Dockerコンテナの保護

Docker環境の導入にはメリットがあるのはもちろんですが、同時にDockerホストのOS自体が攻撃の対象になることに注意が必要です。他のソフトウェアの導入同様に、OSの強化や環境に応じたベストプラクティス (Center for Internet Security (CIS) のDocker Benchmarkなど) を利用することで、最初に強固な基盤を構築することが重要になります。安全な基盤が整い次第、 Workload Security を導入することで、 Trend Micro Smart Protection Network。Workload Security は、お客様の配置を保護するだけでなく、継続的なコンプライアンス要件を満たし、維持するのに役立ちます。サポート対象のDockerのエディションとリリースについては、「Dockerのサポート」を参照してください。

Workload Security は、Linuxディストリビューションで動作しているDockerホストとコンテナを保護します。Workload Security では、次の処理を実行できます。

Workload Security Dockerの保護は、OSレベルで機能します。つまり、 Deep Security Agentはコンテナ内ではなく、DockerホストのOSにインストールする必要があります。

ポッド内のコンテナ間の通信はサポートされていません。

Workload Security は、オーバーレイネットワークを使用しているときにDarmerをswarmモードでサポートします。

Workload Security によるDockerホストの保護

次の Workload Security モジュールを使用して、Dockerホストを保護できます。

  • 侵入防御 (IPS)
  • 不正プログラム対策
  • 変更監視
  • セキュリティログ監視
  • アプリケーションコントロール
  • ファイアウォール
  • Webレピュテーション

Dockerコンテナに対するWorkload Securityの保護

次の Workload Security モジュールを使用して、Dockerコンテナを保護できます。

  • 侵入防御
  • 不正プログラム対策

侵入防御の推奨検索に関する制限事項

Workload Security侵入防御 コントロールはホストレベルで動作しますが、エクスポーズされたコンテナポート番号のコンテナトラフィックも保護します。Dockerでは複数のアプリケーションを同じDockerホスト上で実行できるため、単一の侵入防御ポリシーがすべてのDockerアプリケーションに適用されます。そのため、推奨設定の検索はDocker環境に対しては推奨されません。