ポータルを使用して AKS で Defender for Containers を有効にする

この記事では、Azure portal を使用して Azure Kubernetes Service (AKS) クラスターで Microsoft Defender for Containers を有効にする方法について説明します。 包括的な保護のためにすべてのセキュリティ機能を一度に有効にするか、要件に基づいて特定のコンポーネントを選択的にデプロイするかを選択できます。

このガイドを使用する場合

次の操作を行う場合は、このガイドを使用します。

• 初めて Azure に Defender for Containers を設定する
• 包括的な保護のためにすべてのセキュリティ機能を有効にする
• 特定のコンポーネントを選択的にデプロイする
• 不足しているコンポーネントを修正または既存のデプロイに追加する
• 保護から特定のクラスターを除外する

[前提条件]

ネットワークの要件

Defender センサーは、セキュリティ データとイベントを送信するために Microsoft Defender for Cloud に接続する必要があります。 必要なエンドポイントが送信アクセス用に構成されていることを確認します。

接続の要件

Defender センサーには、次の接続が必要です。

• Microsoft Defender for Cloud (セキュリティ データとイベントの送信用)

既定で、AKS クラスターは、送信 (エグレス) インターネット アクセスが無制限です。

エグレスが制限されたクラスターでは、Microsoft Defender for Containers の特定の FQDN が正常に機能することを許可する必要があります。 必要なエンドポイントについては、AKS 送信ネットワークドキュメントの 「Microsoft Defender for Containers - Required FQDN/application rules 」を参照してください。

プライベート リンクの構成

手順については、 Microsoft Defender for Cloud の Microsoft Security Private Link を参照してください。

Defender for Containers プランを有効にする

まず、サブスクリプションで Defender for Containers プランを有効にします。

1. Azure portal にサインインします。

2. 「Microsoft Defender for Cloud」を参照してください。

3. 左側のメニューで、[ 環境設定] を選択します。

4. AKS クラスターが配置されているサブスクリプションを選択します。

5. [Defender プラン] ページで、[ コンテナー ] 行を見つけて、状態を [オン] に切り替えます。

   

プラン コンポーネントを構成する

プランを有効にしたら、コンポーネントを確認して構成します。 既定では、Defender for Containers プランを有効にすると、すべてのコンポーネントが有効になります。

1. [コンテナー プラン] 行で [設定] を 選択します。

2. [設定] には、使用可能なすべてのコンポーネントが表示されます。

3. 既定で有効になっているコンポーネントを確認します。

   • マシンのエージェントレス スキャン - エージェントに依存したり、マシンのパフォーマンスに影響を与えたりすることなく、インストールされているソフトウェア、脆弱性、シークレット スキャンについてマシンをスキャンします
   • Defender センサー - 各ワーカー ノードに展開され、実行時の脅威保護に必要なセキュリティ関連データを収集します
   • Azure Policy - Kubernetes クラスターにエージェントとしてデプロイされます。 Kubernetes データ プレーンのセキュリティ強化を提供します
   • Kubernetes API アクセス - エージェントレス コンテナーの体制、ランタイムの脆弱性評価、応答アクションに必要
   • レジストリ アクセス - レジストリ イメージのエージェントレス脆弱性評価を有効にします

   

4. 次のようにすることができます。

   • すべてのコンポーネントを有効のままにする (包括的な保護に推奨)
   • 不要な特定のコンポーネントを無効にする
   • 以前に無効にした場合は、コンポーネントを再度有効にする

5. 続行を選択します。

6. 監視対象範囲ページを確認して、保護されているリソースを確認します。

7. 続行を選択します。

8. 構成の概要を確認し、[ 保存] を選択します。

ロールとアクセス許可

Defender for Containers の拡張機能のプロビジョニングに使用されるロールの詳細を確認してください。

デプロイの進行状況を監視する

変更を保存すると、選択したコンポーネントの AKS クラスターへのデプロイが Defender for Cloud によって自動的に開始されます。

1. [Microsoft Defender for Cloud]>[推奨事項] の順に移動します。

2. リソースの種類 = Kubernetes サービスで推奨事項をフィルター処理します。

3. 次の主要な推奨事項を探します。

   • "Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある"
   • "Kubernetes 用の Azure Policy をクラスターにインストールして有効にする必要がある"

4. 各推奨事項を選択して、影響を受けるリソースと修復の進行状況を確認します。

Defender センサーをデプロイする

Defender センサー設定を有効にすると、サブスクリプション内のすべての AKS クラスターに自動的にデプロイされます。 自動展開を無効にした場合は、次の方法を使用してセンサーを手動でデプロイできます。

選択した AKS クラスターのグループにデプロイする

1. [Microsoft Defender for Cloud]>[推奨事項] の順に移動します。

2. "Azure Kubernetes Service クラスターで Defender プロファイルが有効になっている必要があります" を検索して選択します。

   

3. センサーを必要とする AKS クラスターを選択します。

4. [修正] を選択します。

   

5. デプロイ構成を確認します。

6. Xリソースの修正を選択してデプロイします。

特定の AKS クラスターにデプロイする

Defender センサーを特定の AKS クラスターにデプロイするには:

1. Azure portal で、AKS クラスターに移動します。

2. クラスター名の下の左側のメニューで、 Microsoft Defender for Cloud を選択します。

3. クラスターの Microsoft Defender for Cloud ページで、上部の行で [設定] を選択し、 Defender センサー の行を見つけて 、[オン] に切り替えます。

   

4. 保存 を選択します。

特定のクラスターを除外する (省略可能)

タグを適用することで、自動プロビジョニングから特定の AKS クラスターを除外できます。

1. AKS クラスターに移動します。

2. [ 概要] で、[タグ] を選択 します。

3. 次のタグを追加します。

• Defender センサーの場合: ms_defender_container_exclude_sensors = true

継続的なセキュリティを監視する

セットアップ後、定期的に次の手順を実行します。

1. 脆弱性の管理 - コンテナー イメージの脆弱性スキャンの結果を確認する
2. 推奨事項の確認 - AKS クラスターで特定されたセキュリティの問題に対処する
3. アラートの調査 - Defender センサーによって検出された実行時の脅威に対応する
4. コンプライアンスの追跡 - セキュリティ標準とベンチマークへの準拠を監視する

リソースをクリーンアップする

Defender for Containers を無効にし、AKS クラスターからデプロイされたすべてのコンポーネントを削除するには、「 Azure (AKS) から Defender for Containers を削除する」を参照してください。

次のステップ

• デプロイを確認する

• Defender for Containers の詳細設定を構成する

• 実行時のセキュリティ アラートを調査して対応する

• 脆弱性の調査結果を確認して修復する