Kubernetes クラスター上で実行されているイメージの脆弱性を表示して修復する (セキュア スコア)
Note
このページでは、Defender for Cloud の脆弱性管理に対する従来のセキュリティ スコア アプローチについて説明します。 Defender CSPM を使用しているお客様は、新しいリスク ベースのアプローチ (Kubernetes クラスターで実行されているイメージの脆弱性を表示および修復する (リスクベース)) を使用する必要があります。
Defender for Cloud では、「実行中のコンテナー イメージでは脆弱性の検出結果が解決されている必要がある」という推薦事項を用いて、現在環境内で使用されているイメージの脆弱性を優先的に修復する機能が提供されています。
推奨事項に関する結果を提供するために、Defender for Cloud では、Kubernetes 用のエージェントレス検出または Defender センサーを使用して、Kubernetes クラスターとそのワークロードの完全なインベントリが作成され、そのインベントリがレジストリ イメージに対して作成された脆弱性レポートと関連付けられます。 この推奨事項には、実行中のコンテナーと、各コンテナーおよび修復手順で使用されるイメージに関連付けられた脆弱性が表示されます。
Defender for Cloud は、修復手順や関連する CVE などの関連情報を含む、調査結果と関連情報を推奨事項として提示します。 1 つまたは複数のサブスクリプション、あるいは特定のリソースで識別された脆弱性を表示することができます。
各推奨事項内で、リソースはタブにグループ化されています。
- 正常なリソース - 影響を受けていないか、既に問題を修正した関連するリソース。
- 異常なリソース - 特定された問題の影響を受けているリソース。
- 適用されないリソース - 推奨事項で明確な回答を得ることができないリソース。 [適用されないリソース] タブには、各リソースの理由も含まれています。
特定のクラスターの脆弱性を表示する
特定のクラスターの脆弱性を表示するには、次の操作を行います。
[推奨事項] ページを開きます。 新しいリスク ベースのページを開いている場合は、ページの上部にあるメニュー項目の [クラシック ビューに切り替える] を選択します。 サブレベルを開くには、> 矢印を使用します。 問題が見つかった場合は次の推奨事項が表示されます: 実行中のコンテナー イメージでは脆弱性を解決する必要があります (Powered by Microsoft Defender 脆弱性管理)。 推奨事項を選択します。
推奨事項の詳細ページが開き、Kubernetes クラスター ("影響を受けるリソース") の一覧が表示され、それらがワークロードで使用されているイメージに基づいて、正常、異常、適用できないものとして分類されます。 脆弱性を修復したい関連クラスターを選択します。
クラスターの詳細ページが開きます。 現在実行中のすべてのコンテナーが、それらのコンテナーによって使用されるイメージの脆弱性評価に基づいて 3 つのタブに分類されて一覧表示されます。 調査したい特定のコンテナーを選択します。
このペインには、コンテナーの脆弱性の一覧が含まれています。 各脆弱性を選択して、その脆弱性を解決します。
特定の脆弱性の影響を受けるコンテナー イメージを表示する
特定の脆弱性の検出結果を表示するには、次の操作を行います。
[推奨事項] ページを開き、> 矢印を使用してサブレベルを開きます。 問題が見つかった場合は次の推奨事項が表示されます: 実行中のコンテナー イメージでは脆弱性を解決する必要があります (Powered by Microsoft Defender 脆弱性管理)。 推奨事項を選択します。
追加情報を示した推奨事項の詳細ページが開きます。 この情報には、クラスターに影響を与える脆弱性の一覧が含まれます。 特定の脆弱性を選択します。
脆弱性の詳細ペインが開きます。 このペインには、脆弱性の詳細な説明、その脆弱性によって影響を受けるイメージ、脅威の軽減に役立つ外部リソースへのリンク、影響を受けるリソース、脆弱性の解決に役立つソフトウェア バージョンに関する情報が含まれます。
脆弱性の修復
次の手順を使用して、特定のクラスター内で、または特定の脆弱性に関して検出された影響を受ける各イメージを修復します。
- 推奨事項ウィンドウの修復セクションにある手順に従います。
- セキュリティの問題を修復するために必要な手順を完了したら、次のようにクラスター内の影響を受ける各イメージを置き換えるか、特定の脆弱性の影響を受ける各イメージを置き換えます。
- 修復の詳細に従って脆弱性を解決する新しいイメージ (各パッケージの更新プログラムを含む) をビルドします。
- 更新されたイメージをプッシュし、古いイメージを削除します。 前のイメージが結果から削除され、新しいイメージが結果に含まれるまで最大 24 時間かかる場合があります。
- 脆弱性のあるすべてのワークロードで新しいイメージを使用します。
- 推奨事項 実行中のコンテナー イメージでは脆弱性を解決する必要がありますの推奨事項ページを確認します。
- 推奨事項が引き続き表示され、対処済みのイメージが脆弱性のあるイメージの一覧にまだ表示されている場合は、修復手順をもう一度確認します。
次のステップ
- レジストリ イメージの脆弱性を表示して修復する方法を確認します。
- 詳細については、Defender for Cloud Defender プランに関する説明を参照してください