Defender for Containers を使用して Google Cloud Platform (GCP) コンテナーを保護する

Microsoft Defender for Cloud の Defender for Containers は、コンテナーをセキュリティで保護してクラスター、コンテナー、およびそれらのアプリケーションのセキュリティを向上、監視、保守できるようにする、クラウド ネイティブ ソリューションです。

詳細についてはMicrosoft Defender for Containers の概要を参照してください。

Defender for Storage の価格の詳細については、価格に関するページを参照してください。 Defender for Cloud コスト計算ツールを使用してコストを見積もることもできます。

[前提条件]

• Microsoft Azure サブスクリプションが必要です。 Azure サブスクリプションをお持ちでない場合は、無料サブスクリプションにサインアップすることができます。

• Azure サブスクリプションで Microsoft Defender for Cloud を有効にしている必要があります。

• GCP プロジェクトを Microsoft Defender for Cloud に接続します。

• Kubernetes ノードがパッケージ マネージャーのソース リポジトリにアクセスできることを確認します。

• 次の Azure Arc 対応 Kubernetes ネットワーク要件が検証されていることを確認します。

GCP プロジェクトで Defender for Containers プランを有効にする

Google Kubernetes Engine (GKE) クラスターを保護するには:

1. Azure portal にサインインします。

2. 「Microsoft Defender for Cloud」を検索して選択します。

3. Defender for Cloud のメニューで、[環境設定] を選択します。

4. 関連する GCP プロジェクトを選択します。

   

5. [ 次へ: プランの選択 ] ボタンを選択します。

6. コンテナー計画が [オン] に切り替わっていることを確認します。

   

7. プランのオプションの構成を変更するには、[設定] を選択してください。

   

   • エージェントレス脅威保護機能は、クラスター コンテナーのランタイム脅威保護を提供し、既定で有効になっています。 この構成は、GCP プロジェクト レベルでのみ利用可能です。 さらに分析するために、 GCP クラウド ログ を介して Microsoft Defender for Cloud バックエンドに対して、コントロール プレーン監査ログ データのエージェントレス コレクションを提供します。

     注

     この構成を無効にすると、 Threat detection (control plane)機能 は無効になります。 詳細については、機能の可用性 に関する情報を参照してください。

   • [Azure Arc 用に Defender のセンサーを自動プロビジョニングする] および [Azure Arc 用に Azure Policy 拡張機能を自動プロビジョニングする]: 既定で有効になっています。 GKE クラスターに、Azure Arc 対応 Kubernetes とその拡張機能をインストールするには、次の 3 つの方法があります。

     • このセクションの手順で説明されているように、プロジェクト レベルで Defender for Containers の自動プロビジョニングを有効にします。 これがお勧めしているメソッドです。
     • クラスターごとのインストールには、Defender for Cloud の推奨事項を使用します。 Microsoft Defender for Cloud の推奨事項ページに表示されます。 特定のクラスターにソリューションをデプロイする方法を確認してください。
     • Arc 対応 Kubernetes と拡張機能を手動でインストールします。

   • K8S API アクセス は、Kubernetes クラスターの API ベースの検出を許可するアクセス許可を設定します。 有効にするには、 K8S API アクセス のトグルを [オン] に設定します。

     注

     Kubernetes API アクセスには、Microsoft Defender for Cloud からインターネット経由でクラスターの API サーバーへの受信接続が必要です。 アクセス許可リストを使用してパブリック API エンドポイントを公開するクラスターの場合、Microsoft Defender for Cloud は、次の IP 範囲を許可リストに自動的に追加しようとします。 172.212.245.192/28

     48.209.1.192/28

   • レジストリ アクセス は、Google レジストリ (GAR および GCR) に格納されているイメージの脆弱性評価を許可するアクセス許可を設定します。 有効にするには、[ レジストリ アクセス ] トグルを [オン] に設定します。

8. [コピー] ボタンを選択します。

   

9. GCP Cloud Shell ボタンを選択します。

10. Cloud Shell ターミナルにスクリプトを貼り付けて実行します。

    スクリプトの実行後にコネクタが更新されます。 この処理には、最大で 6-8 時間かかることがあります。

11. [次: 確認と生成]> を選択します。

12. [更新] を選択します。

特定のクラスターにソリューションをデプロイする

GCP コネクタのオンボード処理中、またはそれ以降に、既定の自動プロビジョニング構成のいずれかを無効にした場合。 Defender for Containers から完全なセキュリティ値を取得するには、Azure Arc 対応 Kubernetes、Defender センサー、および Azure Policy for Kubernetes を各 GKE クラスターに手動でインストールする必要があります。

拡張機能 (および必要に応じて Arc) をインストールするために使用できる、2 つの専用 Defender for Cloud の推奨事項があります。

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

特定のクラスターにソリューションをデプロイするには:

1. Azure portal にサインインします。

2. 「Microsoft Defender for Cloud」を検索して選択します。

3. [Defender for Cloud] メニューの [ 推奨事項] を選択します。

4. Defender for Cloud の [推奨事項] ページで、上記の推奨事項をそれぞれ名前で検索します。

   

5. 正常ではない GKE クラスターを選択します。

   Von Bedeutung

   クラスターは一度に 1 つずつ選択する必要があります。

   ハイパーリンクされた名前のクラスターを選択するのではなく、関連する行の他の場所を選択してください。

6. 正常ではないリソースの名前を選択します。

7. [修正] を選択します。

   

8. Defender for Cloud によって、ユーザーが選択した言語でスクリプトが生成されます。

   • Linux の場合は、[Bash] を選択します。
   • Windows の場合は、[PowerShell] を選択します。

9. [修復ロジックをダウンロードする] を選択します。

10. 生成されたスクリプトをクラスターで実行します。

11. 2 番目の推奨事項について、手順 3 から 10 を繰り返します。

次のステップ

• Defender for Containers の高度な有効化機能については、「Microsoft Defender for Containers を有効にする」ページを参照してください。

• Microsoft Defender for Containers の概要