Security Center は、コンテナーに統合セキュリティを提供します。脆弱性、構成リスク、攻撃、侵入をリアルタイムで検出し、防御します。コンテナー資産を Security Center に接続すると、一元的な場所から管理できます。このトピックでは、コンテナー資産のセキュリティリスクを表示する方法について説明します。
エディション要件
サブスクリプションサービス: Ultimate (現在のバージョンがサポートされていない場合は、スペックアップする必要があります)。
説明サーバーの保護エディションを Ultimate に設定する必要があります。詳細については、「サーバーに保護エディションをアタッチする」をご参照ください。
従量課金サービス: Host and Container Security の従量課金サービスが有効になっています。有効になっていない場合は、「購入」をご参照ください。
説明サーバーの保護レベルを Host and Container Protection に設定する必要があります。詳細については、「サーバー保護レベルをアタッチする」をご参照ください。
前提条件
コンテナー資産を Security Center に接続します。詳細については、「イメージリポジトリの追加」および「セルフマネージド K8s クラスターの接続」をご参照ください。
コンテナークラスターの異常に関するアラートを表示するには、K8s 脅威検出を有効にする必要があります。詳細については、「コンテナーの K8s 脅威検出」をご参照ください。
最新の資産の同期
コンテナー資産情報を表示する前に、最新の資産データを同期する必要があります。これにより、新しく追加されたコンテナー資産が資産リストに表示されるようになります。
Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。コンソールの左上隅で、資産が配置されているリージョン (中国 または 全世界 (中国を除く)) を選択します。
コンテナアセット ページの Cluster タブまたは Image タブで、最新のアセットの同期 をクリックします。
(オプション) コンテナアセット ページの右上隅にある タスク管理 をクリックします。タスク管理 パネルの Container Asset Synchronization タブと [イメージ資産の同期] タブで、資産同期の進行状況、ステータス、詳細を表示できます。
クラスター管理
サポートされているクラスタータイプ
Alibaba Cloud Container Service for Kubernetes (ACK) で作成されたマネージドクラスターおよび専用クラスター。
毎朝、Security Center は Alibaba Cloud アカウント内のこのタイプの資産の完全同期を自動的に実行します。これにより、手動で資産を追加する必要がなくなります。新しいクラスターを作成した場合は、[クラスター] タブで最新の資産情報を手動で同期できます。
クラスター情報の表示
Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。コンソールの左上隅で、資産が配置されているリージョン (中国 または 全世界 (中国を除く)) を選択します。
コンテナアセット ページの Cluster タブで、接続されているクラスターの数、リスクのあるクラスターの数、および接続されているクラスターのリストを表示できます。
ターゲットクラスターの検索
クラスターリストの上にある検索コンポーネントを使用して、ID、タイプ、またはその他の情報でクラスターを検索できます。
ターゲットクラスターのリスク詳細の表示
ターゲットクラスターの名前をクリックするか、[アクション] 列の [表示] をクリックして、リスク詳細ページを開きます。このページでは、セキュリティアラート、脆弱性、構成リスク (K8s 構成リスクおよびベースラインリスク)、およびコンテナーファイアウォールアラートの統計とリストを表示できます。
K8s ログ脅威検出の有効化
クラスターに対して K8s ログ脅威検出を有効にすると、Security Center はクラスターのログデータを取得して、高リスクの操作や攻撃動作の特定など、より包括的なセキュリティリスク検出を提供できます。
ACK マネージドクラスターおよび専用クラスター
Container Service コンソールで、ログ監査機能を有効にします。詳細については、「クラスター API サーバー監査機能の使用」をご参照ください。
Container Service 管理コンソールにログインします。左側のナビゲーションウィンドウで、[クラスターリスト] を選択します。
[クラスターリスト] ページで、ターゲットクラスターの名前をクリックします。左側のナビゲーションウィンドウで、 を選択します。
画面の指示に従って SLS プロジェクトを選択し、機能を有効にします。
Security Center コンソールで、コンテナーの K8s 脅威検出を有効にします。
セルフマネージド K8s クラスター
詳細については、「ログ脅威検出の有効化」をご参照ください。
この機能が有効になったら、Security Center コンソールの Container ページに移動します。[クラスター] タブで、ターゲットクラスターの K8s Log Status 列を確認して、K8s ログ脅威検出が有効になっていることを確認できます。
クラスター公開分析
コンテナーポートをインターネットに公開すると、ネットワーク攻撃やデータ侵害などのセキュリティリスクにビジネスがさらされる可能性があります。これらのリスクを防ぐために、Security Center は、公開ポート情報を検出するコンテナークラスターのポート公開分析機能を提供します。
現在、公開分析機能は ACK マネージドクラスターおよび専用クラスターのみをサポートしています。
公開分析を実行します。
クラスターの公開分析は、自動または手動で実行できます。
自動公開分析: K8s クラスターを接続すると、Security Center はクラスター情報を自動的に完全同期し、毎朝早くに接続されているすべてのクラスターで公開分析を実行します。
手動公開分析: コンテナアセット ページの Cluster タブで、ターゲットクラスターの [アクション] 列にある Exposure Analysis をクリックします。
