Defender for Containers のアーキテクチャ

Defender for Containers は、次のうちどれで実行されていても、Kubernetes 環境ごとに異なる方法で設計されています。

Azure Kubernetes Service (AKS) - コンテナー化されたアプリケーションの開発、デプロイ、管理を行うための Microsoft の管理サービス。
接続されたアマゾンウェブサービス (AWS) アカウント内の Amazon Elastic Kubernetes Service (EKS) - 独自の Kubernetes コントロールプレーンまたはノードをインストールし、操作および保守する必要なく、AWS 上で Kubernetes を実行するための Amazon の管理サービス。
接続された Google Cloud Platform (GKE) プロジェクトの Google Kubernetes Engine (GKE) - GCP インフラストラクチャを使用してアプリケーションをデプロイ、管理、スケーリングするための Google の管理された環境。
管理されていない Kubernetes のディストリビューション (Azure Arc 対応の Kubernetes を使用) - Cloud Native Computing Foundation (CNCF) 認定の Kubernetes クラスターを、オンプレミスまたは IaaS 上でホストします。

注

Defender for Containers による Arc 対応の Kubernetes クラスター (AWS EKS、GCP GKE) のサポートはプレビュー機能です。

Kubernetes コンテナーを保護するために、Defender for Containers は次の情報を受け取って分析します。

API サーバーからの監査ログとセキュリティイベント
コントロールプレーンからのクラスター構成情報
Azure Policy からのワークロード構成
ノードレベルからのセキュリティシグナルとイベント

サポートされるオペレーティングシステム、使用できる機能、送信プロキシなどの実装の詳細については、「Defender for Containers の機能の可用性」を参照してください。

各 Kubernetes 環境のアーキテクチャ

Defender for Cloud と AKS クラスターのアーキテクチャダイアグラム

Defender for Cloud が Azure Kubernetes Service でホストされているクラスターを保護する場合、監査ログデータの収集はエージェントレスで行われ、追加のコストや構成を考慮することなく、Azure インフラストラクチャを通じて自動的に収集されます。 Microsoft Defender for Containers が提供する完全な保護を受けるには、以下のコンポーネントが必要です。

Defender センサー: 各ノードにデプロイされ、eBPF テクノロジを使用してホストからのシグナルを収集し、実行時の保護を提供する DaemonSet。このセンサーは Log Analytics ワークスペースに登録され、データパイプラインとして使用されます。ただし、監査ログデータは Log Analytics ワークスペースに保存されません。 Defender センサーは AKS セキュリティプロファイルとしてデプロイされます。

注

AKS クラスターで Defender センサーが構成されると、調整プロセスがトリガーされます。これは Defender for Containers プランの一部として発生し、想定される動作です。

Kubernetes 用の Azure Policy: オープンソースの Gatekeeper v3 を拡張し、Kubernetes アドミッションコントロールに Webhook として登録するポッド。これにより、クラスターに対して大規模な実施とセーフガードを一元的かつ一貫性のある方法で適用できます。 Kubernetes 用の Azure Policy ポッドは、AKS アドオンとしてデプロイされます。クラスター内の 1 つのノードにのみインストールされます。詳細については、「Kubernetes ワークロードを保護する」および「Kubernetes クラスター用の Azure Policy について理解する」を参照してください。

Defender センサーコンポーネントの詳細

ポッド名	Namespace	サブタイプ	簡単な説明	能力	リソースの制限	エグレスが必要です
microsoft-defender-collector-ds-*	kube-system	DaemonSet	Kubernetes 環境からインベントリイベントとセキュリティイベントを収集することに重点を置いたコンテナーセットです。	SYS_ADMIN、 SYS_RESOURCE、 SYS_PTRACE	メモリ: 296Mi CPU: 360m	いいえ
microsoft-defender-collector-misc-*	kube-system	デプロイ	特定のノードにバインドされていない Kubernetes 環境からインベントリイベントとセキュリティイベントを収集することに重点を置いたコンテナーセットです。	なし	メモリ: 64Mi CPU: 60m	いいえ
microsoft-defender-publisher-ds-*	kube-system	DaemonSet	収集したデータを Microsoft Defender for Containers のバックエンドサービスに公開して、データの処理と分析を行います。	なし	メモリ: 200 Mi CPU: 60m	Https 443 アウトバンドアクセスの前提条件の詳細情報

