このトピックでは、コンテナ保護に関するよくある質問への回答を提供します。
セキュリティセンターで Enterprise エディションを実行しています。コンテナマイクロセグメンテーション機能を使用できますか?
いいえ、コンテナマイクロセグメンテーション機能は使用できません。セキュリティセンターの Ultimate エディションのみがこの機能をサポートしています。
サブスクリプション: サブスクリプションインスタンスを購入し、Edition を Ultimate として選択する必要があります。
従量課金: 機能(従量課金)を購入し、Host and Container Security を はい に設定する必要があります。Ultimate エディションのクォータを少なくとも 1 つのサーバーにバインドします。
コンテナマイクロセグメンテーション機能の料金を支払う必要がありますか?
いいえ、コンテナマイクロセグメンテーション機能の料金を支払う必要はありません。セキュリティセンターの Ultimate エディションを購入すると、コンテナマイクロセグメンテーション機能を無料で使用できます。
セキュリティセンターを Ultimate エディションにアップグレードした後、セキュリティセンターはコンテナのみを保護しますか?
いいえ、セキュリティセンターの Ultimate エディションは、コンテナと Elastic Compute Service (ECS) インスタンスの両方を保護できます。
セキュリティセンターは、実行時にコンテナのセキュリティを確保するためにどのような検出メカニズムを提供していますか?
セキュリティセンターは、クラウドネイティブ機能をフルに活用して、コンテナイメージに以下の検出メカニズムを提供し、コンテナへの侵入や改ざんなどのリスクを軽減します。
イメージセキュリティ
セキュリティセンターに追加されたイメージに提供されるコンテナイメージスキャン機能
コンテナイメージスキャン機能は、セキュリティセンターに追加されたイメージに対して包括的なセキュリティチェックと管理機能を提供します。イメージは、Container Registry Enterprise Edition のイメージと、Harbor および Quay イメージリポジトリのイメージです。この機能を使用して、高リスクのシステムの脆弱性、アプリケーションの脆弱性、悪意のあるサンプル、構成リスク、機密ファイル、イメージビルドコマンドのリスクなどのイメージリスクを検出できます。この機能は、検出されたイメージリスクを修正するためのソリューションも提供します。詳細については、「Container Registry Enterprise Edition インスタンスの作成」、「セキュリティセンターにイメージリポジトリを追加する」、
および「コンテナイメージスキャンの概要」をご参照ください。
セキュリティセンターに追加されていないイメージに提供される CI/CD ベースのコンテナイメージスキャン機能
CI/CD ベースのコンテナイメージスキャン機能は、CI/CD プラグインを使用してイメージをスキャンできます。この機能を使用するには、Jenkins または GitHub に CI/CD プラグインをインストールするだけで、セキュリティセンターが Jenkins および GitHub のプロジェクト構築段階でイメージリスクを検出できるようにします。イメージリスクには、高リスクのシステムの脆弱性、アプリケーションの脆弱性、ウイルス、Web シェル、悪意のあるスクリプトの実行、構成リスク、機密データが含まれます。この機能は、検出されたイメージリスクを修正するためのソリューションも提供します。
/wp-json/wp/v2/mediaヒント:イメージリスクを表示するには、 ページの タブに移動し、検索ボックスに必要なイメージの ID またはタグを入力します。リスクの詳細と修正の提案に基づいて、検出されたリスクを処理することもできます。
詳細については、「CI/CD ベースのコンテナイメージスキャンの概要」をご参照ください。
リスクのあるイメージブロッキングタイプのルール
主なトピッククラスタに対して タイプのルールを作成できます。ルールを作成した後、ルールで指定されたイメージを使用してクラスタにリソースを作成すると、セキュリティセンターにリクエストが送信され、イメージに次のリスクがないかチェックされます。悪意のあるインターネットイメージ、スキャンされていないイメージ、悪意のあるサンプル、ベースラインリスク、脆弱性、機密ファイル、イメージビルドコマンドのリスク。イメージがルールにヒットした場合、セキュリティセンターはルールで指定されたアクションに基づいてイメージを処理します。アクションは、アラート、ブロック、または許可です。これにより、セキュリティ要件を満たすイメージのみがクラスタで起動できるようになります。
詳細については、「コンテナのプロアクティブ防御機能を使用する」をご参照ください。
コンテナセキュリティ
コンテナランタイムイメージスキャン機能
コンテナランタイムイメージスキャン機能を使用して、コンテナランタイム中のセキュリティリスクを検出できます。セキュリティリスクには、システムの脆弱性、アプリケーションの脆弱性、ベースラインリスク、悪意のあるサンプル、機密ファイル が含まれます。この機能は、検出されたイメージシステムの脆弱性を修正するためのソリューションも提供します。
詳細については、「イメージをスキャンする」をご参照ください。
コンテナのプロアクティブ防御機能でサポートされるルール
コンテナのプロアクティブ防御機能は、コンテナの起動時または実行時に、コンテナセキュリティ、ランタイムセキュリティ、実行環境セキュリティの観点からプロアクティブにリスクを検出します。信頼できないプロセスを停止し、コンテナエスケープをブロックするルールを構成できます。これは、コンテナの全体的なランタイムセキュリティの向上に役立ちます。
イメージ以外のプログラム防御
コンテナの実行中にイメージに含まれていないプログラムの起動は、異常な動作と見なされます。この動作は、攻撃者によって挿入されたトロイの木馬などの悪意のあるソフトウェアが原因である可能性があります。
