Defender for Cloud でのコンテナー サポート マトリックス

注意事項

この記事では、2024 年 6 月 30 日にサポート終了 (EOL) になる Linux ディストリビューションである CentOS について説明します。 適宜、使用と計画を検討してください。 詳細については、「CentOS のサポート終了に関するガイダンス」を参照してください。

この記事には、Microsoft Defender for Cloud でのコンテナー機能のサポート情報がまとめられています。

Note

  • 具体的な機能はプレビュー段階です。 Microsoft Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される他の法律条項が含まれています。
  • Defender for Cloud では、クラウド ベンダーによってサポートされる AKS、EKS、GKE のバージョンのみが正式にサポートされます。

Azure

Defender for Containers 内の各ドメインの機能を次に示します。

セキュリティ体制管理

特徴量 説明 サポートされているリソース Linux リリース状態 Windows リリース状態 有効化方法 センサー プラン Azure クラウドの可用性
Kubernetes のエージェントレス検出 Kubernetes のクラスター、その構成とデプロイが、フットプリントがゼロの API ベースで検出されます。 AKS GA GA [Kubernetes のエージェントレス検出] トグルを有効にする エージェントレス Defender for Containers または Defender CSPM Azure 商用クラウド
包括的なインベントリ機能 セキュリティ エクスプローラーを使用してリソース、ポッド、サービス、リポジトリ、イメージ、および構成を探索し、資産を簡単に監視および管理できます。 ACR、AKS GA GA [Kubernetes のエージェントレス検出] トグルを有効にする エージェントレス Defender for Containers または Defender CSPM Azure 商用クラウド
攻撃パス分析 クラウド セキュリティ グラフをスキャンする、グラフ ベースのアルゴリズム。 このスキャンは、ご利用の環境を攻撃者が侵害するために使用する恐れのある、悪用可能なパスを明らかにします。 ACR、AKS GA GA プランでアクティブ化済み エージェントレス Defender CSPM (Kubernetes のエージェントレス検出を有効にする必要があります) Azure 商用クラウド
強化されたリスク ハンティング セキュリティ管理者は、セキュリティ エクスプローラーのクエリ (組み込みおよびカスタム) とセキュリティ分析情報を使用して、コンテナー化された資産にある態勢の問題を積極的に検出できます。 ACR、AKS GA GA [Kubernetes のエージェントレス検出] トグルを有効にする エージェントレス Defender for Containers または Defender CSPM Azure 商用クラウド
コントロール プレーンのセキュリティ強化 クラスターの構成を継続的に評価し、それらを、サブスクリプションに適用されているイニシアチブと比較します。 構成ミスが見つかると、Defender for Cloud の [レコメンデーション] ページには、使用できるセキュリティに関する推奨事項が生成されます。 レコメンデーションを使用すると、問題を調査して修復できます。 ACR、AKS GA GA プランでアクティブ化済み エージェントレス Free 商用クラウド

ナショナル クラウド: Azure Government、21Vianet が運営する Azure
Kubernetes データ プレーンのセキュリティ強化 Kubernetes コンテナーのワークロードをベスト プラクティスの推奨事項で保護します。 AKS GA - [Azure Policy for Kubernetes] トグルを有効にする Azure Policy Free 商用クラウド

ナショナル クラウド: Azure Government、21Vianet が運営する Azure
Docker CIS Docker CIS ベンチマーク VM、仮想マシン スケール セット GA - プランで有効化済み Log Analytics エージェント Defender for Servers プラン 2 商用クラウド

ナショナル クラウド: Azure Government、21Vianet が運営する Microsoft Azure

脆弱性評価

特徴量 説明 サポートされているリソース Linux リリース状態 Windows リリース状態 有効化方法 センサー プラン Azure クラウドの可用性
エージェントレス レジストリ スキャン (Powered by Microsoft Defender 脆弱性の管理) でサポートされるパッケージ ACR における画像の脆弱性評価 ACR、プライベート ACR GA GA [エージェントレス コンテナーの脆弱性評価] トグルを有効にする エージェントレス Defender for Containers または Defender CSPM 商用クラウド

ナショナル クラウド: Azure Government、21Vianet が運営する Azure
エージェントレス/エージェント ベースのランタイム (Powered by Microsoft Defender 脆弱性の管理) でサポートされるパッケージ AKS で実行中の画像の脆弱性評価 AKS GA GA [エージェントレス コンテナーの脆弱性評価] トグルを有効にする エージェントレス (Kubernetes のエージェントレス検出が必要) または/および Defender センサー Defender for Containers または Defender CSPM 商用クラウド

