目次

Container Securityとは

Trend Micro Cloud One™- Container Security は、コンテナのライフサイクルのすべての段階でセキュリティを提供します。

  • 開発中:サポートされるDeep Security™Smart Checkを使用すると、開発の初期段階で脆弱性を検出できます。
  • 配信時: ポリシーベースの配信制御により、コンテナイメージは、定義したセキュリティ条件を満たす場合にのみ実行されます。サポート対象のDeep Security™ Smart Check との統合により、安全なイメージのみの配信を許可する検索結果からセキュリティポリシーを構築できます。
  • 配信後: 継続的なコンプライアンスにより、配信後にコンテナを断続的に検索できます。
  • 実行時: ランタイムセキュリティは、カスタマイズ可能なルールセットに違反するコンテナアクティビティを可視化します。

コンテナのライフサイクルの図

コンテナイメージの検索

コンテナイメージの検索( Deep Security Smart Checkによって実行)を使用すると、開発パイプラインの一部としてコンテナイメージを検索し、レジストリ内のイメージの継続的な検索を実行できるため、開発者はコンテナイメージのライフサイクルの早い段階でセキュリティの問題を検出して修正できます。コンテナイメージの検索により、DevOpsチームはビルドサイクルに影響を与えることなく、本番環境に対応したアプリケーションを継続的に提供し、ビジネスのニーズを満たすことができます。

コンテナイメージの検索では、次のことを確認します。

  • 脆弱性
  • 不正プログラム
  • シークレットとキー
  • コンプライアンス違反

コンテナイメージ検索では、トレンドマイクロの業界をリードするルールフィードを使用して、パッケージマネージャでインストールされたアプリや直接インストールされたアプリの脅威を検出します。コンテナイメージの検索では、Snykのオープンソース脆弱性データベースも使用されるため、オープンソースコードの依存関係における脆弱性を早期に検出して軽減できます。

コンテナイメージの検索結果は、 Trend Micro Cloud One - Container Securityにも送信され、ユーザが定義したポリシーに対して検索結果を確認することで、イメージを安全に配信できるかどうかが判断されます。

コンテナイメージの検索を有効にするには、 Deep Security Smart Checkをローカル環境にインストールして設定する 必要があります。

ポリシーベースの配信制御

Container Security は、Kubernetesとのネイティブな統合によりポリシーベースの配信制御を提供し、本番環境で実行するKubernetesの配信の安全性を確保します。

Container Security を使用すると、一連のルールに基づいて配信を許可またはブロックするポリシーを作成できます。ルールは、Kubernetesオブジェクトのプロパティと Deep Security Smart Check 検索の結果に基づいています( Smart Check が環境に統合されている場合)。

Kubernetesでイメージをデプロイする準備ができると、アドミッションコントロールWebhookがトリガされ、イメージが安全にデプロイされているかどうかが確認され、そのイメージの実行が許可またはブロックされます。

継続的なコンプライアンス

配信後、 Container Security は引き続きコンテナを監視できます。Container Security は、クラスタに割り当てられたポリシーを定期的にチェックし、実行中のコンテナが定義したポリシーに引き続き準拠していることを確認します。初期配信後にポリシーが変更された場合は、アップデートされたポリシーが適用されます。実行中のコンテナは、新しい脆弱性が検出されたときにもチェックされます。

ランタイムセキュリティ

ランタイムセキュリティは、カスタマイズ可能なルールセットに違反する、実行中のコンテナのアクティビティを可視化します。現在、ランタイムのセキュリティには、コンテナのドリフト検出だけでなく、コンテナのMITRE ATT&CK®フレームワークの戦術に対する可視性を提供する一連の事前定義されたルールが含まれています。Container Security は、定義したポリシーに基づいて、実行時の可視性と制御機能によって検出された問題を軽減できます。実行時にポッドがルールに違反する場合は、ポリシーの実行時ルールセットに基づいてポッドを終了または隔離することで、問題が軽減されます。