Trend Micro Artifact Scannerの結果をポリシーに統合する

Trend Micro Artifact Scannerの結果をContainer Securityアドミッションコントロールポリシーに統合できます。 CLIのインストールと設定の詳細については、「Trend Micro Artifact Scannerについて」を参照してください。

検索結果はCloud One Container Securityに自動的に送信されます。ただし、検索結果を使用するには、 registry アーティファクトタイプ (registry:yourrepo/yourimage:tag) を使用して検索する必要があります。

例:

tmas scan registry:nginx@sha256:08e9c086194875334d606765bd60aa064abd3c215abfbcf5737619110d48d114 --region us-1 -VM

これはレジストリからイメージを取得し、SBOMを生成し、オープンソースの脆弱性と不正プログラム検索を実行します。

クラスタにコンテナをデプロイする場合は、デプロイするイメージのイメージダイジェストを指定します。このダイジェストは、イメージがレジストリにプッシュされたときに生成されます。また、 Trend Micro Artifact Scannerでイメージを検索するときにも使用する必要があります。これにより、検索結果をクラスタに配信されるイメージと自動的に関連付けることができます。

Trend Micro Artifact Scannerでは複数アーキテクチャ (multi-arch) のイメージの検索がサポートされていますが、複数アーキテクチャのイメージダイジェストまたはタグが指定されている場合は、マニフェストリストの1つのイメージのみが検索されます。検索対象のイメージは、プラットフォームフラグに基づいて選択されます。初期設定の検索対象アーキテクチャは linux/amd64です。検索結果はアーキテクチャ固有であるため、評価された脆弱性が選択したアーキテクチャに合わせて調整されます。

マルチアーキテクチャタグまたはダイジェストを使用してイメージを検索および配信すると、検索対象とは異なるアーキテクチャのノードがクラスタに存在する場合、セキュリティ上のリスクが発生します。

イメージの配信に関連するリスクと脅威を正確に評価するには、イメージを検索してクラスタに配信するときに、アーキテクチャ固有のダイジェストを提供します。これにより、検索されたイメージがクラスタにデプロイされるイメージと一致するようになります。 {: .warning }

この相関機能を使用すると、アドミッションコントロールポリシーを簡単に設定できます。 たとえば、重大な脆弱性が存在するコンテナイメージがクラスタに配置されないようにブロックできます。

トレンドマイクロArtifact Scannerのスキャン結果は、スキャン完了後30日間のみアドミッションコントロールポリシーに有効です。この期間が過ぎると、イメージはスキャンされていないものとして扱われます。Cloud One Container Securityのアドミッションコントロールポリシーを使用する場合、同じイメージを30日ごとに少なくとも1回スキャンする必要があります。これにより、アドミッションコントロールの決定が比較的最近の脆弱性および不正プログラムの発見に基づいて行われることが保証されます。{: .note }

次に、ポリシーを作成する必要があります。