目次

Container Securityとは

Trend Cloud One - Container Security は、コンテナのライフサイクルのすべての段階でセキュリティを提供します

  • 開発中: トレンドマイクロ Artifact Scanner (TMAS) を使用すると、開発初期段階で脆弱性を発見できます。
  • 配信時時: ポリシーベースのデプロイ制御により、定義したセキュリティ基準を満たす場合にのみコンテナイメージが実行されることが保証されます。 TMASと統合する場合、TMASスキャン結果からのセキュリティポリシーを使用して追加の基準を設定し、安全なイメージのみがデプロイされるようにすることができます。
  • 配信後:継続的なコンプライアンスにより、配信後にコンテナを間欠的に検索できます。
  • 実行時: ランタイムセキュリティは、カスタマイズ可能なルールセットに違反するコンテナアクティビティを可視化します。

コンテナのライフサイクルの図

コンテナイメージの検索

コンテナイメージスキャン(TMASによって実行される)により、開発パイプラインの一部としてコンテナイメージをスキャンし、Registries内のイメージの継続的なスキャンを実行することができます。これにより、開発者はコンテナイメージのライフサイクルの早い段階でセキュリティ問題を検出し、修正することができます。コンテナイメージスキャンを使用することで、DevOpsチームはビルドサイクルに影響を与えることなく、プロダクション対応のアプリケーションを継続的に提供し、ビジネスのニーズを満たすことができます。

コンテナイメージの検索では、次のことを確認します。

  • 脆弱性
  • 不正プログラム
  • シークレットとキー
  • コンプライアンス違反

コンテナイメージスキャンは、パッケージマネージャーを使用してインストールされたアプリケーションや、直接インストールされたアプリケーションの脅威を検出します。これにより、オープンソースコードの依存関係における脆弱性の早期検出と緩和が可能になります。

コンテナイメージのスキャン結果は、定義したポリシーに対してスキャン結果を照合することにより、イメージをデプロイすることが安全かどうかを判断するために、Trend Cloud One - Container Securityにも送信されます。

コンテナイメージスキャンを有効にするには、ローカル環境にTMAS](tmas-about.md)を[デプロイおよび構成する必要があります。

ポリシーベースの配信制御

Container Security は、Kubernetesとのネイティブな統合によりポリシーベースの配信制御を提供し、本番環境で実行するKubernetesの配信の安全性を確保します。

Container Security を使用すると、一連のルールに基づいて展開を許可またはブロックする Policies を作成できます。ルールは Kubernetes オブジェクトのプロパティと、TMAS スキャンの結果(環境に TMAS が統合されている場合)に基づいています。

Kubernetesでイメージをデプロイする準備ができると、アドミッションコントロールWebhookがトリガされ、イメージが安全にデプロイされているかどうかが確認され、そのイメージの実行が許可またはブロックされます。

継続的なコンプライアンス

配信後、 Container Security は引き続きコンテナを監視できます。Container Security は、クラスタに割り当てられたポリシーを定期的にチェックし、実行中のコンテナが定義したポリシーに引き続き準拠していることを確認します。初期配信後にポリシーが変更された場合は、アップデートされたポリシーが適用されます。実行中のコンテナは、新しい脆弱性が検出されたときにもチェックされます。

ランタイムセキュリティ

ランタイムセキュリティは、カスタマイズ可能なルールセットに違反する、実行中のコンテナのアクティビティを可視化します。現在、ランタイムのセキュリティには、コンテナのドリフト検出だけでなく、コンテナのMITRE ATT&CK®フレームワークの戦術に対する可視性を提供する一連の事前定義されたルールが含まれています。Container Security は、定義したポリシーに基づいて、実行時の可視性と制御機能によって検出された問題を軽減できます。実行時にポッドがルールに違反する場合は、ポリシーの実行時ルールセットに基づいてポッドを終了または隔離することで、問題が軽減されます。

ランタイム脆弱性検索

ランタイムの脆弱性検索では、 Container Security がインストールされているクラスタで実行されているコンテナの一部である、オペレーティングシステムとオープンソースコードの脆弱性を確認できます。重大度に基づいてソートされた脆弱性のリストが表示され、追加情報を選択できます。脆弱性は名前で検索でき、重大度レベルまたはCVEスコアでフィルタできます。

脆弱性の詳細は次のとおりです。

  • 脆弱性情報:脆弱性の説明、詳細へのリンク(Common Vulnerabilities and Exposures(CVE®) リストに記載されているものなど)、脆弱性のあるパッケージとバージョン、および脆弱性のあるパッケージのバージョンこれには修正が含まれます(利用可能な場合)。
  • イメージ情報:脆弱性が検出されたコンテナイメージ。
  • 検出情報:脆弱性が検出されたワークロードのリスト。名前空間、種類、コンテナ、および各ワークロードの前回の検出日時が含まれます。