Microsoft Defender for Cloudは、クラスター ワークロードを実行する仮想マシン (VM) の脆弱性評価とマルウェア検出を提供することで、サポートされているAzure Kubernetes Service (AKS) ノードを保護するのに役立ちます。
これらの保護は、脆弱性を特定し、クラスターをサポートするノード上のマルウェアを検出するのに役立ちます。
Kubernetes ノードの保護
Defender for Cloudでは、サポートされている Kubernetes ノードに対して次の保護が提供されます。
脆弱性評価 は、ノード ソフトウェアの既知の脆弱性を識別し、それらを修復するのに役立つ推奨事項を示します。
マルウェア検出 は、マルウェアのノードをスキャンし、マルウェアが検出されたときにセキュリティ アラートを生成します。
サポートの詳細については、コンテナーのDefenderのサポート マトリックスを参照してください。
Kubernetes ノード保護のしくみ
Kubernetes ノード保護では、ノード プール ディスクのエージェントレスのスナップショット ベースのスキャンが使用されます。
この機能は、マシンの エージェントレス スキャンに依存します。 サポートされているプランでその機能が有効になっている場合、Defender for Cloudはサポートされている Kubernetes ノードをスキャンし、推奨事項とアラートの結果を表示できます。
基になるアーキテクチャの詳細については、「 エージェントレス スキャン アーキテクチャ」を参照してください。
共有責任
Kubernetes ノードの責任は、マネージド Kubernetes サービスと組織の間で共有されます。
- マネージド Kubernetes サービスは、サポートされているノード VM イメージと更新されたバージョンを提供します。
- ワークロードの要件に基づいてノード プールを構成します。
- 新しいイメージを採用し、セキュリティ体制を向上させるために、ノード プール VM のバージョンをアップグレードする必要があります。