このトピックでは、コンテナ保護に関するよくある質問に対する回答を提供します。
セキュリティセンターはEnterpriseエディションを実行します。 コンテナーマイクロセグメンテーション機能を使用できますか?
いいえ、コンテナーマイクロセグメンテーション機能は使用できません。 この機能をサポートしているのは、Security CenterのUltimateエディションのみです。 Security Centerの購入とアップグレード方法の詳細については、「Security Centerの購入」および「Security Centerのアップグレードとダウングレード」をご参照ください。
コンテナのマイクロセグメンテーション機能の料金は必要ですか?
いいえ、コンテナーマイクロセグメンテーション機能の料金を支払う必要はありません。 Ultimate editionのSecurity Centerを購入した後、コンテナマイクロセグメンテーション機能を無料で使用できます。
Security CenterをUltimateエディションにアップグレードした後、Security Centerはコンテナのみを保護しますか?
いいえ、Ultimate editionのSecurity Centerは、コンテナーとElastic Compute Service (ECS) インスタンスの両方を保護できます。
実行時にコンテナのセキュリティを確保するために、Security Centerが提供する検出メカニズム?
Security Centerは、クラウドネイティブの機能を完全に活用して、コンテナイメージに次の検出メカニズムを提供し、コンテナへの侵入や改ざんなどのリスクを軽減します。
イメージセキュリティ
Security Centerに追加されたイメージに対して提供されるコンテナーイメージスキャン機能
コンテナーイメージスキャン機能は、security Centerに追加されたイメージの包括的なセキュリティチェックおよび管理機能を提供します。 画像は、Container Registry Enterprise Editionの画像と、HarborおよびQuayの画像リポジトリの画像です。 この機能を使用して、リスクの高いシステム脆弱性、アプリケーション脆弱性、悪意のあるサンプル、構成リスク、機密ファイル、イメージビルドコマンドのリスクなどのイメージリスクを検出できます。 この機能は、検出された画像リスクを修正するソリューションも提供します。 詳細については、「Container Registry Enterprise Editionインスタンスの作成」「イメージリポジトリのセキュリティセンターへの追加」をご参照ください。
コンテナーイメージスキャンの概要を参照してください。
Security Centerに追加されていないイメージに対して提供されるCI/CDベースのコンテナイメージスキャン機能
CI/CDベースのコンテナイメージスキャン機能は、CI/CDプラグインを使用してイメージをスキャンできます。 この機能を使用するには、JenkinsまたはGitHubにCI/CDプラグインをインストールするだけで、Security CenterがJenkinsおよびGitHubのプロジェクト構築段階でイメージリスクを検出できるようになります。 イメージリスクには、リスクの高いシステムの脆弱性、アプリケーションの脆弱性、ウイルス、Webシェル、悪意のあるスクリプトの実行、構成リスク、機密データが含まれます。 この機能は、検出された画像リスクを修正するソリューションも提供します。
CI/CDベースのコンテナイメージスキャン機能で検出されたイメージリスクを表示するには、[コンテナー] ページの [イメージ] タブに移動し、[イメージタイプ] の検索条件を [CI/CD] に設定してから、検索ボックスに必要なイメージのIDまたはタグを入力します。 リスクの詳細と修正の提案に基づいて、検出されたリスクを処理することもできます。
詳細については、「CI/CDベースのコンテナーイメージスキャンの概要」をご参照ください。
アットリスク画像ブロッキングタイプのルール
クラスターに [リスクのあるイメージブロック] タイプのルールを作成できます。 ルールを作成した後、ルールで指定されたイメージを使用してクラスターにリソースを作成すると、セキュリティセンターにリクエストが送信され、悪意のあるインターネットイメージ、スキャンされていないイメージ、悪意のあるサンプル、ベースラインリスク、脆弱性、機密ファイル、イメージビルドコマンドのリスクが確認されます。 イメージがルールに該当する場合、Security Centerはルールで指定されたアクションに基づいてイメージを処理します。 アクションは、アラート、ブロック、または許可です。 これにより、セキュリティ要件を満たすイメージのみをクラスターで起動できます。
詳細については、「コンテナーのプロアクティブ防御機能の使用」をご参照ください。
コンテナセキュリティ
コンテナー実行時イメージスキャン機能
コンテナー実行時イメージスキャン機能を使用して、コンテナー実行時のセキュリティリスクを検出できます。 セキュリティリスクには、システムの脆弱性、アプリケーションの脆弱性、ベースラインリスク、悪意のあるサンプル、機密ファイルなどがあります。 この機能は、検出されたイメージシステムの脆弱性を修正するソリューションも提供します。
詳細については、「イメージのスキャン」をご参照ください。
ルールサポートプロアクティブ防御コンテナー機能
コンテナのプロアクティブな防御機能は、コンテナのセキュリティ、実行時のセキュリティ、実行時のセキュリティ、および実行環境のセキュリティのディメンションから、コンテナの開始または実行時のリスクをプロアクティブに検出します。 信頼できないプロセスを停止し、コンテナーエスケープをブロックするルールを設定できます。 これにより、コンテナーの全体的な実行時のセキュリティが向上します。
非イメージプログラム防衛
コンテナーのランタイム中にイメージに含まれていないプログラムの起動は、異常な動作と見なされます。 この動作は、攻撃者によって挿入されたトロイの木馬などの悪意のあるソフトウェアによって引き起こされる可能性があります。
[非イメージのプログラム防御] タイプのルールを作成すると、Security Centerは、ルール内の指定されたクラスターのイメージに含まれていないプログラムの起動を検出してブロックします。 これにより、悪意のあるソフトウェアの侵入や既知および未知の攻撃から防御できます。
