Security Center は、コンテナを保護するための統合機能を提供し、コンテナに対する脅威をリアルタイムで防止および検出します。脅威には、脆弱性、構成コンプライアンスリスク、攻撃、侵入などがあります。コンテナ資産を Security Center に追加すると、Security Center を使用してコンテナ資産を一元管理できます。このトピックでは、コンテナ資産に関するセキュリティ情報を表示する方法について説明します。
制限事項
サブスクリプション: サブスクリプションインスタンスを購入し、Edition を [Ultimate] に設定する必要があります。
従量課金: 機能(従量課金)を購入し、Host and Container Security を [はい] に設定する必要があります。Ultimate エディションクォータを少なくとも 1 つのサーバーにバインドします。
この機能は、Ultimate エディションにバインドされているサーバーでのみ使用できます。
前提条件
コンテナ資産が Security Center に追加されていること。詳細については、「Security Center にイメージリポジトリを追加する」および「自己管理型 Kubernetes クラスタを Security Center に接続する」をご参照ください。
コンテナクラスタのアラートを表示するには、Kubernetes コンテナの脅威検出機能を有効にする必要があります。詳細については、「コンテナ保護設定タブで機能を有効にする」をご参照ください。
最新のコンテナ資産に関する情報を同期する
コンテナ資産に関する情報を表示する前に、最新のコンテナ資産に関する情報を同期する必要があります。これにより、新しく追加されたコンテナ資産に関する情報が資産リストに確実に表示されます。
Security Center コンソールにログインします。上部のナビゲーションバーで、管理する資産のリージョンを選択します。中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
コンテナアセット ページで、Cluster タブまたは Image タブをクリックし、最新のアセットの同期 をクリックします。
オプション。コンテナアセット ページの右上隅にある タスク管理 をクリックします。タスク管理 パネルの Container Asset Synchronization タブと [イメージ資産の同期] タブで、同期タスクの進捗状況、ステータス、詳細を表示します。
クラスタの管理
クラスタ情報の表示
Security Center コンソールにログインします。上部のナビゲーションバーで、管理する資産のリージョンを選択します。中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
Cluster タブの コンテナアセット ページで、接続されているクラスタの数、リスクのあるクラスタの数、および接続されているクラスタのリストを表示します。
クラスタを検索する
リストの上にある検索ボックスに検索条件を指定して、クラスタを検索できます。検索条件には、クラスタ ID とクラスタタイプが含まれます。
クラスタのリスクの詳細を表示する
クラスタの名前をクリックするか、[アクション] 列の [表示] をクリックして、クラスタのリスク詳細ページに移動します。アラート、脆弱性、ベースラインリスク、およびコンテナマイクロセグメンテーション機能によって生成されたアラートの統計情報を表示できます。対応するリスクのリストを表示することもできます。
クラスタの公開分析を実行する
コンテナのポートがインターネットに公開されている場合、ビジネスはネットワーク攻撃やデータ漏洩などのセキュリティリスクに遭遇する可能性があります。Security Center は、コンテナクラスタのポート公開分析機能を提供します。この機能を使用して、コンテナクラスタのパブリックポートが公開されているかどうかを確認し、公開ポートによって発生する可能性のあるセキュリティリスクを防止できます。
ポート公開分析機能は、Container Service for Kubernetes(ACK)マネージドクラスタと ACK 専用クラスタで使用できます。
公開分析を実行します。
次のいずれかの方法を使用して、クラスタの公開分析を実行できます。
自動公開分析: Kubernetes クラスタが接続されると、Security Center は毎日早朝にクラスタ内の完全データを自動的に同期し、接続されているすべてのクラスタで公開分析を実行します。
手動公開分析: コンテナアセット ページの Cluster タブに移動し、必要なクラスタを見つけて、[アクション] 列の Exposure Analysis をクリックします。
オプション。コンテナアセット ページの右上隅にある タスク管理 をクリックします。タスク管理 パネルの Container Exposure タブで、公開分析タスクの進捗状況と詳細を表示します。
公開分析タスクの実行結果を表示します。
コンテナアセット ページで、現在のクラスタの名前をクリックします。
表示されるページで、ドロップダウンリストから Container を選択し、Exposed を Yes に設定します。
Exposed 列の 列 アイコンにポインタを移動して、コンテナクラスタの公開ポートを表示します。インターネットに公開されているポートが不要になった場合は、セキュリティリスクを軽減するために、できるだけ早くポートを無効にすることをお勧めします。
イメージの管理
イメージ情報の表示
Security Center コンソールにログインします。上部のナビゲーションバーで、管理する資産のリージョンを選択します。中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
Image タブの コンテナアセット ページで、イメージ情報を表示します。