ナショナル クラウド: Azure Government、21Vianet が運営する Azure

ランタイム脅威防止

特徴量 説明 サポートされているリソース Linux リリース状態 Windows リリース状態 有効化方法 センサー プラン Azure クラウドの可用性
コントロール プレーン Kubernetes の監査証跡に基づく Kubernetes の疑わしいアクティビティの検出 AKS GA GA プランで有効化済み エージェントレス Defender for Containers 商用クラウド

ナショナル クラウド: Azure Government、21Vianet が運営する Azure
ワークロード クラスター レベル、ノード レベル、ワークロード レベルでの Kubernetes の疑わしいアクティビティの検出 AKS GA - [Azure 内の Defender センサー] トグルを有効にするまたは個々のクラスター上に Defender センサートをデプロイする Defender センサー Defender for Containers 商用クラウド

各国のクラウド: Azure Government、Azure China 21Vianet

デプロイと監視

特徴量 説明 サポートされているリソース Linux リリース状態 Windows リリース状態 有効化方法 センサー プラン Azure クラウドの可用性
保護されていないクラスターの検出 Defender センサーが見つからない Kubernetes クラスターの検出 AKS GA GA プランで有効化済み エージェントレス Free 商用クラウド

ナショナル クラウド: Azure Government、21Vianet が運営する Azure
Defender センサーの自動プロビジョニング Defender センサーの自動デプロイ AKS GA - [Azure 内の Defender センサー] トグルを有効にする エージェントレス Defender for Containers 商用クラウド

ナショナル クラウド: Azure Government、21Vianet が運営する Azure
Kubernetes 用 Azure Policy の自動プロビジョニング Kubernetes 用 Azure Policy センサーの自動デプロイ AKS GA - [Azure Policy for Kubernetes] トグルを有効にする エージェントレス Free 商用クラウド

ナショナル クラウド: Azure Government、21Vianet が運営する Azure

Azure のレジストリとイメージのサポート - 脆弱性評価 Powered by Microsoft Defender 脆弱性の管理

側面 詳細
レジストリとイメージ サポートあり
• ACR レジストリ
Azure Private Link で保護された ACR レジストリ (プライベート レジストリには信頼されたサービスへのアクセス権が必要)
• Docker V2 形式のコンテナー イメージ
Open Container Initiative (OCI) のイメージ形式の仕様のイメージ
サポート対象外
Docker scratch イメージなどのスーパーミニマリスト イメージ
現在はサポートされていません
オペレーティング システム サポートあり
• Alpine Linux 3.12 から 3.19
• Red Hat Enterprise Linux 6 - 9
• CentOS 6-9。 (CentOS は、2024 年 6 月 30 日にサポート終了 (EOL) になります。 詳細については、「CentOS のサポート終了に関するガイダンス」を参照してください。)
• Oracle Linux 6 - 9
Amazon Linux 1, 2
• openSUSE Leap、openSUSE Tumbleweed
• SUSE Enterprise Linux 11 - 15
• Debian GNU/Linux 7 - 12
• Google Distroless (Debian GNU/Linux 7-12 ベース)
• Ubuntu 12.04 - 22.04
• Fedora 31 - 37
• Mariner 1 - 2
• Windows Server 2016、2019、2022
言語固有のパッケージ

サポートあり
• Python
• Node.js
• .NET
• JAVA
• Go

Azure 用の Kubernetes ディストリビューションと構成 - ランタイムの脅威に対する保護

側面 詳細
Kubernetes ディストリビューションと構成 サポートあり
Azure Kubernetes Service (AKS)Kubernetes RBAC

Arc 対応 Kubernetes を介してサポートされます 1 2
Azure Kubernetes Service ハイブリッド
Kubernetes
AKS エンジン
Azure Red Hat OpenShift

1 Cloud Native Computing Foundation (CNCF) 認定 Kubernetes クラスターはすべてサポートされますが、指定されたクラスターのみが Azure でテストされています。

2Microsoft Defender for Containers で環境を保護するには、Azure Arc 対応 Kubernetes をオンボードし、Defender for Containers を Arc 拡張機能として有効にする必要があります。