* リソースの制限は構成できません。Kubernetes リソースの制限の詳細を確認してください。

Azure での Kubernetes のエージェントレス検出のしくみ

検出プロセスは、間隔をおいて取得したスナップショットに基づいています。

Kubernetes のエージェントレス検出拡張機能を有効にすると、次のプロセスが発生します。

作成:
- 拡張機能が Defender CSPM から有効になっている場合、Defender for Cloud では CloudPosture/securityOperator/DefenderCSPMSecurityOperator という顧客環境で ID が作成されます。
- 拡張機能が Defender for Containers から有効になっている場合、Defender for Cloud では CloudPosture/securityOperator/DefenderForContainersSecurityOperator という顧客環境で ID が作成されます。
割り当て: Defender for Cloud では、Kubernetes エージェントレスオペレーターという組み込みロールが、サブスクリプションスコープでその ID に割り当てられます。このロールには、次のアクセス許可が含まれています。
- AKS 読み取り (Microsoft.ContainerService/managedClusters/read)
- 次のアクセス許可を使用する AKS の信頼されたアクセス。
- Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write
- Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read
- Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete
AKS の信頼されたアクセスの詳細を確認してください。
検出: システム割り当て ID を使用して、Defender for Cloud では AKS の API サーバーへの API 呼び出しにより、環境内の AKS クラスターの検出が実行されます。
バインド: AKS クラスターが検出されると、Defender for Cloud は、作成された ID と Kubernetes の ClusterRoleaks:trustedaccessrole:defender-containers:microsoft-defender-operator の間に ClusterRoleBinding を作成して、AKS のバインド操作を実行します。 ClusterRole は、API を使って表示することができ、Defender for Cloud のデータプレーンにクラスター内での読み取りアクセス許可を付与します。

注

コピーされたスナップショットは、クラスターと同じリージョンに保持されます。

Defender for Cloud と EKS クラスターのアーキテクチャ図

Defender for Cloud が Elastic Kubernetes Service でホストされているクラスターを保護する場合、監査ログデータの収集はエージェントレスで行われます。 Microsoft Defender for Containers が提供する完全な保護を受けるには、以下のコンポーネントが必要です。

Kubernetes 監査ログ – AWS アカウントの CloudWatch では、エージェントレスコレクターを使用して監査ログデータを有効にして収集し、詳細な分析のために、収集した情報を Microsoft Defender for Cloud バックエンドに送信します。
Azure Arc 対応 Kubernetes - Azure Arc 対応 Kubernetes - クラスター内の 1 つのノードにインストールされ、クラスターを Defender for Cloud に接続するセンサーベースのソリューションです。その後、Defender for Cloud は、次の 2 つのエージェントを Arc 拡張機能としてデプロイできます:
Defender センサー: 各ノードにデプロイされ、eBPF テクノロジを使用してホストからのシグナルを収集し、実行時の保護を提供する DaemonSet。このセンサーは Log Analytics ワークスペースに登録され、データパイプラインとして使用されます。ただし、監査ログデータは Log Analytics ワークスペースに保存されません。 Defender センサーは、Arc 対応 Kubernetes 拡張機能としてデプロイされます。
Kubernetes 用の Azure Policy: オープンソースの Gatekeeper v3 を拡張し、Kubernetes アドミッションコントロールに Webhook として登録するポッド。これにより、クラスターに対して大規模な実施とセーフガードを一元的かつ一貫性のある方法で適用できます。 Kubernetes 用の Azure Policy ポッドは、対応 Kubernetes 拡張機能としてデプロイされます。クラスター内の 1 つのノードにのみインストールされます。詳細については、「Kubernetes ワークロードを保護する」および「Kubernetes クラスター用の Azure Policy について理解する」を参照してください。

AWS での Kubernetes のエージェントレス検出のしくみ

検出プロセスは、間隔をおいて取得したスナップショットに基づいています。

Kubernetes のエージェントレス検出拡張機能を有効にすると、次のプロセスが発生します。

作成:
- Defender for Cloud ロール MDCContainersAgentlessDiscoveryK8sRole を EKS クラスターの aws-auth ConfigMap に追加する必要があります。名前はカスタマイズできます。
割り当て: Defender for Cloud では、MDCContainersAgentlessDiscoveryK8sRole ロールに次のアクセス許可が割り当てられます。
- eks:UpdateClusterConfig
- eks:DescribeCluster
検出: システム割り当て ID を使用して、Defender for Cloud では EKS の API サーバーへの API 呼び出しにより、環境内の EKS クラスターの検出が実行されます。

