Kubernetes クラスター上で実行されているイメージの脆弱性を表示して修復する (セキュア スコア)

Note

このページでは、Defender for Cloud の脆弱性管理に対する従来のセキュリティ スコア アプローチについて説明します。 Defender CSPM を使用しているお客様は、新しいリスク ベースのアプローチ (Kubernetes クラスターで実行されているイメージの脆弱性を表示および修復する (リスクベース)) を使用する必要があります。

Defender for Cloud では、「実行中のコンテナー イメージでは脆弱性の検出結果が解決されている必要がある」という推薦事項を用いて、現在環境内で使用されているイメージの脆弱性を優先的に修復する機能が提供されています。

推奨事項に関する結果を提供するために、Defender for Cloud では、Kubernetes 用のエージェントレス検出または Defender センサーを使用して、Kubernetes クラスターとそのワークロードの完全なインベントリが作成され、そのインベントリがレジストリ イメージに対して作成された脆弱性レポートと関連付けられます。 この推奨事項には、実行中のコンテナーと、各コンテナーおよび修復手順で使用されるイメージに関連付けられた脆弱性が表示されます。

Defender for Cloud は、修復手順や関連する CVE などの関連情報を含む、調査結果と関連情報を推奨事項として提示します。 1 つまたは複数のサブスクリプション、あるいは特定のリソースで識別された脆弱性を表示することができます。

各推奨事項内で、リソースはタブにグループ化されています。

  • 正常なリソース - 影響を受けていないか、既に問題を修正した関連するリソース。
  • 異常なリソース - 特定された問題の影響を受けているリソース。
  • 適用されないリソース - 推奨事項で明確な回答を得ることができないリソース。 [適用されないリソース] タブには、各リソースの理由も含まれています。

特定のクラスターの脆弱性を表示する

特定のクラスターの脆弱性を表示するには、次の操作を行います。

  1. [推奨事項] ページを開きます。 新しいリスク ベースのページを開いている場合は、ページの上部にあるメニュー項目の [クラシック ビューに切り替える] を選択します。 サブレベルを開くには、> 矢印を使用します。 問題が見つかった場合は次の推奨事項が表示されます: 実行中のコンテナー イメージでは脆弱性を解決する必要があります (Powered by Microsoft Defender 脆弱性管理)。 推奨事項を選択します。

    実行中のコンテナー イメージでは脆弱性を解決する必要がありますという推奨事項の行を示すスクリーンショット。

  2. 推奨事項の詳細ページが開き、Kubernetes クラスター ("影響を受けるリソース") の一覧が表示され、それらがワークロードで使用されているイメージに基づいて、正常、異常、適用できないものとして分類されます。 脆弱性を修復したい関連クラスターを選択します。

    推奨事項に関する影響を受けるクラスターを示すスクリーンショット。

  3. クラスターの詳細ページが開きます。 現在実行中のすべてのコンテナーが、それらのコンテナーによって使用されるイメージの脆弱性評価に基づいて 3 つのタブに分類されて一覧表示されます。 調査したい特定のコンテナーを選択します。

    特定のコンテナーを選択する場所を示すスクリーンショット。

  4. このペインには、コンテナーの脆弱性の一覧が含まれています。 各脆弱性を選択して、その脆弱性を解決します

    コンテナーの脆弱性の一覧を示すスクリーンショット。

特定の脆弱性の影響を受けるコンテナー イメージを表示する

特定の脆弱性の検出結果を表示するには、次の操作を行います。

  1. [推奨事項] ページを開き、> 矢印を使用してサブレベルを開きます。 問題が見つかった場合は次の推奨事項が表示されます: 実行中のコンテナー イメージでは脆弱性を解決する必要があります (Powered by Microsoft Defender 脆弱性管理)。 推奨事項を選択します。

    実行中のコンテナー イメージでは脆弱性を解決する必要がありますという推奨事項の行を示すスクリーンショット。

  2. 追加情報を示した推奨事項の詳細ページが開きます。 この情報には、クラスターに影響を与える脆弱性の一覧が含まれます。 特定の脆弱性を選択します。

    コンテナー クラスターに影響を与える脆弱性の一覧を示すスクリーンショット。

  3. 脆弱性の詳細ペインが開きます。 このペインには、脆弱性の詳細な説明、その脆弱性によって影響を受けるイメージ、脅威の軽減に役立つ外部リソースへのリンク、影響を受けるリソース、脆弱性の解決に役立つソフトウェア バージョンに関する情報が含まれます。

    脆弱性によって影響を受けるコンテナー イメージの一覧を示すスクリーンショット。

脆弱性の修復

次の手順を使用して、特定のクラスター内で、または特定の脆弱性に関して検出された影響を受ける各イメージを修復します。

  1. 推奨事項ウィンドウの修復セクションにある手順に従います。
  2. セキュリティの問題を修復するために必要な手順を完了したら、次のようにクラスター内の影響を受ける各イメージを置き換えるか、特定の脆弱性の影響を受ける各イメージを置き換えます。
    1. 修復の詳細に従って脆弱性を解決する新しいイメージ (各パッケージの更新プログラムを含む) をビルドします。
    2. 更新されたイメージをプッシュし、古いイメージを削除します。 前のイメージが結果から削除され、新しいイメージが結果に含まれるまで最大 24 時間かかる場合があります。
    3. 脆弱性のあるすべてのワークロードで新しいイメージを使用します。
  3. 推奨事項 実行中のコンテナー イメージでは脆弱性を解決する必要がありますの推奨事項ページを確認します。
  4. 推奨事項が引き続き表示され、対処済みのイメージが脆弱性のあるイメージの一覧にまだ表示されている場合は、修復手順をもう一度確認します。

次のステップ