コンテナ資産概要 ページでは、クラスター、コンテナ、イメージ、アプリケーションを含むコンテナ環境全体のセキュリティ状態を統合的に可視化できます。埋め込まれたネットワークトポロジー地図では、コンテナ間の通信経路が表示され、インターネットに公開されたポートがハイライト表示され、リスクがリアルタイムで検出されます。
このページでは、以下の操作が可能です:
すべてのクラスターにおけるセキュリティスコアおよびリスク件数を一目で確認できます。
インターネット視点 と クラスター視点 を切り替えて、どのポートがインターネットに公開されているかを特定できます。
クラスターをクリックして、セキュリティアラート、ベースラインリスク、イメージの脆弱性、保護ポリシーを確認できます。
クラスター単位でネットワークトポロジーを有効化し、コンテナ化アプリケーション間の通信パスをトレースできます。
レポート作成やコンプライアンス証拠として使用するため、コンテナ資産概要全体を PNG 形式でエクスポートできます。
Security Center では、ネットワークトポロジーおよびセキュリティリスク情報を含む コンテナ資産概要 が 1 分ごとに自動更新されます。
シナリオ
等級保護要件への準拠: クラウド資産のネットワークトポロジーは、等級保護の基準を満たすために活用できます。
可視化: この機能では、インターネットに公開されたポートを可視化し、クラスター、コンテナ、イメージ、アプリケーションなどの資産に対するセキュリティ運用を実行できます。
前提条件
開始する前に、以下の条件を満たしていることを確認してください。
対象クラスターがデプロイされているサーバーに Ultimate エディションがバインドされていること。
サブスクリプション:サブスクリプションインスタンスを購入するか、エディションをスペックアップする際、[エディション]に [Ultimate] を選択します。
従量課金: 従量課金を有効化する場合、はい を ホストおよびコンテナセキュリティ に選択した後、対象クラスターが配置されているサーバーに Ultimate エディションをバインドします。
コンテナイメージスキャン 機能が有効化されており、イメージのスキャンが完了していること。コンテナ資産概要に表示されるイメージの脆弱性データは、この機能から取得されます。この機能が無効の場合、サーバーの脆弱性および現在のクラスターのネットワークトポロジーは表示されますが、コンテナの脆弱性は表示されません。設定手順については、「コンテナイメージスキャンの有効化」および「イメージのスキャン」をご参照ください。
コンテナ資産の表示
Security Center コンソールにログオンします。 左上隅で、アセットが配置されているリージョン (中国または中国以外) を選択します。Security Center コンソールにログオンします。
左側のナビゲーションウィンドウで、資産 > 概要 を選択します。
コンテナ資産概要 タブをクリックします。
以下に説明するダッシュボードの各セクションを確認します。
ダッシュボードのセクション
| セクション | 表示内容 | 操作方法 |
|---|---|---|
| ① セキュリティスコア | Security Center が算出した総合的なセキュリティスコアです。数値が高いほどリスクが少ないことを示します。 | 今すぐ修正 をクリックして、セキュリティリスク パネルを開き、未処理のリスクに対応します。 |
| ② クラスターおよびリスク件数 | クラスターの総数(黒色)およびリスクを抱える資産の件数(赤色)を表示します。 | クラスター 領域をクリックすると、資産 > コンテナ > クラスター に移動し、クラスターの詳細情報を表示できます。 |
| ③ 表示視点の切り替え | インターネット視点 と クラスター視点 のトポロジー表示を切り替えます。 | インターネット視点 を使用して、どのコンテナポートがインターネットに公開されているかを特定します。 |
| ④ クラスターディテールパネル | トポロジー内でクラスターをクリックすると開きます。4 つのタブ:クラスター情報、クラスターリスク、イメージ情報、保護ポリシー が表示されます。 | 下記の「クラスターディテール」をご参照ください。 |
| ⑤ 時間範囲 | トポロジーはデフォルトで過去 7 日間のデータを表示します。 | 必要に応じて、その 7 日間以内のより短いタイムウィンドウにフィルターをかけます。 |
