Microsoft Defender for Containers では、Kubernetes 環境でのデプロイ時にコンテナー イメージのセキュリティ ポリシーを適用する 、ゲートデプロイがサポートされています。 サポートされている環境には、Azure Kubernetes Service (AKS)、Amazon Elastic Kubernetes Service (EKS)、Google Kubernetes Engine (GKE) などがあります。 強制では、サポートされているコンテナー レジストリ (Azure Container Registry (ACR)、Amazon Elastic Container Registry (ECR)、Google Artifact Registry など) からの脆弱性スキャン結果が使用されます。
ゲートデプロイは Kubernetes アドミッション コントローラーと統合され、組織のセキュリティ要件を満たすコンテナー イメージのみが Kubernetes 環境で実行されるようにします。 クラスターに許可される前に、定義されたセキュリティ規則に対してコンテナー イメージが評価されます。 ゲートデプロイを使用することで、セキュリティ チームは脆弱なワークロードをブロックし、コンプライアンスを維持できます。
メリット
- 既知の脆弱性を持つコンテナー イメージのデプロイを防止します
- セキュリティ ポリシーをリアルタイムで適用する
- Defender for Cloud の脆弱性管理ワークフローとの統合
- 段階的なロールアウトをサポートします。監査モードで開始してから、拒否モードに移行します
有効化戦略
多くのお客様は、Microsoft Defender for Containers 脆弱性スキャナーを既に使用しています。 ゲートデプロイは、この基盤上に構築されています。
| モード | 説明 |
|---|---|
| Audit | デプロイを続行し、セキュリティ規則に違反する脆弱なイメージのアドミッション イベントを生成できます |
| Deny | セキュリティ規則に違反するイメージのデプロイをブロックする |
監査モードで開始して影響を評価し、拒否モードに移行して規則を適用します。
動作方法
- セキュリティ規則は、CVE の重大度や監査や拒否などのアクションなどの条件を定義します。
- アドミッション コントローラーは、これらの規則に対してコンテナー イメージを評価します。
- ルールが一致すると、システムは定義されたアクションを実行します。
- アドミッション コントローラーは、Defender for Cloud がサポートし、ACR、ECR、Google Artifact Registry などのスキャン用に構成されているレジストリの脆弱性スキャン結果を使用します。
主な機能
- 対象となるクラスターで高い脆弱性または重大な脆弱性を持つイメージのデプロイに自動的にフラグを設定する既定の監査規則を使用します。
- 期限付きのスコープ付き除外を設定します。
- ターゲット ルールは、クラスター、名前空間、ポッド、またはイメージごとに細かく設定します。
- Defender for Cloud を使用して受付イベントを監視します。
関連コンテンツ
次の記事の詳細なガイダンスを参照してください。
有効化ガイド: Defender for Containers におけるゲーテッド展開の構成 オンボーディング、ルール作成、除外、監視に関するステップバイステップの手順。
FAQ: Defender for Containers でのゲート付きデプロイ
ゲートデプロイの動作と構成に関する一般的な顧客の質問に対する回答。トラブルシューティング ガイド: ゲートデプロイと開発者エクスペリエンス
オンボードの問題、デプロイの失敗、開発者向けのメッセージの解釈の解決に役立ちます。