セキュリティ監視は、Container Service for Kubernetes (ACK) と Security Center を統合し、脆弱性を検出して、クラスター内のセキュリティイベント (悪意のあるコンテナイメージ、コンテナやホストでのウイルスやマルウェア攻撃、コンテナ侵入、コンテナエスケープ、高リスク操作など) に関するリアルタイムのアラートを表示します。
前提条件
開始する前に、以下を確認してください。
-
ACK クラスター。詳細については、「ACK マネージドクラスターの作成」をご参照ください。
-
Security Center が有効化されていること。詳細については、「Security Center の購入」をご参照ください。
-
(RAM ユーザーに必須) AliyunYundunSASReadOnlyAccess ポリシーが Resource Access Management (RAM) ユーザーアカウントにアタッチされていること。
セキュリティ監視の表示
-
ACK コンソールにログインします。左側のナビゲーションウィンドウで、[クラスター] をクリックします。
-
[クラスター] ページで、対象クラスターの名前をクリックします。左側のナビゲーションウィンドウで、[セキュリティ] > [セキュリティ監視] を選択します。
-
[セキュリティ監視] ページで、以下に説明する 4 つのセクションをそれぞれ確認します。
アラート
コンテナやホストでのウイルスやマルウェア攻撃、コンテナ侵入、コンテナエスケープ、高リスク操作などのイベントによってトリガーされたセキュリティアラートを表示します。詳細については、「概要」をご参照ください。
[アラート] セクションをクリックし、次の操作を実行します。
アラートの処理
ページ下部の [操作] 列で [処理] をクリックします。ダイアログボックスで、アラートをホワイトリストに追加するか、無視するかを選択します。
アラートの調査
ページ下部の [操作] 列で [詳細] をクリックします。詳細ページには、イベント時間、影響を受けた資産、プロセス ID が表示されます。[診断] タブをクリックして、イベントソースをトレースし、生データを表示します。
脆弱性
クラスター資産で検出された Linux 脆弱性とアプリケーション脆弱性を一覧表示します。詳細については、「脆弱性管理」をご参照ください。
[脆弱性] セクションをクリックし、次の操作を実行します。
脆弱性の確認と修正
脆弱性名をクリックするか、[操作] 列の [処理] をクリックして、詳細情報と保留中の脆弱性を確認します。詳細ページには修正の提案が表示されます。保留中の脆弱性リストから、脆弱性の修正、修正の検証、詳細の表示ができます。
CVE の検索
脆弱性の右側にある [CVE ID] をクリックして、その CVE の Alibaba Cloud 脆弱性ライブラリのエントリを開きます。
ベースラインリスク
ECS インスタンスのオペレーティングシステム、データベース、ソフトウェア、コンテナにわたるリスクを表示し、セキュリティ体制の強化、侵入リスクの低減、コンプライアンス要件への対応を支援します。詳細については、「ベースラインチェック」をご参照ください。
[ベースラインリスク] セクションをクリックして、ベースラインリスクを表示します。ページ下部のリスクの [操作] 列で [詳細] をクリックして、リスクの説明と影響を受けた資産を表示します。
コンテナファイアウォールによって生成されたアラート
コンテナファイアウォールからのアラートを表示します。攻撃者が脆弱性や悪意のあるイメージをエクスプロイトしてクラスターに侵入した場合、コンテナファイアウォール機能はアラートを生成したり、攻撃をブロックしたりできます。詳細については、「概要」をご参照ください。
[コンテナファイアウォールによって生成されたアラート] セクションをクリックして、コンテナファイアウォールによって生成されたアラートに関する情報を表示します。
各アラートエントリには、深刻度レベル、アラート名、ソース、ターゲットネットワークオブジェクト、ポート、クラスター、防御モードが表示されます。
アラートルールを更新するには、[操作] 列の [ルールの編集] をクリックします。