| ⑥ コンテナネットワークトポロジートグル | クラスター単位でネットワークトポロジー表示を有効化または無効化します。デフォルトではすべてのクラスターで無効化されています。 | 下記の「コンテナネットワークトポロジーの有効化」をご参照ください。 |
| ⑦ エクスポート | コンテナ資産概要を PNG ファイルとしてダウンロードします。 | ダウンロード  アイコンをクリックしてエクスポートします。 |
クラスターディテール
トポロジー内のクラスターをクリックすると、4 つのタブを持つサイドパネルが開きます。
クラスター情報
クラスターの 名前 および クラスタータイプ、さらにクラスター内に存在する 名前空間、Pod、ワークロード、アプリケーション、イメージ のリソース数を表示します。
クラスターリスク
クラスターの セキュリティアラート、ベースラインリスク、アプリケーション脆弱性 を表示します。詳細 をセキュリティアラートの横でクリックすると、クラスターの詳細ページまたはイメージのセキュリティ脆弱性一覧に移動し、アラートの表示および対応、脆弱性の修正、イメージリスクの対応 を実行できます。
イメージ情報
クラスター内のイメージを一覧表示します。Security Center にまだ追加されていないイメージリポジトリがある場合は、今すぐ追加 をクリックして、コンテナイメージスキャン ページに移動し、リポジトリを追加します。
保護ポリシー
クラスターの 防御の詳細(過去 7 日間のアラート件数、ルール、防御ステータス)を表示します。ルールの作成 をクリックして、保護ポリシーを追加します。
コンテナネットワークトポロジーの有効化
有効化すると、コンテナネットワークトポロジーはすべてのコンテナ間の通信リンクを表示し、アプリケーションをノードとして可視化します。これにより、コンテナ化ワークロード間の通信経路を正確にトレースでき、予期しない接続やインターネットに公開された経路を特定できます。
コンテナネットワークトポロジーはデフォルトですべてのクラスターで無効化されています。有効化する前に、以下の点を検討してください。
| 項目 | 詳細 |
|---|---|
| CPU 使用率への影響 | 有効化には少量の CPU リソースが使用され、リアルタイムのトラフィックデータ収集が必要です。 |
| ログ量 | 有効化によりログ量が増加します。グローバルログフィルタリング が有効であっても、コンテナの可視化にはトラフィックの重複排除フィルタリングが適用されないため、追加のログ保存領域が必要になります。 |
| 推奨される適用範囲 | リスク状態を積極的に監視する必要があるクラスターのみに有効化することを推奨します。 |
コンテナネットワークトポロジーの有効化または無効化を行うには:
すべてのクラスター:[クラスター概要] の右側にある
または 
トグルをクリックします。単一クラスター: トポロジーで対象のクラスターアイコンをクリックします。 [クラスター情報] タブで、[コンテナネットワークトポロジー] の横にある
または をクリックします。
コンテナネットワークトポロジーの表示
クラスターに対してコンテナネットワークトポロジーを有効化した後、以下の手順に従ってトポロジーおよび各ノードのリスク状態を確認できます。
対象クラスターのアイコンの下にある
アイコンをクリックします。あるいは、クラスターのアイコンをクリックし、クラスター情報 タブで、コンテナネットワークトポロジー の横にある 表示 をクリックします。非常に大規模なクラスターでは、トポロジーはデフォルトで折りたたまれます。
左側のコントロールを使用してトポロジー表示を調整します:
接続済みアプリケーションのみを表示 をトグルして、接続されていないノードを除外します。
ポート情報の表示 をトグルして、接続線上のポートラベルを表示または非表示にします。
線を非表示 をトグルして、接続線を表示または非表示にします。
左側にはクラスター内のすべての名前空間が一覧表示されます。名前空間の横にある
または 
アイコンをクリックして、該当の名前空間を非表示または表示します。また、
または 
アイコンをクリックして、名前空間内のアプリケーションを展開または折りたたみます。アプリケーションのアイコンをクリックすると、Pod 情報、イメージ情報、ネットワーク接続 の各タブが表示されます。Pod 情報 タブでは、Pod 名にカーソルを合わせると Pod 詳細ダイアログが開きます。資産の表示 をクリックすると、資産 > コンテナ に移動し、該当の Pod の脆弱性リスクおよびアラートを確認できます。