Note

Kubernetes ワークロード保護のその他の要件については、既存の制限事項に関する記事を参照してください。

AWS

Domain 特徴量 サポートされているリソース Linux リリース状態 Windows リリース状態 エージェントレス/センサー ベース 価格レベル
セキュリティ体制管理 Kubernetes のエージェントレス検出 EKS GA GA エージェントレス Defender for Containers または Defender CSPM
セキュリティ体制管理 包括的なインベントリ機能 ECR、EKS GA GA エージェントレス Defender for Containers または Defender CSPM
セキュリティ体制管理 攻撃パス分析 ECR、EKS GA GA エージェントレス Defender CSPM
セキュリティ体制管理 強化されたリスク ハンティング ECR、EKS GA GA エージェントレス Defender for Containers または Defender CSPM
セキュリティ体制管理 Docker CIS EC2 GA - Log Analytics エージェント Defender for Servers プラン 2
セキュリティ体制管理 コントロール プレーンのセキュリティ強化 - - - - -
セキュリティ体制管理 Kubernetes データ プレーンのセキュリティ強化 EKS GA - Kubernetes 用の Azure Policy Defender for Containers
脆弱性評価 エージェントレス レジストリ スキャン (Powered by Microsoft Defender 脆弱性の管理) でサポートされるパッケージ ECR GA GA エージェントレス Defender for Containers または Defender CSPM
脆弱性評価 エージェントレス/センサー ベースのランタイム (Microsoft Defender 脆弱性の管理を利用) でサポートされるパッケージ EKS GA GA エージェントレスまたは/および Defender センサー Defender for Containers または Defender CSPM
実行時の保護 コントロール プレーン EKS GA GA エージェントレス Defender for Containers
実行時の保護 ワークロード EKS GA - Defender センサー Defender for Containers
デプロイと監視 保護されていないクラスターの検出 EKS GA GA エージェントレス Defender for Containers
デプロイと監視 Defender センサーの自動プロビジョニング EKS GA - - -
デプロイと監視 Kubernetes 用 Azure Policy の自動プロビジョニング EKS GA - - -

AWS のレジストリとイメージのサポート - 脆弱性評価 Powered by Microsoft Defender 脆弱性の管理

側面 詳細
レジストリとイメージ サポートあり
• ECR レジストリ
• Docker V2 形式のコンテナー イメージ
Open Container Initiative (OCI) のイメージ形式の仕様のイメージ
サポート対象外
Docker スクラッチ イメージなど、極めて最小限のイメージは現在サポートされていません
• パブリック リポジトリ
• マニフェスト リスト
オペレーティング システム サポートあり
• Alpine Linux 3.12 から 3.19
• Red Hat Enterprise Linux 6 - 9
• CentOS 6 から 9 (CentOS は 2024 年 6 月 30 日にサポート終了 (EOL) になります)。 詳細については、「CentOS のサポート終了に関するガイダンス」を参照してください。)
• Oracle Linux 6 - 9
Amazon Linux 1, 2
• openSUSE Leap、openSUSE Tumbleweed
• SUSE Enterprise Linux 11 - 15
• Debian GNU/Linux 7 - 12
• Google Distroless (Debian GNU/Linux 7-12 ベース)
• Ubuntu 12.04 - 22.04
• Fedora 31 - 37
• Mariner 1 - 2
• Windows Server 2016、2019、2022
言語固有のパッケージ

サポートあり
• Python
• Node.js
• .NET
• JAVA
• Go

AWS 用の Kubernetes ディストリビューション/構成のサポート - ランタイムの脅威に対する保護

側面 詳細
Kubernetes ディストリビューションと構成 サポートあり
Amazon Elastic Kubernetes Service (EKS)

Arc 対応 Kubernetes を介してサポートされます 1 2
Kubernetes
サポート対象外
• EKS プライベート クラスター

1 Cloud Native Computing Foundation (CNCF) 認定 Kubernetes クラスターはすべてサポートされますが、指定されたクラスターのみがテストされています。

2Microsoft Defender for Containers で環境を保護するには、Azure Arc 対応 Kubernetes をオンボードし、Defender for Containers を Arc 拡張機能として有効にする必要があります。

Note

Kubernetes ワークロード保護のその他の要件については、既存の制限事項に関する記事を参照してください。

送信プロキシのサポート - AWS

認証なしの送信プロキシと基本認証を使用した送信プロキシがサポートされます。 現時点では、信頼できる証明書が必要な送信プロキシはサポートされていません。

IP 制限があるクラスター - AWS

AWS の Kubernetes クラスターでコントロール プレーンの IP 制限が有効になっている場合 (「Amazon EKS クラスター エンドポイントアクセス制御 - Amazon EKS、」を参照)、コントロール プレーンの IP 制限構成が更新され、Microsoft Defender for Cloud の CIDR ブロックが含まれるようになります。

