Security Centerは、コンテナーファイアウォール機能を提供します。 この機能は、コンテナを保護するファイアウォール機能を提供します。 攻撃者が脆弱性や悪意のあるイメージを悪用してクラスターに侵入した場合、コンテナファイアウォール機能はアラートを生成するか、コンテナへの攻撃をブロックします。
制限事項
この機能をサポートしているのは、Security CenterのUltimateエディションのみです。 Security Centerの購入とアップグレード方法の詳細については、「Security Centerの購入」および「Security Centerのアップグレードとダウングレード」をご参照ください。
コンテナーファイアウォールのしくみ
コンテナファイアウォールモジュールでは、ネットワークオブジェクトを使用してコンテナアプリケーションを識別します。 ネットワークオブジェクトに関する情報は、コンテナアプリケーションが属する名前空間、コンテナアプリケーションの名前、コンテナアプリケーションのイメージ、およびコンテナアプリケーションのラベルを含む。 防御ルールを作成して、ネットワークオブジェクトに基づいてクラスターを保護できます。 防御ルールは、クラスター宛ての異常なトラフィックを検出してブロックできます。
クラスターのインターセプト可能なステータスが異常な場合、クラスターの防御を有効にすることはできず、防御ルールは有効になりません。 できるだけ早い機会に例外を処理する必要があります。 詳細については、「クラスターの異常なブロッキングステータスの原因となる問題のトラブルシューティング」をご参照ください。
サポートされているオペレーティングシステムのバージョン
クラスター防御ルールは、AliNetプラグインに基づいて有効にできます。 AliNetプラグインは、疑わしいネットワーク接続、ドメインネームシステム (DNS) ハイジャック、ブルートフォース攻撃などの悪意のあるネットワーク動作をブロックするために使用されます。 コンテナファイアウォール機能を使用する前に、クラスターノードが、カーネルバージョンがAliNetプラグインでサポートされているオペレーティングシステムを実行していることを確認してください。 クラスターノードが、カーネルバージョンがAliNetプラグインでサポートされていないオペレーティングシステムを実行している場合、クラスター用に作成した防御ルールは有効になりません。 次の表に、コンテナーファイアウォール機能でサポートされているオペレーティングシステムとオペレーティングシステムのカーネルバージョンを示します。
オペレーティングシステム | カーネルバージョン |
CentOS | |
Alibaba Cloud Linux (64ビット) |
手順
コンテナファイアウォールを設定して使用するには、次の手順を実行します。
送信元ネットワークオブジェクトと送信先ネットワークオブジェクトを作成します。 詳細については、「ネットワークオブジェクトの作成」をご参照ください。
防御ルールを作成して有効にします。 詳細については、「防御ルールの作成」をご参照ください。
クラスターの防御を有効にします。 詳細については、「クラスターの防御ステータスと防御ルールの管理」をご参照ください。
防御ルールがトリガーされたときに生成されるアラートを表示します。 詳細については、「保護ステータスタブの詳細の表示」をご参照ください。