Azure の脆弱性評価
Microsoft Defender 脆弱性の管理を利用した Azure の脆弱性評価は、セキュリティ チームが、オンボードのための構成不要かつエージェントをデプロイもなしでコンテナー イメージの脆弱性を簡単に検出し修復することを可能にする、すぐに使用できるソリューションです。
Note
この機能では、Azure Container Registry (ACR) 内イメージのスキャンのみがサポートされます。 他のコンテナー レジストリに格納されているイメージを、カバレッジのために ACR にインポートする必要があります。 詳しくは、「コンテナー レジストリにコンテナー イメージをインポートする」をご覧ください。
この機能が有効になっているすべてのサブスクリプションで、ACR に保存されている、スキャン トリガーの基準を満たしているすべてのイメージに対して脆弱性のスキャンが行われます。ユーザーやレジストリの追加の構成は必要ありません。 脆弱性レポートを含む推奨事項は、ACR 内のすべてのイメージと、ACR レジストリまたは Defender for Cloud でサポートされている他のレジストリ (ECR、GCR、または GAR) からプルされた AKS で現在実行されているイメージに対して提供されます。 イメージはレジストリに追加された直後にスキャンされ、24 時間ごとに新しい脆弱性について再スキャンされます。
Microsoft Defender 脆弱性の管理を利用したコンテナーの脆弱性評価には、次の機能があります。
- OS パッケージのスキャン - コンテナーの脆弱性評価には、Linux および Windows OS の OS パッケージ マネージャーによりインストールされたパッケージでの脆弱性をスキャンする機能があります。
- 言語固有のパッケージ - Linux のみ - 言語固有のパッケージおよびファイルと、OS パッケージ マネージャーを使わずにインストールまたはコピーされた依存関係のサポート。
- Azure Private Link でのイメージ スキャン - Azure コンテナーの脆弱性評価では、Azure Private Link 経由でアクセスできるコンテナー レジストリ内のイメージをスキャンする機能が提供されます。 この機能には、レジストリを使用した信頼されたサービスと認証へのアクセスが必要です。 信頼されたサービスによるアクセスを許可する方法をご確認ください。
- 悪用可能性情報 - 各脆弱性レポートは、報告された各脆弱性に関連する実際のリスクを判断するのに役立つように、悪用可能性データベースを通じて検索されます。
- レポート - Microsoft Defender 脆弱性の管理を利用した Azure のコンテナー脆弱性評価では、次の推奨事項を使用して脆弱性レポートを提供します。
| 推奨事項 | 説明 |
|---|---|
| Azure レジストリ コンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。 |
| Azure 実行中のコンテナー イメージの脆弱性が解決されている必要がある (Microsoft Defender 脆弱性管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。 |
スキャン トリガー
イメージ スキャンのトリガーは次のとおりです。
1 回限りのトリガー:
- コンテナー レジストリにプッシュまたはインポートされた各イメージは、スキャンされるようにトリガーされます。 ほとんどの場合、スキャンは数分以内に完了しますが、まれに最大で 1 時間かかる場合があります。
- レジストリからプルされた各イメージは、24 時間以内にスキャンされるようにトリガーされます。
- コンテナー レジストリにプッシュまたはインポートされた各イメージは、スキャンされるようにトリガーされます。 ほとんどの場合、スキャンは数分以内に完了しますが、まれに最大で 1 時間かかる場合があります。
継続的な再スキャン トリガー - 新しい脆弱性が公開された場合に、脆弱性について以前にスキャンされたイメージが再スキャンされて脆弱性レポートが更新されるようにするには、継続的な再スキャンが必要です。
再スキャンは、次に対して 1 日に 1 回実行されます。
- 過去 90 日間にプッシュされたイメージ。
- 過去 30 日間にプルされたイメージ。
- Defender for Cloud によって監視されている Kubernetes クラスターで現在実行されているイメージ (Kubernetes のエージェントレス検出または Defender エージェントのどちらかを使用)。
イメージスキャンのしくみ
スキャン プロセスの詳細な説明は次のとおりです。
Microsoft Defender 脆弱性の管理を利用した Azure のコンテナー脆弱性評価を有効にするときに、Defender for Cloud が Azure コンテナー レジストリ内のコンテナー イメージをスキャンすることを承認します。
Defender for Cloud により、(この機能を有効にする前または後に作成された) すべてのコンテナー レジストリ、リポジトリ、イメージが自動的に検出されます。
Defender for Cloud は、新しいイメージが Azure Container Registry にプッシュされるたびに通知を受け取ります。 すると、その新しいイメージが Defender for Cloud が保持するイメージのカタログにすぐに追加され、イメージをすぐにスキャンするためのアクションがキューに入れられます。
1 日に 1 回、レジストリにプッシュされた新しいイメージの場合:
- 新しく検出されたすべてのイメージがプルされ、イメージごとにインベントリが作成されます。 イメージ インベントリは、新しいスキャナー機能で必要とされない限り、それ以上のイメージ プルを回避するために保持されます。
- インベントリを使用すると、新しいイメージに対して脆弱性レポートが生成され、過去 90 日間にレジストリにプッシュされたか現在実行中の、以前にスキャンされたイメージに対して更新されます。 イメージが現在実行中かどうかを確認するために、Defender for Cloud では、Kubernetes のエージェントレス検出、および AKS ノードで実行されている Defender エージェントを介して収集されたインベントリの両方が使用されます
- リポジトリ コンテナー イメージの脆弱性レポートは推奨事項として提供されます。
- 新しく検出されたすべてのイメージがプルされ、イメージごとにインベントリが作成されます。 イメージ インベントリは、新しいスキャナー機能で必要とされない限り、それ以上のイメージ プルを回避するために保持されます。
Kubernetes のエージェントレス検出または AKS ノード で実行されている Defender エージェントを介して収集されたインベントリを使用しているお客様の場合、Defender for Cloud により、AKS クラスターで実行されている脆弱なイメージの脆弱性を修復するための推奨事項も作成されます。 Kubernetes のエージェントレス検出のみを使用しているお客様の場合、この推奨事項のインベントリの更新時間は 7 時間に 1 回です。 Defender エージェントも実行しているクラスターには、2 時間のインベントリ更新頻度のメリットが得られます。 イメージ スキャンの結果は、どちらの場合もレジストリ スキャンに基づいて更新されるため、24 時間ごとにのみ更新されます。
Note
Defender for Container Registries (非推奨) の場合、イメージはプッシュ時、またはプル時に 1 回スキャンされ、週に 1 回だけ再スキャンされます。
レジストリからイメージを削除すると、そのイメージに関する脆弱性レポートが削除されるまでにどれくらいの時間がかかりますか?
Azure Container Registries は、イメージが削除されると Defender for Cloud に通知し、削除されたイメージについての脆弱性評価を 1 時間以内に削除します。 まれに、削除時に Defender for Cloud への通知がされない場合があり、このような場合の関連する脆弱性の削除には最大 3 日かかる場合があります。