Microsoft Defender for Cloud の Defender for Containers は、コンテナーをセキュリティで保護してクラスター、コンテナー、およびそれらのアプリケーションのセキュリティを向上、監視、保守できるようにする、クラウド ネイティブ ソリューションです。
詳細についてはMicrosoft Defender for Containers の概要を参照してください。
Defender for Container の価格の詳細については、価格に関するページを参照してください。 Defender for Cloud コスト計算ツールを使用してコストを見積もることもできます。
前提条件
Microsoft Azure サブスクリプションが必要です。 Azure サブスクリプションをお持ちでない場合は、無料サブスクリプションにサインアップすることができます。
Azure サブスクリプションで Microsoft Defender for Cloud を有効にしている必要があります。
Kubernetes ノードがパッケージ マネージャーのソース リポジトリにアクセスできることを確認します。 要件の詳細については、「ネットワーク要件」を参照してください。
次の Azure Arc 対応 Kubernetes ネットワーク要件が検証されていることを確認します。
AWS アカウントで Defender for Containers プランを有効にする
EKS クラスターを保護するには、関連する AWS アカウント コネクタでコンテナー計画を有効にする必要があります。
AWS アカウントで Defender for Containers プランを有効にするには、次を行います。
Azure portal にサインインします。
「Microsoft Defender for Cloud」を検索して選択します。
Defender for Cloud のメニューで、[環境設定] を選択します。
関連する AWS アカウントを選択します。
[コンテナー] プランのトグル を [On (オン)] に設定します。
プランのオプションの構成を変更するには、[設定] を選択してください。
エージェントレス脅威保護機能は、クラスター コンテナーにランタイム保護を提供します。 この機能により、Kubernetes 監査ログが Microsoft Defender に送信されます。 [エージェントレス脅威保護] トグルを [オン] に設定し、監査ログの保持期間を設定します。
注
この構成を無効にすると、
Threat detection (control plane)機能 は無効になります。 詳細については、機能の可用性 に関する情報を参照してください。K8S API アクセス は、Kubernetes クラスターの API ベースの検出を許可するアクセス許可を設定します。 有効にするには、 K8S API アクセス のトグルを [オン] に設定します。
注
EKS クラスターのパブリック エンドポイントが制限されている場合、クラスターの設定は自動的に更新され、Microsoft Defender for Cloud の CIDR ブロックが含まれます。 Defender for Cloud では、172.212.245.192/28、48.209.1.192/28 の IP 範囲から Kubernetes API サーバーへのアクセスを許可する必要があります。
レジストリ アクセスは、 ECR に格納されているイメージの脆弱性評価を許可するアクセス許可を設定します。 有効にするには、[ レジストリ アクセス ] トグルを [オン] に設定します。
[Next : Review and update](次: 確認と生成) を選択します。
[更新] を選択します。
注
グローバルまたは特定のリソースに対して個々の Defender for Containers 機能を有効または無効にするには、「Microsoft Defender for Containers コンポーネントを有効にする方法」を参照してください。
EKS クラスターで Defender センサーをデプロイする
重要
Helm を使用した Defender センサーの展開: 自動プロビジョニングおよび自動的に更新される他のオプションとは異なり、Helm では Defender センサーを柔軟に展開できます。 このアプローチは、DevOps とコードとしてのインフラストラクチャのシナリオで特に役立ちます。 Helm を使用すると、CI/CD パイプラインにデプロイを統合し、すべてのセンサー更新を制御できます。 プレビューバージョンと GA バージョンを受け取ることもできます。 Helm を使用して Defender センサーをインストールする手順については、「Helm を使用した Defender for Containers センサーのインストール」を参照してください。
Azure Arc 対応 Kubernetes、Defender センサー、Kubernetes 用 Azure Policy がインストールされ、EKS クラスターで実行されている必要があります。 これらの拡張機能 (および必要に応じて Azure Arc) をインストールするために使用できる、Defender for Cloud 専用の推奨事項があります。
EKS clusters should have Microsoft Defender's extension for Azure Arc installed
必要な拡張機能を更新するには、次を行います。
Defender for Cloud の [推奨事項] ページで、いずれかの推奨事項を名前で検索します。
異常なイメージを選択します。
重要
クラスターは一度に 1 つずつ選択する必要があります。
ハイパーリンクされた名前のクラスターを選択するのではなく、関連する行の他の場所を選択してください。
[修正プログラム] を選択します。
Defender for Cloud によって、ユーザーが選択した言語でスクリプトが生成されます。
- Linux の場合は、[Bash] を選択します。
- Windows の場合は、[PowerShell] を選択します。
[Download remediation logic (修復ロジックをダウンロード)] を選択します。
生成されたスクリプトをクラスターで実行します。
次のステップ
Defender for Containers の高度な有効化機能については、「Microsoft Defender for Containers を有効にする」ページを参照してください。