サーバーレス コンテナー ワークロードの検出と配置 (プレビュー)

Microsoft Defender for Cloudでのサーバーレス コンテナー ワークロードの検出と配置は、ホスト レベルのエージェントが使用できないサーバーレス コンテナー環境でのリスクの評価と優先順位付けに役立ちます。

Defender クラウド セキュリティ態勢管理 (Defender CSPM) では、この機能により、セキュリティ態勢管理の対象範囲がサポート対象のサーバーレス コンテナー リソースまで拡張され、検出結果が、すでに利用しているものと同じエクスペリエンスに表示されます。 これらのエクスペリエンスには、インベントリ、推奨事項、攻撃パス分析が含まれます。 この可視性は、チームが公開されているワークロードを見つけ、より広範なリスクを理解し、最も重要な問題に焦点を当てるのに役立ちます。

Note

プレビュー版では、サーバーレス コンテナのセキュリティ態勢で次がサポートされます。

  • Azure Container Apps (ACA)
  • Azure コンテナー インスタンス (ACI)
  • AWS Fargate の Amazon Elastic Container Service (ECS)

サーバーレス コンテナー ワークロードの検出と体制とは

サーバーレス コンテナー ワークロードの検出と配置により、Defender CSPM機能がサーバーレス コンテナー プラットフォームに拡張されます。 検出されたリソース、構成の誤った結果、脆弱性評価の結果、サポートされているワークロードの攻撃パス コンテキストの統一されたビューが提供されます。

この機能は現在プレビュー段階であり、検出とセキュリティ体制に重点を置いています。 これは、ランタイムとホストのテレメトリがプラットフォームの抽象化によって制限されるサーバーレス コンテナー環境向けに設計されています。

要件と可用性

サーバーレス コンテナー ワークロードで検出機能とセキュリティ体制を使用するには:

  • Defender CSPM を有効にします。
  • サポートされているワークロードが接続環境に存在することを確認します。
  • 必要なアクセス許可を持つロールを使用します。
    • セキュリティ閲覧者 で検出結果とポスチャ状態を表示する
    • 設定を変更し、除外を管理するセキュリティ管理者
  • 商用クラウドのみを使用します。 このプレビューでは、Azureと AWS がサポートされており、ソブリン クラウドまたは国内クラウドでは使用できません。

クラウドとプラットフォームの可用性の詳細については、次を参照してください。

主な機能

Serverless Containers 向け Posture では、プレビュー版で次の機能を提供します。

  • サポートされているサーバーレス コンテナー リソースのインベントリの可視性。
  • イメージとコントロール プレーン コンテキストから派生した構成の誤った結果と脆弱性評価の結果に関するセキュリティに関する推奨事項。
  • リスクの高いリレーションシップと露出パスの優先順位付けに役立つ攻撃パス分析。

サーバーレス コンテナーの体制のしくみ

Defender CSPM設定でサーバーレス コンテナー コンポーネントを有効にすると、Defender for Cloudはサポートされているサーバーレス コンテナー リソースの評価を開始します。 初回の反映には、最大24時間かかる場合があります。

有効化の手順については、「protect resources with Defender CSPM」を参照してください。

Inventory

Defender for Cloudは、サポートされているサーバーレス コンテナー リソースを検出し、それらをインベントリ ビューに表示して、リソースの存在とカバレッジを理解できるようにします。

AWS Fargate リソースのAzure Container Apps、Azure Container Instances、Amazon ECS など、サーバーレスコンテナーにフィルター処理されたクラウド資産インベントリ ビューを示すスクリーンショット。

結果をフィルター処理したら、リソースを選択して、アクティブなセキュリティの推奨事項とその重大度レベルなど、セキュリティ体制に関する詳細を表示します。

サーバーレス コンテナー ワークロードのリソースの詳細ページ (ポスチャ状態、アクティブな推奨事項、重大度インジケーターなど) を示すスクリーンショット。

推奨事項

Defender for Cloud は、コントロール プレーンの構成シグナルとコンテナー イメージのメタデータ(該当する場合は脆弱性評価の検出結果を含む)に基づいて、セキュリティ体制に関する推奨事項を生成します。

推奨事項の名前、重大度レベル、影響を受けるリソース数を含む、サーバーレス コンテナー リソースにフィルター処理された推奨事項ページを示すスクリーンショット。

結果を修復するには、 Microsoft Defender for Cloudを参照してください。

攻撃パス分析

Defender for Cloudは、サポートされている結果を攻撃パスに関連付け、リスク伝達の可能性に基づいて修復に優先順位を付けるのに役立ちます。

接続された公開されたリソースやリスク伝達パスなど、サーバーレス コンテナーにフィルター処理された攻撃パス分析ビューを示すスクリーンショット。

攻撃パスを調査する方法については、「攻撃 パス分析を管理する方法」を参照してください。

クラウド セキュリティ エクスプローラー

Defender for Cloudの Cloud Security Explorer には、サーバーレス コンテナーのセキュリティ体制を分析できる高度なフィルター処理とクエリ機能が用意されています。 カスタム クエリを作成して、ワークロード全体の特定の構成ミスや脆弱性を特定できます。

Cloud Security Explorer のクエリ ビューを示すスクリーンショット。サーバーレス コンテナーポスチャの結果に対するフィルターとクエリ結果が表示されています。

Cloud Security Explorer を使用してクエリを作成する方法について説明します。

Limitations

プレビュー段階では、サーバーレス コンテナー向けの Posture には次の制限があります。

  • ポスチャのみが対象。 実行時の脅威検出とアクティブな応答は含まれません。
  • 分析情報は、コントロール プレーン信号と画像メタデータに基づいています。 ホストプロセスとランタイムプロセステレメトリは使用されません。
  • 可用性は、Azure および AWS クラウドでサポートされているワークロードに限定されます。

関連するコンテンツ

  • Last updated on