セキュリティ概要機能の使用方法 - Container Service for Kubernetes

Container Service for Kubernetes (ACK) は、クラスターのセキュリティを強化し、ノード、コンテナイメージ、コンテナランタイム、ワークロード設定のセキュリティリスクを特定するのに役立つセキュリティ概要機能を提供します。この機能により、クラウドリソースとアプリケーションのセキュリティガバナンスの効率が向上します。このトピックでは、ACKのセキュリティ概要機能の使用方法について説明します。

使用上の注意

セキュリティの概要機能は招待プレビューにあり、ACK管理クラスターでのみサポートされています。この機能を使用するには、チケットを起票します。
ノードの脆弱性、コンテナイメージのリスク、およびワークロード構成のリスクに関する情報の更新は、24時間遅れます。セキュリティの概要機能を初めて有効にする場合、またはリスクを軽減した後、[セキュリティの概要] ページで脆弱性とリスクに関する最新情報を表示できるようになるまで24時間待つ必要があります。

[セキュリティの概要] ページの情報を表示する

ACKコンソールにログインします。左側のナビゲーションウィンドウで、[クラスター] をクリックします。
[クラスター] ページで、管理するクラスターの名前をクリックします。左側のウィンドウで、[クラスター情報] をクリックします。

[クラスター情報] ページで、[セキュリティの概要] タブをクリックします。

[セキュリティの概要] ページには、リスクが2次元で表示されます。赤いボックス内の情報はさまざまな種類のリスクを示し、青いボックス内の情報は脆弱またはリスクの高いクラウドアセットを示しています。たとえば、次の図は、5つの高重大度リスクがクラスターで検出されたことを示しています。次の図は、クラスターに2つのノードプールがあり、1つのノードプールに重大度の高い脆弱性があることも示しています。

パラメーター	説明
クラスター重大度レベル	クラスターの重大度。
ノードの脆弱性	クラスター内のノードの脆弱性。デフォルトでは、このパラメーターは有効です。
画像リスク	Container Registry Enterprise Editionに保存されているイメージのリスク。このパラメーターを有効にするには、まず認証を完了する必要があります。
コンテナランタイムリスク	リアルタイムコンテナー実行時のリスク。 ACKは、コンテナーランタイムのリアルタイム保護を提供します。 Container Runtimeは、Security Centerを使用して診断されます。このパラメーターを有効にするには、まずSecurity Center Advancedエディション以上を購入する必要があります。詳細については、「Security Center の購入」をご参照ください。
ワークロード構成のリスク	クラスターで実行されるワークロードの構成におけるリアルタイムのリスク。このパラメーターを有効にするには、まずクラスター検査機能を有効にする必要があります。

クラスター重大度レベル

このパラメーターは、クラスターの重大度を示します。次のセクションでは、すべての重大度レベルについて説明します。

健康
リスクスキャンはクラスターで有効になっており、コンテナーイメージ、コンテナーランタイム、およびワークロード設定のスキャン結果で重大度の高いリスクは検出されません。
高い
重大度の高いノードの脆弱性または重大度の高いコンテナランタイムリスクがクラスターで検出されます。
中程度
その他のシナリオ。

ノードの脆弱性

デフォルトでは、ノード脆弱性検査が有効になっています。

[セキュリティの概要] ページの下部で、[ノードの脆弱性] タブをクリックして、クラスター内のノードの脆弱性に関する情報 (脆弱性が検出されたノードプールや各ノードプール内の脆弱なノードの数など) を表示します。ノードプールの脆弱性を修正するには、[修復] をクリックしてノードプールの詳細ページに移動し、脆弱性を修正します。ノードプールの脆弱性を修正する方法の詳細については、「ノードプールのパッチOS CVE脆弱性」をご参照ください。

説明脆弱性が修正された後、更新が [セキュリティの概要] ページに同期されるまで24時間待つ必要があります。

画像リスク

このパラメーターを有効にするには、まずContainer Registryに権限を付与する必要があります。 Image Risksカードで [今すぐ認証] をクリックし、画面の指示に従って認証を完了します。このパラメーターを無効にするには、[権限の取り消し] をクリックします。

説明認証が完了したら、Container Registry Enterprise Editionで実行中のイメージとリスクのあるイメージの数など、イメージのリスクに関する情報が [セキュリティの概要] ページに表示されるまで24時間待つ必要があります。

[セキュリティの概要] ページの下部にある [画像のリスク] タブをクリックして、画像のアドレス、影響を受けるコンテナ、スキャン時間など、危険な画像に関する情報を表示します。危険な画像を修復するには、[修復] をクリックして [画像リスク] ページに移動し、ページの詳細に基づいてリスクを処理します。

説明リスクが処理された後、更新が [セキュリティの概要] ページに同期されるまで24時間待つ必要があります。

コンテナランタイムリスク

Container Runtimeは、Security Centerを使用して診断されます。このパラメーターを有効にするには、まずSecurity Center Advancedエディション以上を購入する必要があります。詳細については、「Security Center の購入」をご参照ください。 Security Center Advanced以降のエディションを購入すると、クラスター内のリアルタイムコンテナランタイムのリスクを表示し、クラスター内のコンテナランタイムを保護できます。

[セキュリティの概要] ページの下部で、[コンテナランタイムリスク] タブをクリックして、アラートの名前や説明など、コンテナランタイムアラートに関する情報を表示します。コンテナランタイムリスクを解決するには、[ハンドル] をクリックして [セキュリティモニタリング] ページに移動し、ページの詳細に基づいてリスクを処理します。

ワークロード構成のリスク

このパラメーターを有効にするには、まずクラスター検査機能を有効にする必要があります。クラスター検査機能を有効にした後、クラスター内のワークロード構成や危険なワークロード構成など、ワークロード構成に関する情報が [セキュリティの概要] ページに表示されるまで24時間待つ必要があります。詳細については、「検査タスクの実行」をご参照ください。

[セキュリティの概要] ページの下部で、[ワークロード構成のリスク] タブをクリックして、ワークロード構成のリスクに関する情報とリスクの処理方法に関する提案を表示します。 [詳細の表示] をクリックすると、[検査] ページに移動してリスクの詳細を表示し、リスクを処理できます。

説明リスクが処理された後、更新が [セキュリティの概要] ページに同期されるまで24時間待つ必要があります。