注

コピーされたスナップショットは、クラスターと同じリージョンに保持されます。

Defender for Cloud と GKE クラスターのアーキテクチャダイアグラム

Defender for Cloud が Google Kubernetes Engine でホストされているクラスターを保護する場合、監査ログデータの収集はエージェントレスで行われます。 Microsoft Defender for Containers が提供する完全な保護を受けるには、以下のコンポーネントが必要です。

Kubernetes 監査ログ – GCP Cloud Logging では、エージェントレスコレクターを使用して監査ログデータを有効にして収集し、詳細な分析のために、収集した情報を Microsoft Defender for Cloud バックエンドに送信します。
Azure Arc 対応 Kubernetes - Azure Arc 対応 Kubernetes - クラスター内の 1 つのノードにインストールされ、クラスターの Defender for Cloud への接続を有効にするセンサーベースのソリューションです。その後、Defender for Cloud は、次の 2 つのエージェントを Arc 拡張機能としてデプロイできます:
Defender センサー: 各ノードにデプロイされ、eBPF テクノロジを使用してホストからのシグナルを収集し、実行時の保護を提供する DaemonSet。このセンサーは Log Analytics ワークスペースに登録され、データパイプラインとして使用されます。ただし、監査ログデータは Log Analytics ワークスペースに保存されません。
Kubernetes 用の Azure Policy: オープンソースの Gatekeeper v3 を拡張し、Kubernetes アドミッションコントロールに Webhook として登録するポッド。これにより、クラスターに対して大規模な実施とセーフガードを一元的かつ一貫性のある方法で適用できます。 Kubernetes 用の Azure Policy ポッドは、対応 Kubernetes 拡張機能としてデプロイされます。クラスター内の 1 つのノードにのみインストールされる必要があります。詳細については、「Kubernetes ワークロードを保護する」および「Kubernetes クラスター用の Azure Policy について理解する」を参照してください。

GCP での Kubernetes のエージェントレス検出のしくみ

検出プロセスは、間隔をおいて取得したスナップショットに基づいています。

Kubernetes のエージェントレス検出拡張機能を有効にすると、次のプロセスが発生します。

作成:
- サービスアカウント mdc-containers-k8s-operator が作成されます。名前はカスタマイズできます。
割り当て: Defender for Cloud では、サービスアカウント mdc-containers-k8s-operator に次のロールがアタッチされます。
- container.clusters.update アクセス許可を持つカスタムロール MDCGkeClusterWriteRole
- 組み込みロール container.viewer
検出: システム割り当て ID を使用して、Defender for Cloud では GKE の API サーバーへの API 呼び出しにより、環境内の GKE クラスターの検出が実行されます。

注

コピーされたスナップショットは、クラスターと同じリージョンに保持されます。

次のステップ

この概要では、Microsoft Defender for Cloud でのコンテナーセキュリティのアーキテクチャについて説明しました。プランを有効にするには、以下を参照してください。

Defender for Containers を有効にする

フィードバック

このページはお役に立ちましたか?

Last updated on 2025-07-15

次の方法で共有

Defender for Cloud と AKS クラスターのアーキテクチャダイアグラム

Defender センサーコンポーネントの詳細

Azure での Kubernetes のエージェントレス検出のしくみ

Defender for Cloud と Arc 対応 Kubernetes クラスターのアーキテクチャ図

Defender for Cloud と EKS クラスターのアーキテクチャ図

AWS での Kubernetes のエージェントレス検出のしくみ

Defender for Cloud と GKE クラスターのアーキテクチャダイアグラム

GCP での Kubernetes のエージェントレス検出のしくみ

次の方法で共有

Defender for Containers のアーキテクチャ

各 Kubernetes 環境のアーキテクチャ

Defender for Cloud と AKS クラスターのアーキテクチャ ダイアグラム

Defender センサー コンポーネントの詳細

Azure での Kubernetes のエージェントレス検出のしくみ

次のステップ

フィードバック

その他のリソース

Defender for Cloud と AKS クラスターのアーキテクチャダイアグラム

Defender センサーコンポーネントの詳細