(オプション) コンテナアセット ページの右上隅にある タスク管理 をクリックします。タスク管理 パネルの Container Exposure タブで、クラスター公開分析タスクの進行状況と詳細を表示できます。
クラスター公開分析の結果を表示します。
コンテナアセット ページで、ターゲットクラスターの名前をクリックします。
クラスター詳細ページで、Container タブをクリックし、Exposed フィルターを Yes に設定します。
Exposed 列の
アイコンにポインターを合わせると、コンテナーの公開ポート情報を表示できます。ポートがインターネットに公開されているが使用されていない場合は、セキュリティリスクを軽減するために速やかに閉じてください。
イメージ管理
イメージ情報の表示
Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。コンソールの左上隅で、資産が配置されているリージョン (中国 または 全世界 (中国を除く)) を選択します。
コンテナアセット ページの Image タブで、イメージ情報を表示できます。
概要情報の表示
[概要] セクションには、リスクのあるイメージの数やイメージセキュリティスキャンの [残りのクォータ] などの情報が表示されます。
[残りのクォータ] セクションで、Increase Quota をクリックして、コンテナイメージセキュリティスキャンのクォータを増やします。詳細については、「スペックアップとスペックダウン」をご参照ください。
Add Third-party Image Repository セクションの [追加] をクリックして、非公開イメージリポジトリを登録できます。詳細については、「イメージリポジトリの追加」をご参照ください。
イメージリポジトリのリストの表示
イメージリポジトリリストには、Asset Center に接続されているすべてのリポジトリが表示されます。リポジトリ名、リージョン、タイプ、およびリスクステータスを表示できます。
ターゲットイメージリポジトリの検索
リストの上にある検索コンポーネントを使用して、インスタンス ID、名前空間、またはその他の情報でイメージリポジトリを検索できます。
ターゲットイメージリポジトリの表示
ターゲットイメージリポジトリの名前をクリックするか、[アクション] 列の [表示] をクリックします。リポジトリの詳細ページでは、名前、バージョン、サイズ、リスクステータスなど、各イメージの情報を表示できます。[作成日時/更新日時] 列には、イメージリポジトリのローカルでの作成および更新時間ではなく、Security Center による最初と最新の同期の時刻が表示されます。
イメージリポジトリの詳細ページで、ターゲットイメージリポジトリのバージョンを見つけ、[アクション] 列の [処理] をクリックして、その脅威と脆弱性の情報を表示またはエクスポートします。
Platform for AI (PAI) のイメージリポジトリの表示
検索フィルターから を選択することで、PAI のイメージリポジトリのリストを表示できます。
ACR 資産の同期
イメージリポジトリの [アクション] 列にある Synchronize をクリックして、Container Registry Enterprise Edition インスタンスからの資産の自動同期を有効にします。有効にすると、インスタンスに追加された資産は Security Center のイメージリストに自動的に同期されます。
コンテナイメージのスキャン
Security Center のイメージスキャン機能は、イメージの脆弱性、ベースラインリスク、悪意のあるサンプル、機密ファイルを検出し、安全なイメージランタイム環境を確保するのに役立ちます。
Security Center コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。コンソールの左上隅で、資産が配置されているリージョン (中国 または 全世界 (中国を除く)) を選択します。
コンテナアセット ページの Image タブで、Container Image Scan セクションの [今すぐスキャン] をクリックします。
Quick Scan ダイアログボックスで、イメージタイプを選択し、必要に応じてスキャン範囲を構成してから、OK をクリックします。
スキャン範囲の構成方法の詳細については、「イメージセキュリティスキャンの実行」をご参照ください。
(オプション) コンテナアセット ページの右上隅にある タスク管理 をクリックします。タスク管理 パネルの [イメージスキャン]、Image Risk Fixing、および Container Runtime Image Scan タブで、イメージのスキャンと修復に関する情報を表示できます。
関連ドキュメント
コンテナー資産の概要機能は、クラスター、コンテナー、イメージ、アプリケーションなどの資産のセキュリティ可視化および管理機能を提供します。また、クラウド内のコンテナー資産のネットワークトポロジーも表示します。この機能は、コンテナー資産のセキュリティを効率的に管理するのに役立ちます。詳細については、「コンテナー資産の概要」をご参照ください。
Security Center は、コンテナーの K8s 脅威検出やコンテナーエスケープ防止など、コンテナーセキュリティ機能を提供します。これらの機能を有効にして、コンテナーランタイム環境を保護できます。詳細については、「コンテナー保護設定」をご参照ください。
コンテナー署名を使用すると、コンテナイメージに署名して、信頼できるイメージのみがデプロイされるようにすることができます。この機能により、未承認のイメージが起動されるのを防ぎ、資産のセキュリティを向上させます。詳細については、「コンテナー署名」をご参照ください。
Security Center は、イメージ資産内のシステム脆弱性、アプリケーション脆弱性、ベースラインリスク、および悪意のあるサンプルを検出し、結果を分類して表示します。セキュリティリスクの詳細を表示し、修正することができます。詳細については、「検出されたイメージリスクの表示と修正」をご参照ください。
Security Center のセキュリティ監視機能は、監視およびアラート機能を提供します。悪意のあるイメージの起動、ウイルスやマルウェア、コンテナーへの侵入、コンテナーエスケープ、高リスク操作など、コンテナーに対する主要な攻撃動作を検出します。詳細については、「セキュリティ監視の使用」をご参照ください。