Kubernetes クラスターで実行されているコンテナーの脆弱性を表示および修復する (リスクベース)

Note

このページでは、Microsoft Defender for Cloud の脆弱性管理に対する新しいリスクベースのアプローチについて説明します。 Defender for Cloud のクラウド セキュリティ態勢管理 (CSPM) プランを使用している場合は、この方法を使用する必要があります。 従来のセキュリティ スコア アプローチを使用するには、「Kubernetes クラスターで実行されているイメージの脆弱性を表示および修復する (セキュリティ スコア)」を参照してください。

Defender for Cloud では、クラウド環境の脆弱性のコンテキスト リスク分析に基づいて、Kubernetes クラスターで実行されているコンテナーの脆弱性の修復に優先順位を付ける機能がお客様に提供されます。 この記事では、「Azure で実行されているコンテナーは脆弱性の調査結果が解決されている必要がある」推奨事項を確認します。 その他のクラウドについては、「Microsoft Defender 脆弱性の管理を使用した AWS の脆弱性評価」と「Microsoft Defender 脆弱性の管理を使用した GCP の脆弱性評価」を参照してください。

推奨事項に関する結果を提供するために、Defender for Cloud では、Kubernetes 用のエージェントレス検出または Defender センサーを使用して、Kubernetes クラスターとそのワークロードの完全なインベントリが作成され、そのインベントリがレジストリ イメージに対して作成された脆弱性レポートと関連付けられます。 この推奨事項には、実行中のコンテナーと、各コンテナーおよび修復手順で使用されるイメージに関連付けられた脆弱性が表示されます。

Defender for Cloud は、修復手順や関連する CVE などの関連情報を含む、調査結果と関連情報を推奨事項として提示します。 1 つまたは複数のサブスクリプション、あるいは特定のリソースで識別された脆弱性を表示することができます。

コンテナーの脆弱性を表示する

コンテナーの脆弱性を表示するには、次の操作を行います。

  1. Defender for Cloud で [推奨事項] ページを開きます。 新しいリスクベースのページが表示されていない場合は、上部のメニューで [リスク別の推奨事項] を選択します。 問題が見つかった場合は、推奨事項「Azur で実行されているコンテナーは脆弱性の調査結果が解決されている必要がある」が表示されます。 推奨事項を選択します。

    実行中のコンテナー イメージでは脆弱性を解決する必要がありますという推奨事項の行を示すスクリーンショット。

  2. 追加情報を示した推奨事項の詳細ページが開きます。 この情報には、脆弱なコンテナーと修復手順に関する詳細が含まれます。

    推奨事項に関する影響を受けるクラスターを示すスクリーンショット。

  3. [結果] タブを選択して、コンテナーに影響を与える脆弱性の一覧を表示します。

    脆弱性を含む [結果] タブを示すスクリーンショット。

  4. 脆弱性の詳細な説明、その脆弱性の影響を受ける追加のコンテナー、脆弱性の解決に役立つソフトウェア バージョンに関する情報、および脆弱性の修正プログラムの適用に役立つ外部リソースへのリンクについて、各脆弱性を選択します。

    コンテナーの脆弱性を示すスクリーンショット。

特定の脆弱性の影響を受けるすべてのコンテナーを見つけるには、推奨事項をタイトル別にグループ化します。 詳細については、タイトル別の推奨事項のグループ化に関するページを参照してください。

脆弱性を修復する方法については、「推奨事項の修復」を参照してください。

次のステップ