
重大度: 低
GKE クラスターではプライベート クラスターを有効にする必要があります
説明: この推奨事項では、privateClusterConfig プロパティの enablePrivateNodes フィールドが false に設定されているかどうかを評価します。
重要度: 高
GKE クラスターでネットワーク ポリシーを有効にする必要がある
説明: この推奨事項では、キーと値のペア 'disabled' の addonsConfig プロパティの networkPolicy フィールドを評価します。true。
重要度: 中
データ プレーンの推奨事項
Kubernetes>kbernetes に対して有効なAzure Policyを<した後、GCP に関するすべての
外部コンテナー レジストリの推奨事項
Docker Hub レジストリ内のコンテナー イメージに脆弱性の検出結果が解決されている必要がある
説明: Defender for Cloud は、レジストリ イメージで既知の脆弱性 (CVE) をスキャンし、スキャンされた各イメージの詳細な結果を提供します。 コンテナー イメージの脆弱性を修復することで、セキュリティで保護された信頼性の高いソフトウェア サプライ チェーンを維持し、セキュリティ インシデントのリスクを軽減し、業界標準への準拠を確保できます。"
重要度: 高
種類: 脆弱性評価
[プレビュー]Jfrog Artifactory レジストリのコンテナー イメージに脆弱性の結果が解決されている必要がある
説明: Defender for Cloud は、レジストリ イメージで既知の脆弱性 (CVE) をスキャンし、スキャンされた各イメージの詳細な結果を提供します。 コンテナー イメージの脆弱性を修復することで、セキュリティで保護された信頼性の高いソフトウェア サプライ チェーンを維持し、セキュリティ インシデントのリスクを軽減し、業界標準への準拠を確保できます。"
重要度: 高
種類: 脆弱性評価
AWS Batch ジョブ定義では、特権モードでコンテナーを実行しないでください
説明: 特権モードでコンテナーを実行すると、ホスト システムへの昇格されたアクセス権が付与され、コンテナー分離制御が効果的にバイパスされます。 これにより、ホストの侵害、機密性の高いリソースへの不正アクセス、環境内での横移動のリスクが大幅に高まります。 特権モードを無効にすると、最小限の特権の原則が適用され、侵害されたコンテナー ワークロードまたは悪意のあるコンテナー ワークロードの影響が軽減されます。
重要度: 高
AWS Batch ジョブ定義では、読み取り専用ルート ファイルシステムを使用する必要がある
説明: 書き込み可能なルート ファイル システムでコンテナーを実行できるようにすると、システム バイナリ、構成ファイル、およびランタイム成果物が不正に変更されるリスクが高まります。 これにより、コンテナーの不変性の保証が弱まり、コンテナーが侵害された場合の永続化、マルウェアのインストール、回避の手法が可能になります。 読み取り専用ルート ファイルシステムを適用すると、ワークロードの分離が強化され、セキュリティ インシデントの爆発的な半径が制限されます。
重要度: 中
ECS コンテナーに対して読み取り専用ルート ファイルシステムを有効にする必要がある
説明: Defender for Cloud は、書き込み可能なルート ファイルシステムを使用して ECS タスク定義を識別しました。 この構成は、重要なシステム パスへのランタイムの変更を許可し、改ざん、未承認の変更の永続化、変更可能なディレクトリの悪用を可能にすることでリスクを引き起こします。 読み取り専用ルート ファイルシステムでは、コンテナーの実行中に変更を防ぎ、不変のインフラストラクチャと最小限の特権のベスト プラクティスに合わせて、これらのリスクを制限します。
重要度: 中
機密性の高いプレーンテキスト環境変数を使用しないように、コンテナー用にシークレットを構成する必要がある
説明: Defender for Cloud は、ECS タスク定義でプレーンテキスト環境変数を識別しました。 この問題は、資格情報、トークン、キーなどの機密情報がシークレットを使用してセキュリティで保護されるのではなく、コンテナー構成内に直接格納されている場合に発生します。 プレーンテキスト変数は、内部プロセスによってアクセスされたり、誤ってログに記録されたりする可能性があり、不正アクセスやシークレット漏洩のリスクが高まります。
重要度: 高
ECS タスク定義でセキュリティで保護されたネットワーク モードを有効にする必要がある
説明: Defender for Cloud は、ECS タスク定義でセキュリティで保護されていないネットワーク構成を特定しました。 評価では、Fargate タスクでは awsvpc モード割り当て専用のエラスティック ネットワーク インターフェイスとセキュリティ グループの境界を使用する必要があり、EC2 タスクでは、コンテナーの分離をバイパスするホスト モードまたはなしモードを回避する必要があることが判明しました。 セキュリティで保護されたモードがないと、タスクは横移動やその他のネットワーク リスクにさらされ、ワークロードの分離が損なわれる可能性があります。
重要度: 中
EFS を使用して ECS タスク定義でトランジット暗号化を有効にする必要がある
説明: Defender for Cloud では、転送暗号化が有効になっていない Amazon EFS ファイル システムをマウントする ECS タスク定義が特定されました。 トランジット暗号化では、転送中の暗号化によって ECS タスクと EFS マウント ターゲットの間を移動するデータがセキュリティで保護されるため、VPC 内のネットワークベースのインターセプトのリスクが最小限に抑えられます。 これを行わないと、機密データが許可されていない可能性のあるアクセスにさらされます。 トランジット暗号化を有効にすると、転送中のデータが適切に保護されます。
重要度: 中