目次
このページのトピック
コンテナイメージの検索
ポリシーベースの配信制御
継続的なコンプライアンス
ランタイムセキュリティ
ランタイム脆弱性検索

Container Securityとは

Trend Micro Cloud One™- Container Security は、コンテナのライフサイクルのすべての段階でセキュリティを提供します。

  • 開発中:サポート対象のTrend Micro Smart Checkを使用すると、開発の初期段階で脆弱性を検出できます。
  • 配信時:ポリシーベースの配信制御により、コンテナイメージは、定義したセキュリティ条件を満たす場合にのみ実行されます。Smart Checkと統合するの場合、Trend Micro Smart Check の検索結果のセキュリティポリシーを使用して追加の条件を設定し、安全なイメージのみが配信されるようにすることができます。
  • 配信後:継続的なコンプライアンスにより、配信後にコンテナを間欠的に検索できます。
  • 実行時: ランタイムセキュリティは、カスタマイズ可能なルールセットに違反するコンテナアクティビティを可視化します。

コンテナのライフサイクルの図

コンテナイメージの検索

コンテナイメージの検索(Trend Micro Smart Checkによって実行)を使用すると、開発パイプラインの一部としてコンテナイメージを検索し、レジストリ内のイメージの継続的な検索を実行して、開発者がコンテナイメージのライフサイクルの早い段階でセキュリティの問題を検出して修正できるようにします。 。コンテナイメージの検索により、DevOpsチームはビルドサイクルに影響を与えることなく、本番環境に対応したアプリケーションを継続的に提供し、ビジネスのニーズを満たすことができます。

コンテナイメージの検索では、次のことを確認します。

  • 脆弱性
  • 不正プログラム
  • シークレットとキー
  • コンプライアンス違反

コンテナイメージ検索では、トレンドマイクロの業界をリードするルールフィードを使用して、パッケージマネージャでインストールされたアプリや直接インストールされたアプリの脅威を検出します。コンテナイメージの検索では、Snykのオープンソース脆弱性データベースも使用されるため、オープンソースコードの依存関係における脆弱性を早期に検出して軽減できます。

コンテナイメージの検索結果は、 Trend Micro Cloud One - Container Securityにも送信され、ユーザが定義したポリシーに対して検索結果を確認することで、イメージを安全に配信できるかどうかが判断されます。

コンテナイメージの検索を有効にするには、ローカル環境にTrend Micro Smart Checkをインストールして設定する必要があります。

ポリシーベースの配信制御

Container Security は、Kubernetesとのネイティブな統合によりポリシーベースの配信制御を提供し、本番環境で実行するKubernetesの配信の安全性を確保します。

Container Security を使用すると、一連のルールに基づいて配信を許可またはブロックするポリシーを作成できます。ルールは、KubernetesオブジェクトのプロパティとTrend Micro Smart Check 検索の結果に基づいています(Trend Micro Smart Check が環境に統合されている場合)。

Kubernetesでイメージをデプロイする準備ができると、アドミッションコントロールWebhookがトリガされ、イメージが安全にデプロイされているかどうかが確認され、そのイメージの実行が許可またはブロックされます。

継続的なコンプライアンス

配信後、 Container Security は引き続きコンテナを監視できます。Container Security は、クラスタに割り当てられたポリシーを定期的にチェックし、実行中のコンテナが定義したポリシーに引き続き準拠していることを確認します。初期配信後にポリシーが変更された場合は、アップデートされたポリシーが適用されます。実行中のコンテナは、新しい脆弱性が検出されたときにもチェックされます。

ランタイムセキュリティ

ランタイムセキュリティは、カスタマイズ可能なルールセットに違反する、実行中のコンテナのアクティビティを可視化します。現在、ランタイムのセキュリティには、コンテナのドリフト検出だけでなく、コンテナのMITRE ATT&CK®フレームワークの戦術に対する可視性を提供する一連の事前定義されたルールが含まれています。Container Security は、定義したポリシーに基づいて、実行時の可視性と制御機能によって検出された問題を軽減できます。実行時にポッドがルールに違反する場合は、ポリシーの実行時ルールセットに基づいてポッドを終了または隔離することで、問題が軽減されます。

ランタイム脆弱性検索

ランタイムの脆弱性検索では、 Container Security がインストールされているクラスタで実行されているコンテナの一部である、オペレーティングシステムとオープンソースコードの脆弱性を確認できます。重大度に基づいてソートされた脆弱性のリストが表示され、追加情報を選択できます。脆弱性は名前で検索でき、重大度レベルまたはCVEスコアでフィルタできます。

現在、ランタイム脆弱性検索を使用してレジストリを検索することはできません。コンテナイメージのレジストリを検索する必要がある場合は、Trend Micro Smart Checkを参照してください。

脆弱性の詳細は次のとおりです。

  • 脆弱性情報:脆弱性の説明、詳細へのリンク(Common Vulnerabilities and Exposures(CVE®) リストに記載されているものなど)、脆弱性のあるパッケージとバージョン、および脆弱性のあるパッケージのバージョンこれには修正が含まれます(利用可能な場合)。
  • イメージ情報:脆弱性が検出されたコンテナイメージ。
  • 検出情報:脆弱性が検出されたワークロードのリスト。名前空間、種類、コンテナ、および各ワークロードの前回の検出日時が含まれます。