Dockerコンテナの保護

Dockerの展開の利点は現実的ですが、DockerホストのOS自体の攻撃領域に関する懸念も同様に現実的です。よく設計されたソフトウェア展開と同様に、OSの強化と、Center for Internet Security (CIS) Docker Benchmark などのベストプラクティスの使用は、出発点として堅実な基盤を提供します。安全な基盤が整ったら、Trend Cloud One - Endpoint & Workload Securityを展開に追加することで、物理、仮想、およびクラウドのワークロードを保護するトレンドマイクロの豊富な経験と、Trend Micro Smart Protection Network からのリアルタイムの脅威情報にアクセスできます。Workload Securityは、展開を保護すると同時に、継続的なコンプライアンス要件の達成と維持にも役立ちます。サポートされているDockerエディションとリリースに関する情報については、Dockerサポート を参照してください。

Workload Security は、Linuxディストリビューションで動作しているDockerホストとコンテナを保護します。Workload Security では、次の処理を実行できます。

• バッジ やスマートフォルダ を使用して、デプロイメント内のDockerホストを特定、検索、保護します。
• 新たに見つかった脆弱性に対して仮想パッチを適用することで、Dockerホストおよびコンテナを脆弱性に対する既知またはゼロデイの攻撃コードから保護する
• Dockerホストで使用されるファイルシステムに対して、リアルタイムおよび手動およびスケジュールされたスキャンによる不正プログラム対策検出を提供します。
• Dockerコンテナ内で使用されるファイルシステムに対してリアルタイムの不正プログラム対策検出 を提供します。
• 次の手法を使用して、継続的なコンプライアンスの維持と環境の保護のためにDockerホストの変更をアサートする
  • Dockerデーモンに加えて実行を許可するアプリケーションを制御する ことで、Dockerホストでのアプリケーションの不正な実行を防止する。
  • Dockerホストをモニタしてシステムファイルの予期しない変更 を検出します。
  • OSログの疑わしいイベントを通知する。

Workload SecurityDocker 保護はOSレベルで機能します。つまり、エージェントは、コンテナ内ではなく、DockerホストのOSにインストールする必要があります。

ポッド内のコンテナ間の通信はサポートされていません。

Workload Security は、オーバーレイネットワークを使用しているときにDarmerをswarmモードでサポートします。

Workload SecurityによるDockerホストの保護

次の Workload Security モジュールを使用して、Dockerホストを保護できます。

• 侵入防御 (IPS)
• 不正プログラム対策
• 変更監視
• セキュリティログ監視
• アプリケーションコントロール
• ファイアウォール
• Webレピュテーション

Dockerコンテナに対するWorkload Securityの保護

次の Workload Security モジュールを使用して、Dockerコンテナを保護できます。

• 侵入防御
• 不正プログラム対策 (リアルタイムスキャンのみ対応；スケジュールスキャンおよび手動スキャンは非対応)

侵入防御の推奨検索に関する制限事項

Workload Security侵入防御 コントロールはホストレベルで動作しますが、エクスポーズされたコンテナポート番号のコンテナトラフィックも保護します。Dockerでは複数のアプリケーションを同じDockerホスト上で実行できるため、単一の侵入防御ポリシーがすべてのDockerアプリケーションに適用されます。そのため、推奨設定の検索はDocker環境に対しては推奨されません。