セキュリティセンターは、コンテナに対する積極的な防御の機能を提供します。 この機能により、イメージを使用してクラスターにリソースを作成するときに、イメージのリスクを検出できます。 この機能では、クラスターのコンテナー防御ポリシーを作成することもできます。 イメージがコンテナー防御ポリシーにヒットした場合、Security Centerはポリシーのアクションに基づいてクラスターで開始されたイメージを処理します。 アクションは、ブロック、アラート、または許可です。 これにより、イメージがビジネスに影響を与えないようにします。
制限事項
この機能は、Security Center Ultimate でのみサポートされています。 Ultimate エディションを使用していない場合は、この機能を使用する前に、Security Center を Ultimate エディションにアップグレードする必要があります。 Security Center の購入およびアップグレード方法の詳細については、「セキュリティセンターの購入」および「Security Centerのアップグレードとダウングレード」をご参照ください。 各エディションでサポートされる機能の詳細については、「t13617.html#concept_fc1_xvb_zdb」をご参照ください。
コンテナの積極的な防御がどのように機能するか
クラスターのコンテナー防御ポリシーを作成すると、イメージを使用してクラスター内のポッドなどのリソースを作成するときに、イメージのリスクを検出するためのリクエストがSecurity Centerに送信されます。 Security Centerは、コンテナ防御ポリシーに基づいて画像のリスクを検出します。 リスクには、脆弱性、ベースラインリスク、および悪意のあるサンプルが含まれます。 イメージがコンテナ防御ポリシーにヒットした場合、Security Centerはポリシーのアクションに基づいてイメージを処理し、リスク検出結果のアラートが生成されます。 アクションは、アラート、ブロック、または許可です。
コンテナーのプロアクティブ防御機能を構成および使用する方法の詳細については、「コンテナ防御ポリシーの作成、コンテナ防衛ポリシーの管理、およびアラートの表示と処理」をご参照ください。
サポートされているACKクラスター
コンテナーのプロアクティブ防御機能は、以下のContainer Service for Kubernetes (ACK) クラスターをサポートします。
| ACKクラスター | 対応 |
|---|---|
| ホスティング Kubernetes クラスター | 必須 |
| 専用 Kubernetes クラスター | 必須 |
| サーバーレス Kubernetes クラスター | 任意 |
| マネージドエッジKubernetesクラスター | 任意 |
| 登録済みクラスター | 任意 |