GCP

Domain 特徴量 サポートされているリソース Linux リリース状態 Windows リリース状態 エージェントレス/センサー ベース 価格レベル
セキュリティ体制管理 Kubernetes のエージェントレス検出 GKE GA GA エージェントレス Defender for Containers または Defender CSPM
セキュリティ体制管理 包括的なインベントリ機能 GAR、GCR、GKE GA GA エージェントレス Defender for Containers または Defender CSPM
セキュリティ体制管理 攻撃パス分析 GAR、GCR、GKE GA GA エージェントレス Defender CSPM
セキュリティ体制管理 強化されたリスク ハンティング GAR、GCR、GKE GA GA エージェントレス Defender for Containers または Defender CSPM
セキュリティ体制管理 Docker CIS GCP VM GA - Log Analytics エージェント Defender for Servers プラン 2
セキュリティ体制管理 コントロール プレーンのセキュリティ強化 GKE GA GA エージェントレス Free
セキュリティ体制管理 Kubernetes データ プレーンのセキュリティ強化 GKE GA - Kubernetes 用の Azure Policy Defender for Containers
脆弱性評価 エージェントレス レジストリ スキャン (Powered by Microsoft Defender 脆弱性の管理) でサポートされるパッケージ GAR、GCR GA GA エージェントレス Defender for Containers または Defender CSPM
脆弱性評価 エージェントレス/センサー ベースのランタイム (Microsoft Defender 脆弱性の管理を利用) でサポートされるパッケージ GKE GA GA エージェントレスまたは/および Defender センサー Defender for Containers または Defender CSPM
実行時の保護 コントロール プレーン GKE GA GA エージェントレス Defender for Containers
実行時の保護 ワークロード GKE GA - Defender センサー Defender for Containers
デプロイと監視 保護されていないクラスターの検出 GKE GA GA エージェントレス Defender for Containers
デプロイと監視 Defender センサーの自動プロビジョニング GKE GA - エージェントレス Defender for Containers
デプロイと監視 Kubernetes 用 Azure Policy の自動プロビジョニング GKE GA - エージェントレス Defender for Containers

GCP のレジストリとイメージのサポート - 脆弱性評価 Powered by Microsoft Defender 脆弱性の管理

側面 詳細
レジストリとイメージ サポートあり
• Google レジストリ (GAR、GCR)
• Docker V2 形式のコンテナー イメージ
Open Container Initiative (OCI) のイメージ形式の仕様のイメージ
サポート対象外
Docker スクラッチ イメージなど、極めて最小限のイメージは現在サポートされていません
• パブリック リポジトリ
• マニフェスト リスト
オペレーティング システム サポートあり
• Alpine Linux 3.12 から 3.19
• Red Hat Enterprise Linux 6 - 9
• CentOS 6 から 9 (CentOS は 2024 年 6 月 30 日にサポート終了 (EOL) になります)。 詳細については、「CentOS のサポート終了に関するガイダンス」を参照してください。)
• Oracle Linux 6 - 9
Amazon Linux 1, 2
• openSUSE Leap、openSUSE Tumbleweed
• SUSE Enterprise Linux 11 - 15
• Debian GNU/Linux 7 - 12
• Google Distroless (Debian GNU/Linux 7-12 ベース)
• Ubuntu 12.04 - 22.04
• Fedora 31 - 37
• Mariner 1 - 2
• Windows Server 2016、2019、2022
言語固有のパッケージ

サポートあり
• Python
• Node.js
• .NET
• JAVA
• Go

GCP 用の Kubernetes ディストリビューション/構成のサポート - ランタイムの脅威に対する保護

側面 詳細
Kubernetes ディストリビューションと構成 サポートあり
Google Kubernetes Engine (GKE) Standard

Arc 対応 Kubernetes を介してサポートされます 1 2
Kubernetes

サポート対象外
• プライベート ネットワーク クラスター
• GKE autopilot
• GKE AuthorizedNetworksConfig

1 Cloud Native Computing Foundation (CNCF) 認定 Kubernetes クラスターはすべてサポートされますが、指定されたクラスターのみがテストされています。

2Microsoft Defender for Containers で環境を保護するには、Azure Arc 対応 Kubernetes をオンボードし、Defender for Containers を Arc 拡張機能として有効にする必要があります。

Note

Kubernetes ワークロード保護のその他の要件については、既存の制限事項に関する記事を参照してください。

送信プロキシのサポート - GCP

認証なしの送信プロキシと基本認証を使用した送信プロキシがサポートされます。 現時点では、信頼できる証明書が必要な送信プロキシはサポートされていません。

IP 制限があるクラスター - GCP

GCP の Kubernetes クラスターでコントロール プレーンの IP 制限が有効になっている場合 (「コントロール プレーン アクセス用に承認されたネットワークを追加する | Google Kubernetes Engine (GKE) | Google Cloud」を参照)、コントロール プレーンの IP 制限構成が更新され、Microsoft Defender for Cloud の CIDR ブロックが含まれるようになります。

