AKS セキュリティ ダッシュボードには、Microsoft Defender for CloudのAzure Kubernetes Service (AKS) クラスターのセキュリティ結果が表示されます。
これには、問題の特定と優先順位付けに役立つアラート、脆弱性、構成ミス、コンプライアンス結果が含まれます。
前提条件
AKS セキュリティ ダッシュボードを使用するには、次のことを確認します。
Microsoft Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、無料サブスクリプションにサインアップ。
Microsoft Defender for Cloud次のいずれかのプランで有効になります。
セキュリティの結果を確認する
セキュリティのアラート
セキュリティ アラートは、疑わしいアクティビティまたはクラスターで検出された潜在的な脅威を示します。
アラートは重大度によって優先順位付けされ、最初に調査する問題を特定するのに役立ちます。
- 高 リソースが侵害される可能性が高い。 直ちに調査します。
- 中 侵害を示す可能性のある疑わしい活動を示しています。
- 低 無害またはブロックされたアクティビティを示している可能性があります。
- 情報 コンテキストを提供し、他のアラートと関連付ける場合に関連する可能性があります。
セキュリティ アラートを調査する
Azure ポータルにサインインします。
Kubernetes サービス>クラスターに移動します。
関連する AKS クラスターを選択します。
Microsoft Defender for Cloud を選択します。
[ セキュリティ アラート ] タブで、アラートを選択して詳細ウィンドウを開きます。
詳細ウィンドウで、次の操作を行います。
- アラートの詳細と推奨される修復手順を確認します。
- 関連エンティティを使用して、影響を受けるリソースを識別します。
- [ ログを開く ] を選択して、関連する期間内のアクティビティを調査します。
- アラートが組織に関連しない場合は、抑制ルールを作成します。
- サポートされているアラートの種類のセキュリティ規則を構成します。
問題を軽減したら、アラートの状態を更新します。
![アラートの詳細を示す [セキュリティ アラート] タブのスクリーンショット。](media/cluster-security-dashboard/alerts-tab-security-findings.png#lightbox)
脆弱性評価
脆弱性評価セクションには、コンテナー イメージと Kubernetes ノード プールを実行するための脆弱性が示されています。
結果は重大度によって優先順位が付けられます。 Defender CSPMが有効になっている場合、優先順位付けではコンテキストリスクシグナルも考慮されます。
各結果には、影響を受けるパッケージ、関連する CVE、および問題を修復するための固定バージョンが含まれます。
脆弱性には、次のものが含まれます。
- OS パッケージ (Linux および Windows)
- 言語固有のパッケージ (Linux)
サポートされている構成については、「コンテナ用ディフェンダー」のサポートマトリックスを参照してください。
脆弱性の結果を確認する
Azure ポータルにサインインします。
Kubernetes サービス>クラスターに移動します。
関連する AKS クラスターを選択します。
Microsoft Defender for Cloud を選択します。
[ 脆弱性 ] タブで、コンポーネントを選択して詳細ウィンドウを開きます。
詳細ウィンドウで、次の操作を行います。
- 影響を受けるパッケージと関連する CVE を確認します。
- 脆弱なパッケージの固定バージョンを特定します。
- 問題を修復するために、コンテナー イメージまたは依存関係を更新します。
予想される脆弱性が表示されない場合は、イメージ、パッケージの種類、環境がサポートされていることを確認します。 Defender for Containers のサポートマトリックスを参照してください。
![脆弱なコンポーネントと重大度を示す [脆弱性] タブのスクリーンショット。](media/cluster-security-dashboard/vulnerabilities-assessment-tab.png#lightbox)
構成の誤り
構成ミスにより、Kubernetes リソース、クラスター設定、および実行中のワークロードのセキュリティ構成の問題が特定されます。
結果は、Azure Policyと Kubernetes の構成評価に基づいています。
各結果には、修復ガイダンスが含まれています。 一部の調査結果では、 クイック修正 またはポリシーの適用による自動修復がサポートされています。
構成ミスを確認して修復する
Azure ポータルにサインインします。
Kubernetes サービス>クラスターに移動します。
関連する AKS クラスターを選択します。
Microsoft Defender for Cloud を選択します。
[ 構成の誤り ] タブで、検索結果を選択して詳細ウィンドウを開きます。
詳細ウィンドウで、次の操作を行います。
- 説明と修復手順を確認します。
- クラスター レベルの構成ミスについては、使用可能な場合 は [クイック修正 ] を選択します。
- ワークロードの問題の場合は、推奨されるAzure Policyを適用して、繰り返しを防ぎます。
- 修復を追跡する所有者を割り当てます (Defender CSPMが必要)。
![セキュリティ構成の問題が表示されている [構成の誤り] タブのスクリーンショット。](media/cluster-security-dashboard/misconfigurations-assessment-tab.png#lightbox)
コンプライアンス
コンプライアンス セクションには、規制基準とベンチマークに対するクラスターの状態が表示されます。
クラスターが満たしていないコントロールが一覧表示され、修復に役立つ推奨事項が示されます。
コンプライアンスを評価する
Azure ポータルにサインインします。
Kubernetes サービス>クラスターに移動します。
関連する AKS クラスターを選択します。
Microsoft Defender for Cloud を選択します。
[ コンプライアンス ] タブで、失敗したコントロールを確認します。
コントロールを選択して詳細ウィンドウを開きます。
詳細ウィンドウで、次の操作を行います。
- 推奨事項と修復手順を確認します。
- コントロールを満たすために必要な変更を適用します。
![規制コンプライアンス評価の結果を示す [コンプライアンス] タブのスクリーンショット。](media/cluster-security-dashboard/compliance-standards-tab.png#lightbox)