コンテナ脱出防止
ホスト上のコンテナーは、ホスト上で実行されるオペレーティングシステムのカーネルを使用します。 この場合、攻撃者は、コンテナ内の脆弱性を悪用して、特権エスカレーションを実装し、ホストのオペレーティングシステムまたはホスト上に存在する他のコンテナを制御することができる。 Security Centerは、コンテナーエスケープをブロックしてコンテナーの実行時のセキュリティを確保するコンテナーエスケープ防止機能を提供します。 この機能を使用するには、コンテナーエスケープ防止タイプのルールを設定する必要があります。
詳細については、「コンテナーのプロアクティブ防御機能の使用」をご参照ください。
コンテナーファイル保護機能
コンテナファイル保護機能は、コンテナ内のディレクトリとファイルをリアルタイムで監視し、ディレクトリまたはファイルが改ざんされたときにアラートを生成したり、改ざん操作をブロックしたりできます。 これにより、コンテナ環境のセキュリティが確保されます。
詳細については、「コンテナーファイル保護機能の使用」をご参照ください。
ブロックの異常アクセスコンテナ
コンテナ・マイクロセグメント化モジュールでは、ネットワーク・オブジェクトを使用してコンテナ・アプリケーションを識別する。 ネットワークオブジェクトに関する情報は、コンテナアプリケーションが属する名前空間、コンテナアプリケーションの名前、コンテナアプリケーションのイメージ、およびコンテナアプリケーションのラベルを含む。 防御ルールを作成して、送信元ネットワークオブジェクトから送信先ネットワークオブジェクトへのトラフィックを制御できます。 攻撃者が脆弱性や悪意のある画像を悪用してクラスターに侵入した場合、コンテナマイクロセグメンテーション機能はアラートを生成するか、コンテナへの攻撃をブロックします。
詳細については、「Container microsegmentation機能」をご参照ください。
信頼できるコンテナの展開
Security Centerは、信頼できるコンテナーイメージに署名し、署名を検証して信頼できるイメージのみがデプロイされるようにします。 これにより、不正なコンテナイメージの起動を防ぎ、アセットのセキュリティを向上させます。
詳細については、「コンテナー署名機能の使用」をご参照ください。
コンテナのベースラインチェック
Security Centerは、Kubernetes NodeおよびMasterのAlibaba Cloud標準のベストプラクティスに対して、コンテナーのベースライン構成のセキュリティチェックを実行します。 セキュリティセンターは、検出されたリスクに関するアラートも生成します。
詳細については、「ベースラインチェック」をご参照ください。
コンテナーが実行されるサーバーのセキュリティ
Security Centerは、ホスト保護モジュールを提供します。 詳細については、「機能と特徴」をご参照ください。
コンテナマイクロセグメンテーション機能を使用して、コンテナ環境のビジネストラフィックを制御する方法を教えてください。
UltimateエディションのSecurity Centerには、コンテナーのマイクロセグメンテーション機能があります。 コンテナ・マイクロセグメント化モジュールでは、ネットワーク・オブジェクトを使用してコンテナ・アプリケーションを識別する。 ネットワークオブジェクトに関する情報は、コンテナアプリケーションが属する名前空間、コンテナアプリケーションの名前、コンテナアプリケーションのイメージ、およびコンテナアプリケーションのラベルを含む。 防御ルールを作成して、ネットワークオブジェクトに基づいてクラスターを保護できます。 防御ルールは、クラスター宛ての異常なトラフィックのアラートを検出、ブロック、および生成できます。 コンテナーのマイクロセグメンテーション機能を使用して、コンテナー環境のアクセストラフィックを制御できます。ネットワーク分離.
クラスター防御ルールは、AliNetプラグインを使用して有効にできます。 AliNetプラグインは、疑わしいネットワーク接続、ドメインネームシステム (DNS) ハイジャック、およびブルートフォース攻撃をブロックするために使用されます。 コンテナーマイクロセグメンテーション機能を使用する前に、クラスターノードが、カーネルバージョンがAliNetプラグインでサポートされているオペレーティングシステムを実行していることを確認してください。 クラスターノードが、カーネルバージョンがAliNetプラグインでサポートされていないオペレーティングシステムを実行している場合、クラスター用に作成した防御ルールは有効になりません。 サポートされているオペレーティングシステムとカーネルのバージョンの詳細については、「サポートされているオペレーティングシステムのバージョン」をご参照ください。
コンテナーマイクロセグメンテーション機能を使用するには、[悪意のあるネットワーク動作防止] をオンにします。 詳細については、「[ホスト保護の設定] タブで機能を有効にする」をご参照ください。
次の操作を実行して、Security Centerに接続されているクラスターの防御ルールを設定および有効にします。
ネットワークオブジェクトを作成します。
防御ルールを作成します。
クラスターの防御ステータスを管理でき、クラスターに対して作成された防御ルールは、クラスターのインターセプト可能ステータスが正常である場合にのみ有効になります。 インターセプト可能なステータスが異常な場合は、問題をトラブルシューティングする必要があります。 詳細については、「クラスターのインターセプト可能なステータスが異常になる問題のトラブルシューティング」をご参照ください。
クラスターをSecurity Centerに接続し、クラスターに対してアクセストラフィックが生成されると、クラスターに対して作成された防御ルールは、指定した優先順位に基づいて順番に有効になります。 防御ルールがヒットすると、Security Centerは異常なトラフィックのアラートをブロックまたは生成します。 防御ルールがヒットし、ルールで指定されたアクションが合格の場合、または防御ルールがヒットしない場合、Security Centerはトラフィックを許可します。
ルールで指定されたアクションがアラートまたはブロックの場合、Security Centerはアラートを生成します。 詳細については、「保護ステータスタブの詳細の表示」をご参照ください。