オンプレミス、Arc 対応 Kubernetes クラスター

Domain 特徴量 サポートされているリソース Linux リリース状態 Windows リリース状態 エージェントレス/センサー ベース 価格レベル
セキュリティ体制管理 Docker CIS Arc 対応 VM プレビュー - Log Analytics エージェント Defender for Servers プラン 2
セキュリティ体制管理 コントロール プレーンのセキュリティ強化 - - - - -
セキュリティ体制管理 Kubernetes データ プレーンのセキュリティ強化 Arc 対応 K8s クラスター GA - Kubernetes 用の Azure Policy Defender for Containers
実行時の保護 脅威に対する保護 (コントロール プレーン) Arc 対応 K8s クラスター プレビュー プレビュー Defender センサー Defender for Containers
実行時の保護 脅威に対する保護 (ワークロード) Arc 対応 K8s クラスター プレビュー - Defender センサー Defender for Containers
デプロイと監視 保護されていないクラスターの検出 Arc 対応 K8s クラスター プレビュー - エージェントレス Free
デプロイと監視 Defender センサーの自動プロビジョニング Arc 対応 K8s クラスター プレビュー プレビュー エージェントレス Defender for Containers
デプロイと監視 Kubernetes 用 Azure Policy の自動プロビジョニング Arc 対応 K8s クラスター プレビュー - エージェントレス Defender for Containers

外部コンテナー レジストリ

Domain 特徴量 サポートされているリソース Linux リリース状態 Windows リリース状態 エージェントレス/センサー ベース 価格レベル
セキュリティ体制管理 包括的なインベントリ機能 Docker Hub プレビュー プレビュー エージェントレス 基本的な CSPM または Defender for Containers または Defender CSPM
セキュリティ体制管理 攻撃パス分析 Docker Hub プレビュー プレビュー エージェントレス Defender CSPM
脆弱性評価 エージェントレス レジストリ スキャン (Powered by Microsoft Defender 脆弱性の管理) でサポートされるパッケージ Docker Hub プレビュー プレビュー エージェントレス Defender for Containers または Defender CSPM
脆弱性評価 エージェントレス/センサー ベースのランタイム (Microsoft Defender 脆弱性の管理を利用) でサポートされるパッケージ Docker Hub プレビュー プレビュー エージェントレスまたは/および Defender センサー Defender for Containers または Defender CSPM

Kubernetes ディストリビューションと構成

側面 詳細
Kubernetes ディストリビューションと構成 Arc 対応 Kubernetes を介してサポートされます 1 2
Azure Kubernetes Service ハイブリッド
Kubernetes
AKS エンジン
Azure Red Hat OpenShift
Red Hat OpenShift (バージョン 4.6 以降)
VMware Tanzu Kubernetes Grid
Rancher Kubernetes Engine

1 Cloud Native Computing Foundation (CNCF) 認定 Kubernetes クラスターはすべてサポートされますが、指定されたクラスターのみがテストされています。

2Microsoft Defender for Containers で環境を保護するには、Azure Arc 対応 Kubernetes をオンボードし、Defender for Containers を Arc 拡張機能として有効にする必要があります。

Note

Kubernetes ワークロード保護のその他の要件については、既存の制限事項に関する記事を参照してください。

サポートされているホスト オペレーティング システム

Defender for Containers は、いくつかの機能について Defender センサーに依存しています。 Defender センサーは、次のホスト オペレーティング システムでサポートされています。

  • Amazon Linux 2
  • CentOS 8 (CentOS は 2024 年 6 月 30 日にサポート終了 (EOL) になります)。 詳細については、「CentOS のサポート終了に関するガイダンス」を参照してください。)
  • Debian 10
  • Debian 11
  • Google Container-Optimized OS
  • Mariner 1.0
  • Mariner 2.0
  • Red Hat Enterprise Linux 8
  • Ubuntu 16.04
  • Ubuntu 18.04
  • Ubuntu 20.04
  • Ubuntu 22.04

Kubernetes ノードが、サポートされている検証済みオペレーティング システムのいずれかで実行されていることを確認します。 ホスト オペレーティング システムが異なるクラスターでは、部分的なカバレッジのみが取得されます。

Defender センサーの制限事項

AKS V1.28 以下の Defender センサーは、Arm64 ノードではサポートされていません。

ネットワークの制限

送信プロキシのサポート

認証なしの送信プロキシと基本認証を使用した送信プロキシがサポートされます。 現時点では、信頼できる証明書が必要な送信プロキシはサポートされていません。

次のステップ