目次

Deep Security Smart Checkについて

Deep Security™ Smart Check は、トレンドマイクロのコンテナイメージ Scanner です。 Docker™イメージの実行前の検索が実行されるため、オーケストレーション環境(Kubernetes®など)に到達する前に問題を修正できます。

Deep Security Smart Check には、次の機能があります。

  • OSレベルおよびアプリケーションレベルの脆弱性の検出
  • 不正プログラムの検出
  • アプリケーションに埋め込まれた秘密と鍵を検出する
  • カスタム検索クエリを実行して、不審なファイルまたは不要なファイルを検索する
  • イメージの内容を、PCI-DSS、HIPAA、およびNIST 800-190の項目を含むコンプライアンスチェックリストと照合して確認します。

Deep Security Smart Check は、トレンドマイクロの専用エンドポイントから最新の脅威データを受信します。Smart Check は、Trend Micro Smart Protection Network™から不正プログラム情報を取得し、Trend Micro XGen™機械学習アルゴリズムを使用して脅威を検出します。Deep Security Smart Check は、次のLinux®ディストリビューションの脆弱性を検出します。

  • Red Hat®Enterprise Linux™
  • CentOS™
  • Oracle®Linux
  • Ubuntu®
  • Debian®
  • Alpine™
  • Amazon™Linux 2018.03およびAmazon Linux 2

Smart Check はどのようにDevOpsパイプラインに組み込まれるのですか?

Deep Security Smart Check は、継続的インテグレーション(CI)または継続的デリバリー(CD)パイプラインに重要なステップを提供します。

たとえば、Jenkins®プロジェクトでは、 Docker イメージを自動的にビルドしてテストし、 Docker レジストリにプッシュできます。イメージをプッシュすると、すぐにオーケストレーション環境で実行できるようになります。イメージに不正プログラムや脆弱性が存在すると、イメージの実行時にリスクが発生します。イメージは不変であることを目的としているため、イメージを検索する適切なタイミングは、イメージが最初にレジストリにプッシュされたときです。

Deep Security Smart Check が適する’ sは、 Docker Registry V2 APIを実装する任意のレジストリ内の Docker イメージを検索できます。 Deep Security Smart Check のすべての操作は、ドキュメント化されたAPIのコレクションを介して利用できるため、CI / CDパイプラインへの統合が簡単になります。Deep Security Smart Check API は、イメージが Docker レジストリにプッシュされたときにCI / CDシステムによって自動的に起動され、検索を開始できます。検索結果はAPIからも確認できます。実稼働レジストリに到達する前にイメージを検索することもできます(「 レジストリの事前設定の設定」を参照)。

Smart Check APIには、「scan-completed」などの検索イベントの通知をCI / CDコンポーネントに登録するためのWebフック機能があり、ワークフローを自動化できます。たとえば、 Docker イメージ署名サービスを登録して検索結果を受け取り、その結果を使用して特定のイメージをデジタル署名してオーケストレーション環境で使用可能な「blessed」リポジトリに昇格させるかどうかを決定できます。また、検索結果をSlack™チャネルまたはServiceNow™アカウントに転送する受信者サービスを呼び出すようにWebフックを設定することもできます。

Deep Security Smart Check には、次の機能を提供する管理コンソールも含まれています。

  • ダッシュボード(システム全体のメトリックを含む検索情報の概要)
  • ユーザ管理
  • レジストリ設定
  • 検索結果へのアクセス
  • 検索履歴
  • コンテンツルールのカスタマイズ

サポートされるレジストリ

Deep Security Smart Check は、 Docker Registry V2 APIをサポートし、カタログの一覧表示を許可するすべてのレジストリで、 Docker イメージの検索をサポートします。テスト済みのレジストリは次のとおりです。

  • Docker Trusted Registry (DTR)
  • Google Container Registry (GCR)
  • Amazon™Elastic Container Registry(ECR)
  • Azure™Container Registry(ACR)
  • VMware®Harbour
  • jFrog™Artifactory
  • Sonatype Nexus™
  • Quay™Container Registry

Deep Security Smart Check では、レジストリへのTLS接続が必要です。

Deep Security Smart Check をパイプラインに統合するには、レジストリのイベントモデルに基づいて検索を実行する統合ロジックを作成する必要がある場合があります。たとえば、 Google Container Registry では、pub / subモデルを使用してレジストリのアクティビティに関するイベントを公開し、 Docker Trusted Registry ではWebフックモデルを使用します。Jenkinsを使用している場合は、Jenkins用のDeep Security Smart Checkプラグインを使用してパイプラインに簡単に統合できます。GitHub Actionを直接使用して、 Smart Check をCIワークフローに統合することもできます。詳細については、「 Deep Security Smart Check Scan Action 」を参照してください。

システム要件

Deep Security Smart Check の要件:

  • Kubernetes Certifiedプラットフォーム上のKubernetes 1.10.0以上(または同等のプラットフォーム)。 Software Conformance-Cloud Native Computing Foundationを参照してください。
  • Smart Check 管理コンソールにアクセスするためのGoogle Chrome™ブラウザ。 Smart Check で動作する他の最新ブラウザも正式にサポートされていません。

Deep Security Smart Check は、次のリソース割り当てを使用してGoogle Kubernetes Engineでテストされます。

  • 1つのManagerノードと4つのWorkerノード
  • 各ノードは「n1-standard-2」マシンタイプで、2つのvCPUと5 GBのRAMを備えています。

Deep Security Smart Check では、組み込みデータベースを使用する場合、初期設定で8GBの永続ボリュームが必要です。外部データベースを使用してインストールする場合は、 Deep Security Smart Check に永続ボリュームは必要ありません。

AWS Outpostでスマートチェックを実行することもできます。AWS Outposts を使用すると、データセンターやその他のオンプレミスの場所でAWS環境を実行できます。 Smart Check は、組み込みデータベース(テスト用)またはAWS Outpostで実行されている外部RDSインスタンス(実稼働用)を使用して、AWS Outpostで実行されているEKSクラスタにデプロイできます。 AWS OutpostのSmart Check は、AWSクラウド環境の Smart Check と同じです。Smart Check は現在、高可用性をサポートしていません。

Smart Check クラスタのスケーリングとサイジングの詳細については、「 Deep Security Smart Check サイジングガイドライン」を参照してください。