Defender for Containers の展開の概要

Microsoft Defender for Containers は、セキュリティの監視と保護を、Microsoft Defender for Cloudを通じてAzure Kubernetes Service (AKS) クラスターに拡張します。 これは、セキュリティチームと DevOps チームが、Azure環境におけるコンテナー イメージの脆弱性、ランタイム アクティビティ、および Kubernetes 構成リスクを可視化するのに役立ちます。

Azure との統合

Defender for Containers は、AKS クラスターを保護するためにAzure サービスとネイティブに統合されます。 Azure サブスクリプションで有効にすると、ソリューションは次のようになります。

• サブスクリプション内の AKS クラスターを検出します
• Azureマネージド統合を使用してコンテナー コンポーネントのDefenderをデプロイします
• Azure Container Registry (ACR) に格納されているコンテナー イメージの脆弱性を評価します
• AKS クラスターからランタイム セキュリティシグナルを収集します
• 監視された構成と体制に基づいてセキュリティに関する推奨事項を生成します
• Microsoft セキュリティ ツールと統合されたアラートを表示する

統合は、Azureネイティブ機能を使用して動作するように設計されており、AKS クラスターへの受信接続は必要ありません。

主な機能

Defender for Containers には、AKS 環境に対して次の機能が用意されています。

• Azure Container Registry (ACR) に格納されたコンテナ イメージの脆弱性評価
• AKS ノード、ワークロード、および Kubernetes 監査ログから収集されたランタイム シグナルに基づく脅威検出とアラート
• Kubernetes クラスターとワークロードのセキュリティ体制の分析情報、Kubernetes とAzureセキュリティのベスト プラクティスに準拠

Microsoft Defender for Containers は、セキュリティの監視と保護を Amazon Elastic Kubernetes Service (EKS) クラスターに拡張し、Microsoft Defender for Cloudを通じてコンテナー イメージの脆弱性、ランタイム アクティビティ、クラスター構成リスクを可視化します。

AWS との統合

Defender for Containers は、AWS アカウントをMicrosoft Defender for Cloudに接続するセキュリティで保護されたコネクタを介して AWS と統合します。 接続されると、ソリューションは次のようになります。

• AWS アカウント内の EKS クラスターを検出します
• 軽量のセキュリティ センサーをデプロイしてランタイム 信号を収集する
• Amazon ECR と統合して、脆弱性のコンテナー イメージを評価します
• 監視された構成と体制に基づいてセキュリティに関する推奨事項を生成します
• EKS ワークロードに関連する疑わしいアクティビティのアラートを表示する

この統合は、AWS GuardDuty や AWS Security Hub などの既存の AWS セキュリティ サービスと連携するように設計されています。

主な機能

Defender for Containers には、Amazon EKS 環境に対して次の機能が用意されています。

• Amazon ECR に格納されているイメージのコンテナー イメージの脆弱性評価
• 実行時シグナルに基づく脅威の検出、アラート、応答
• セキュリティのベスト プラクティスに沿ったセキュリティ態勢の分析情報

Microsoft Defender for Containers は、Microsoft Defender for Cloudと統合することで、セキュリティの監視と保護を Google Kubernetes Engine (GKE) クラスターに拡張します。

GCP との統合

Defender for Containers は、GCP プロジェクトをMicrosoft Defender for Cloudに接続するセキュリティで保護された GCP コネクタを介して Google Cloud と統合します。 接続されると、ソリューションは次のようになります。

• 接続されている GCP プロジェクトの GKE クラスターを検出します
• 選択したクラスターをAzure Arcに接続します
• Defender センサーをデプロイします
• Google Container Registry および Artifact Registry との統合
• セキュリティに関する推奨事項を生成します
• 疑わしいアクティビティのアラートを表示する

統合は、ネイティブの GCP セキュリティ機能と共に機能するように設計されており、受信接続は必要ありません。

主な機能

Defender for Containers には、GKE 環境に対して次の機能が用意されています。

• GCR とアーティファクト レジストリのコンテナー イメージの脆弱性評価
• 実行時シグナルに基づく脅威の検出とアラート
• Kubernetes と GKE のベスト プラクティスに沿ったセキュリティ体制の分析情報

Microsoft Defender for Containers は、Azure Arc経由でAzureに接続されている Kubernetes クラスターのセキュリティ監視と保護を提供します。これには、オンプレミス、エッジ、またはその他の非Azure環境で実行されている Kubernetes クラスターが含まれます。

Arc 対応 Kubernetes 上のコンテナーのDefenderは、Microsoft Defender for Cloudによって管理され、クラスター接続とコンポーネントのデプロイにAzure Arc対応 Kubernetes に依存します。

Azure Arcとの統合

Defender for Containers は、コントロール プレーンとしてAzure Arcを使用して Arc 対応 Kubernetes クラスターと統合します。 クラスターがAzure Arcに接続され、コンテナー プラン サービスが有効になった後、Defender for Containersが動作を開始します。

• サブスクリプション内の Arc 対応 Kubernetes クラスターを検出します
• Azure Arc拡張機能を使用してDefenderコンポーネントをデプロイする
• Kubernetes ノードとワークロードからランタイム セキュリティシグナルを収集します
• クラスターとワークロードの構成を評価します
• Defender for Cloudでセキュリティに関する推奨事項とアラートを生成します

統合では、Kubernetes クラスターへの受信接続は必要ありません。 通信はクラスターからAzure Arcエージェントを介してAzureに開始されます。

主な機能

Defender for Containers には、Arc 対応 Kubernetes 環境に対して次の機能が用意されています。

• Kubernetes ノード、ワークロード、監査ログから収集されたランタイム シグナルに基づく脅威検出とアラート
• Kubernetes クラスターとワークロードのセキュリティ体制に関する分析情報
• Kubernetes のAzure Policyによるポリシーベースの構成評価