Azure から Defender for Containers を削除する (AKS)

この記事では、AKS 環境から Defender for Containers を無効にして削除する方法について説明します。

自動プロビジョニングを使用する Defender for Containers 機能を有効にするか、推奨事項を使用して特定のリソースにコンテナー機能を手動で展開する場合は、環境に Defender コンポーネントと拡張機能をインストールします。 これらのコンポーネントの追跡に役立つように、次のセクションでは、Defender for Cloudの機能とインストールされているDefender for Containerコンポーネント、拡張機能、ロールを示す表を示します。

これらの機能の使用を停止する場合は、環境からこれらのコンポーネントを削除することもできます。 この記事は、削除するために実行できるアクションを理解するのに役立ちます。

コンポーネントとロールは、次の 2 つの削除の種類のカテゴリに分類されます。

  • 安全な削除 - Defender for Containers によって排他的に使用されるリソースと設定。 関連付けられている機能を使用しなくなった場合は、これらのリソースを安全に削除できます。
  • 共有コンポーネント - Defender for Cloud 以外のソリューション、またはターゲット クラウド環境の他の Defender for Cloud ソリューションによって使用される可能性があるリソース。 共有リソースを無効にすると、他のソリューションが悪影響を受ける可能性があります。 これらのリソースを削除する前に、そのクラウド環境内の他のソリューションにリソースが必要かどうかを確認します。

Important

Defender for Containers を無効にすると、AKS クラスターからセキュリティ保護が削除されます。 続行する前に、代替のセキュリティ対策が実施されていることを確認してください。

サブスクリプションで Defender for Containers を有効にした後に自動的に作成されるリソースの Azure シナリオ

サービス Resource 手動オフボーディング 削除情報
ワークロード ランタイムの脅威の防止 Defender センサー (プロジェクト内のクラスターごと) + Kubernetes 用 Arc Defender センサーの削除 取り外し可能
Kubernetes データ プレーンのセキュリティ強化 Kubernetes 用の Azure Policy Arc 対応リソースを削除する 取り外し可能

Defender for Containers プランを無効にする

Azure Portal の使用

  1. Microsoft Defender for Cloud >に移動します。
  2. AKS クラスターを含むサブスクリプションを選択します。
  3. [Defender プラン] ページで、コンテナーオフ に切り替えます。
  4. 保存 を選択します。

クラスターから Defender コンポーネントを削除する

Defender センサーを削除する

AKS クラスターから Defender センサーを削除するには:

az aks update \
    --name <cluster-name> \
    --resource-group <resource-group> \
    --disable-defender

Azure Policy アドオンを無効にする

az aks disable-addons \
    --addons azure-policy \
    --name <cluster-name> \
    --resource-group <resource-group>

削除の確認

コンポーネントの削除を確認する

kubectl get ds microsoft-defender-collector-ds -n kube-system

正常に削除された後は、ポッドを返す必要はありません。

プランの状態を確認する

az security pricing show --name 'Containers'

出力には、pricingTierとしてFreeが表示されます。

削除後の考慮事項

セキュリティ監視のギャップ

Defender for Containers を削除すると、セキュリティ体制が大きく変わります。

  • ランタイム脅威検出が直ちに停止する
  • ACR でのコンテナー イメージの脆弱性スキャンが停止する
  • セキュリティに関する推奨事項が更新されなくなりました
  • CIS Kubernetes Benchmark などの標準に対するコンプライアンス レポートが停止する

代替セキュリティ ソリューション

AKS クラスターの保護を維持するには、基本的な制御用の Azure Policy、監視用の Azure Monitor、サードパーティのコンテナー セキュリティ プラットフォームなどの代替セキュリティ対策の実装を検討してください。

Defender for Containers を再度有効にする

Defender for Containers を再度有効にするには:

  1. デプロイ ガイドに従う: Azure (AKS) 上のすべての Defender for Containers コンポーネントを有効にする
  2. すべてのセキュリティ機能が復元されます。

関連コンテンツ

  • Last updated on