イメージの概要情報を表示する
イメージの概要情報を表示するセクションでは、リスクのあるイメージの数やコンテナイメージスキャンの [残りのクォータ] などの情報を表示できます。
[残りのクォータ] セクションの Increase Quota をクリックして、コンテナイメージスキャンのクォータを増やすことができます。詳細については、「Security Center のアップグレードとスペックダウン」をご参照ください。
Add Third-party Image Repository セクションの [追加] をクリックして、サードパーティイメージリポジトリを追加できます。詳細については、「Security Center にイメージリポジトリを追加する」をご参照ください。
イメージリポジトリのリストを表示する
イメージリポジトリのリストには、Security Center に追加されているすべてのイメージリポジトリに関する情報が表示されます。情報には、イメージリポジトリの名前、リージョン、タイプ、セキュリティステータスが含まれます。次の操作を実行できます。
イメージリポジトリを検索する
リストの上にある検索ボックスに検索条件を指定して、イメージリポジトリを検索できます。検索条件には、インスタンス ID と名前空間が含まれます。
イメージリポジトリに関する情報を表示する
イメージリポジトリの名前をクリックするか、イメージリポジトリの [アクション] 列の [表示] をクリックします。イメージリポジトリの詳細ページでは、イメージリポジトリ内のすべてのイメージの名前、バージョン、サイズ、リスクステータスを表示できます。[作成日時/更新日時] 列には、イメージリポジトリがローカルで作成および更新された日時ではなく、Security Center がイメージリポジトリと同期した最初と最新の日時が表示されます。
また、イメージリポジトリのバージョンを見つけて、[アクション] 列の [処理] をクリックして、検出された脆弱性に関する情報を表示したり、リスト内の情報をエクスポートしたりすることもできます。
Platform for AI(PAI)のイメージリポジトリを表示する
検索条件で を選択して、PAI のイメージリポジトリを表示します。
Container Registry 資産を同期する
[アクション] 列の Synchronize をクリックして、Container Registry Enterprise Edition インスタンス内の資産の自動同期を有効にします。自動同期を有効にすると、Container Registry Enterprise Edition インスタンスに追加された資産は、Security Center のイメージリストに自動的に同期されます。
コンテナイメージのスキャン
Security Center は、コンテナイメージスキャン機能を提供して、イメージ内の脆弱性、ベースラインリスク、悪意のあるサンプル、機密ファイルを検出するのに役立ちます。これにより、イメージランタイム環境のセキュリティが確保されます。
Security Center コンソールにログインします。上部のナビゲーションバーで、管理する資産のリージョンを選択します。中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
Imageコンテナアセット ページの タブで、[即時スキャン]Container Image Scan セクションの をクリックします。
Quick Scan ダイアログボックスで、イメージタイプを選択し、ビジネス要件に基づいてスキャン範囲を構成します。次に、OK をクリックします。
スキャン範囲の構成方法の詳細については、「イメージのスキャン」をご参照ください。
オプション。コンテナアセット ページの右上隅にある タスク管理 をクリックします。タスク管理 パネルで、[イメージスキャン]、Image Risk Fixing、Container Runtime Image Scan タブをクリックして、イメージスキャンとリスク修正タスクに関する情報を表示します。
関連情報
コンテナ資産概要機能を使用すると、クラスタ、コンテナ、イメージ、アプリケーションなどの資産に対して、セキュリティ関連の操作を視覚的に実行できます。この機能は、コンテナのネットワークトポロジも表示するため、コンテナをより効率的に管理できます。詳細については、「コンテナ資産概要機能を使用する」をご参照ください。
Security Center コンソールの [コンテナ保護設定] タブには、Kubernetes コンテナの脅威検出やコンテナエスケープ防止などのコンテナ関連機能が表示されます。これらの機能を有効にして、コンテナのランタイムセキュリティを確保できます。詳細については、「コンテナ保護設定タブで機能を有効にする」をご参照ください。
コンテナ署名機能は、コンテナイメージの署名とコンテナイメージ署名の検証をサポートしています。この機能により、信頼できるコンテナイメージのみがデプロイされ、不正なイメージの起動が防止されます。これにより、資産のセキュリティが強化されます。詳細については、「コンテナイメージ署名機能を使用する」をご参照ください。
Security Center は、イメージ内のシステムの脆弱性、アプリケーションの脆弱性、ベースラインリスク、悪意のあるイメージサンプルを検出し、検出されたリスクをカテゴリ別に表示できます。リスクの詳細を表示し、リスクを修正できます。詳細については、「検出されたイメージリスクを表示および処理する」をご参照ください。
セキュリティ監視機能は、クラスタを監視し、セキュリティリスクのアラートを生成できます。セキュリティリスクには、悪意のあるコンテナイメージの起動、ウイルスまたはマルウェアによる攻撃、コンテナへの侵入、コンテナエスケープ、高リスク操作が含まれます。詳細については、「セキュリティ監視を使用する」をご参照ください。
