目次

クラスタを追加する

環境で Container Security を設定するには

  1. 必要なコンポーネントを設定します。
  2. Kubernetesクラスタをまだ作成していない場合は作成します。
  3. ポリシーベースの配信コントローラをインストールします。

必要なコンポーネントを設定する

  • Kubernetesクラスタをリモートで管理できるように、 kubectl とHelm 3(バージョン3.0.1以降)をローカルコンピュータに設定します。Helmのインストールおよびアップグレードに関するヒントについては、 Container Security Helm READMEを参照してください。
  • Trend Micro Cloud One Container Security は、 Kubernetesネットワークポリシー を利用して隔離軽減を実行します。ネットワークポリシーは、 ネットワークプラグインによって実装されます。 Container Securityの継続的コンプライアンス機能を使用するには、NetworkPolicyをサポートするネットワークプラグインが必要です。詳細については、 Container Security Helm Readmeを参照してください。

Kubernetesクラスタを作成する

すでにKubernetesクラスタを使用できる場合は、このセクションを省略できます。

Container Security は、Kubernetes 1.14以降をサポートします。Amazon Elastic Container Service(ECS)はサポートされていません。 ランタイムセキュリティ 機能には、 Application Security ヘルプに記載されている追加の要件があります。

Kubernetesクラスタは、任意の方法でデプロイできます。クラウドプロバイダでKubernetesクラスタを作成する方法に慣れていない場合は、次のリソースが役立つことがあります。

ポリシーベースの配信コントローラをインストールしてランタイムセキュリティを有効にする

ポリシーベースの配信制御機能を使用するには、保護する各クラスタに非常に小さなポッドを配信する必要があります。

インストールする必要があるのは、KubernetesクラスタごとにポリシーベースのDeployment Controllerを1つだけです。

  1. Trend Micro Cloud One console を開き、[ Container Security]を選択します。
  2. Clusters アイコンClusters ページに移動します。
  3. 次のいずれかを実行します。

    • これが最初のクラスタである場合は、[+ Add a cluster]をクリックします。
      既存のクラスタがない場合にのみ表示される画面。
    • これが最初のクラスタでない場合は、[+ Add]を選択します。
      Add Cluster ボタン
  4. 以下の情報を指定します。

    • Name: クラスタの識別に役立つ一意の名前です。
    • Description: クラスタの説明(オプション)
    • Policy: ポリシーを選択します。ポリシーをまだ作成していない場合は、後で作成してからこの設定を更新できます。(「 ポリシーの作成」を参照)
    • Namespace Exclusions: リソースを無視する名前空間を選択します。Kube System名前空間が初期設定で選択されています。Container Security は、選択した名前空間のリソースを無視します。これらのリソースは、ポリシーによって監視、評価、または軽減されません。使用例については、 OpenShiftのベストプラクティス を参照してください。 Add Cluster の追加ダイアログ
  5. ランタイムセキュリティを有効にするには、[ Enabled ]チェックボックスをオンにします。この機能の詳細については、 ランタイムセキュリティの設定を参照してください。
  6. Nextを選択します。
  7. ページの最初のスニペットには、クラスタのAPIキーが含まれています。このキーはクラスタに一意であるため、他のクラスタで再利用しないでください。スニペットをコピーしてオーバーライドファイル(通常は overrides.yaml)に追加します。

    この画面を閉じると、APIキーは表示されなくなります。

    Add Cluster の追加ダイアログ

  8. ページの2番目のスニペットには、helm installコマンドが含まれています。これを使用して、クラスタにDeployment Controllerをインストールします。配信コントローラのインストールの詳細については、 Container Security Helm Readmeを参照してください。

Container Security を純粋なAWS EKS Fargate環境で実行している場合は、Fargateプロファイルを調整して、初期設定以外の名前空間(例: trendmicro-system)のポッドをスケジュールできるようにする必要があります。Fargateプロファイルの詳細については、 AWSのドキュメント を参照してください。

次に、まだ作成していない場合は ポリシーを作成 します。

トラブルシューティング

正常にインストールするには、「Ready」アドミッションコントローラポッドが1つ含まれている必要があります。

問題が発生した場合は、 kubectl get podskubectl logs deployment/trendmicro-admission-controller を使用して、インストール中に発生した問題をデバッグします。