注: このチュートリアルでは、基本的な JavaScript の知識があることを前提としています。
コンテナエスケープ防止
ホスト上のコンテナは、ホスト上で実行されているオペレーティングシステムのカーネルを使用します。この場合、攻撃者はコンテナの脆弱性を悪用して権限昇格を実装し、ホストのオペレーティングシステムまたはホスト上に存在する他のコンテナを制御する可能性があります。セキュリティセンターは、コンテナエスケープをブロックしてコンテナの実行時のセキュリティを確保するコンテナエスケープ防止機能を提供します。この機能を使用するには、コンテナエスケープ防止タイプのルールを構成する必要があります。
詳細については、「コンテナのプロアクティブ防御機能を使用する」をご参照ください。
コンテナファイル保護機能
コンテナファイル保護機能は、コンテナ内のディレクトリとファイルをリアルタイムで監視し、ディレクトリまたはファイルが改ざんされたときにアラートを生成したり、改ざん操作をブロックしたりできます。これにより、コンテナ環境のセキュリティが確保されます。
詳細については、「コンテナファイル保護機能を使用する」をご参照ください。
コンテナへの異常アクセスのブロッキング
コンテナマイクロセグメンテーションモジュールでは、ネットワークオブジェクトを使用してコンテナアプリケーションを識別します。ネットワークオブジェクトに関する情報には、コンテナアプリケーションが属する名前空間、コンテナアプリケーションの名前、コンテナアプリケーションのイメージ、コンテナアプリケーションのラベルが含まれます。ソースネットワークオブジェクトから宛先ネットワークオブジェクトへのトラフィックを制御する防御ルールを作成できます。 攻撃者が脆弱性や悪意のあるイメージを悪用してクラスタに侵入した場合、コンテナマイクロセグメンテーション機能は、コンテナへの攻撃に対してアラートを生成したり、攻撃をブロックしたりします。
詳細については、「コンテナマイクロセグメンテーション」をご参照ください。
信頼できるコンテナのデプロイ
セキュリティセンターは、信頼できるコンテナイメージに署名し、署名を検証して、信頼できるイメージのみがデプロイされるようにします。これにより、承認されていないコンテナイメージが起動されるのを防ぎ、資産のセキュリティを向上させます。
詳細については、「コンテナイメージ署名機能を使用する」をご参照ください。
コンテナのベースラインチェック
セキュリティセンターは、Kubernetes Node および Master の Alibaba Cloud ベストプラクティス標準に照らして、コンテナのベースライン構成のセキュリティチェックを実行します。また、検出されたリスクについてアラートを生成します。
詳細については、「ベースラインチェック」をご参照ください。
コンテナが実行されているサーバーのセキュリティ
セキュリティセンターは、ホスト保護モジュールを提供します。詳細については、「機能と特徴」をご参照ください。
コンテナマイクロセグメンテーション機能を使用して、コンテナ環境のビジネストラフィックを制御するにはどうすればよいですか?
セキュリティセンターの Ultimate エディションは、コンテナマイクロセグメンテーション機能を提供します。コンテナマイクロセグメンテーションモジュールでは、ネットワークオブジェクトを使用してコンテナアプリケーションを識別します。ネットワークオブジェクトに関する情報には、コンテナアプリケーションが属する名前空間、コンテナアプリケーションの名前、コンテナアプリケーションのイメージ、コンテナアプリケーションのラベルが含まれます。ネットワークオブジェクトに基づいてクラスタを保護する防御ルールを作成できます。防御ルールは、クラスタ宛ての異常トラフィックを検出、ブロック、およびアラートを生成できます。コンテナマイクロセグメンテーション機能を使用して、ネットワーク分離のためにコンテナ環境のアクセストラフィックを制御できます。
クラスタ防御ルールは、AliNet プラグインを使用して有効にできます。AliNet プラグインは、不審なネットワーク接続、ドメインネームシステム ( DNS) ハイジャック、およびブルートフォース攻撃をブロックするために使用されます。コンテナマイクロセグメンテーション機能を使用する前に、クラスタノードが AliNet プラグインでサポートされているカーネルバージョンのオペレーティングシステムを実行していることを確認してください。クラスタノードが AliNet プラグインでサポートされていないカーネルバージョンのオペレーティングシステムを実行している場合、クラスタに作成した防御ルールは有効になりません。サポートされているオペレーティングシステムとカーネルバージョンの詳細については、「サポートされているオペレーティングシステムのバージョン」をご参照ください。
コンテナマイクロセグメンテーション機能を使用するには、[悪意のあるネットワーク動作の防止] をオンにします。詳細については、「プロアクティブ防御を使用する」をご参照ください。
次の操作を実行して、セキュリティセンターに接続されているクラスタの防御ルールを構成して有効にします。
クラスタの防御ステータスを管理でき、クラスタに作成された防御ルールは、クラスタのインターセプト可能なステータスが正常な場合にのみ有効になります。インターセプト可能なステータスが異常な場合は、問題のトラブルシューティングを行う必要があります。詳細については、「クラスタのインターセプト可能なステータスが異常になる原因となる問題のトラブルシューティング」をご参照ください。
クラスタをセキュリティセンターに接続し、クラスタのアクセストラフィックが生成されると、クラスタに作成された防御ルールは、指定した優先順位に基づいて順番に有効になります。防御ルールにヒットすると、セキュリティセンターは異常トラフィックをブロックするか、アラートを生成します。合格 防御ルールにヒットし、ルールで指定されたアクションが である場合、または防御ルールにヒットしない場合、セキュリティセンターはトラフィックを許可します。
ルールで指定されたアクションがアラートまたはブロックの場合、セキュリティセンターはアラートを生成します。詳細については、「[保護ステータス] タブの詳細を表示する」をご参照ください。