コンテナ資産概要では、クラスター、コンテナ、イメージ、およびアプリケーションのセキュリティ操作を視覚的に管理できます。 効率的な管理のために、コンテナのネットワークトポロジーが表示されます。 この機能を使用して、コンテナの最新のセキュリティ情報とネットワーク接続にアクセスします。 このトピックでは、コンテナ全体の情報を表示する方法について説明します。
シナリオ
等級保護要件への準拠
クラウド資産のネットワークトポロジーは、等級保護の基準を満たすのに役立ちます。
可視化
この機能は、インターネット上で公開されているポートを可視化し、クラスター、コンテナ、イメージ、アプリケーションなどの資産に対してセキュリティ操作を実行できるようにします。
前提条件
Ultimate エディションは、ターゲットクラスターがデプロイされているサーバーにバインドされています。
サブスクリプション: サブスクリプションインスタンスを購入する、または エディションをアップグレードする 際に、エディション で [Ultimate] を選択します。
従量課金: 従量課金を有効にする 際に、[ホストとコンテナのセキュリティ] で [はい] を選択し、ターゲットクラスターが配置されているサーバーに Ultimate エディションをバインドします。
コンテナ資産概要のイメージ脆弱性情報は、[コンテナイメージスキャン] 機能から提供されます。 イメージリスクを取得するには、コンテナイメージスキャンを有効化 し、イメージをスキャン する必要があります。
コンテナ資産概要を使用しているときにコンテナイメージスキャンを有効にしないと、サーバーの脆弱性と現在のクラスターのネットワークトポロジーのみが表示され、コンテナの脆弱性は表示されません。 コンテナランタイム環境のセキュリティを確保するために、コンテナイメージスキャンを有効にすることをお勧めします。
背景
セキュリティセンターは、[コンテナ資産概要] ページのコンテナネットワークトポロジーとセキュリティリスク情報を毎分自動的に更新し、最新の更新情報へのアクセスを確保します。
手順
セキュリティセンターコンソール にログインします。コンソールの左上隅で、保護する資産が配置されているリージョンを選択します: 中国 または 全世界 (中国を除く)。
左側のナビゲーションウィンドウで、 を選択します。
アセット一覧 ページで、Container Asset Overview タブをクリックします。
Container Asset Overview タブで、コンテナ資産を表示します。
番号
説明
①
資産のセキュリティスコアを表示する
セキュリティセンターによって計算された セキュリティスコア は、資産の全体的なセキュリティを反映しています。 スコアが高いほど、リスクが少なくなります。
[今すぐ修正] をクリックして、[セキュリティリスク] パネルを展開します。ここで、資産のセキュリティリスクを処理できます。
②
リスクのあるクラスターと資産の数を表示する
黒の数字はクラスターの数を示し、赤の数字はリスクのある資産の数を示します。
[クラスタ] エリアをクリックして、 タブに移動し、クラスタの詳細を表示します。
③
クラスターネットワークトポロジーの表示を切り替える
クラスタートポロジーの上にある [インターネットパースペクティブ] または [クラスターパースペクティブ] をクリックして、表示パースペクティブを切り替えます。
④
クラスターの詳細とセキュリティステータスを表示する
クラスタートポロジーで、必要なクラスターをクリックします。 表示されるパネルで、次のタブでクラスターに関する情報を表示できます: [クラスター情報]、[クラスターリスク]、[イメージ情報]、および [保護ポリシー]。
[クラスター情報]
クラスターの [名前] と [クラスタータイプ] を表示します。 また、クラスター内の次の項目の数も表示できます: [名前空間]、[ポッド]、[作業]、[アプリケーション]、および [イメージ]。
[クラスターリスク]
[セキュリティアラート]、[ベースラインリスク]、[アプリケーションの脆弱性] など、クラスターのセキュリティリスクを表示します。 セキュリティアラートの右側にある [詳細] をクリックします。 クラスターの詳細ページまたはイメージセキュリティページの脆弱性リストで、アラートを表示および処理 し、脆弱性を修正 し、検出されたイメージリスクを処理 します。
[イメージ情報]
クラスター内のイメージのリストを表示します。 セキュリティセンターに追加されていないイメージリポジトリの右側にある [今すぐ追加] をクリックして、[コンテナイメージスキャン] ページに移動します。 コンテナイメージスキャンページで、セキュリティセンターにイメージリポジトリを追加 できます。
[保護ポリシー]
[防御の詳細]、[過去 7 日間のアラート]、[ルール]、[防御ステータス] など、クラスターの防御の詳細を表示します。 [ルールの作成] をクリックして、クラスターの保護ポリシーを追加します。
⑤
クラスターネットワークトポロジーを表示する期間を設定する
[コンテナ資産概要] タブでは、データトラフィックはデフォルトで過去 7 日間表示されます。 必要に応じて、過去 7 日間の特定の期間にデータトラフィックをフィルタリングすることで、この範囲をカスタマイズできます。
⑥
クラスターのコンテナネットワークトポロジーを有効または無効にする
[コンテナネットワークトポロジー] 機能は、デフォルトではすべてのクラスターで無効になっています。
重要この機能を有効にすると、少量の CPU リソースが使用され、リアルタイムのトラフィックデータの収集が必要になるため、ログボリュームが増加します。 [グローバルログフィルタリング] 機能が有効になっている場合でも、コンテナの可視化のためのトラフィック重複排除フィルタリングは適用されません。 その結果、[コンテナネットワークトポロジー] を有効にすると、追加のログストレージスペースが必要になります。 リスクステータスを監視する必要があるクラスターに対してのみ、この機能を有効にすることをお勧めします。
コンテナネットワークトポロジー機能を有効または無効にするには:
または 
アイコンを [クラスタ概要] の右側にクリックして、すべてのクラスタ の コンテナネットワークトポロジ を有効または無効にします。クラスタートポロジーで、ターゲットクラスターのアイコンをクリックします。 右側のパネルの [クラスター情報] タブで、
[コンテナネットワークトポロジー] の右側にある コンテナー ネットワーク トポロジー[保存] または アイコンをクリックして、 の 機能を有効または無効にします。
クラスターのコンテナネットワークトポロジーを有効にした後、以下の手順 5 に従ってコンテナネットワークトポロジーを表示し、各ノードのリスクステータスを確認します。
⑦
コンテナ資産概要をエクスポートする
ダウンロード
アイコンをクリックして、コンテナ資産概要を PNG 形式でエクスポートします。クラスターのコンテナネットワークトポロジー機能を有効にしている場合 (手順 ⑥ を参照)、トポロジーにはすべてのコンテナ間の通信リンクが表示され、アプリケーションはノードとして表されます。 特定のクラスターのコンテナネットワークトポロジーを表示するには、ターゲットクラスターのアイコンの下にある
アイコンをクリックします。クラスターアイコンを直接クリックし、[クラスター情報] タブの [コンテナネットワークトポロジー] の右側にある [表示] を選択することもできます。
説明非常に大規模なクラスターの場合、コンテナ資産概要はデフォルトで折りたたまれています。
左側の [接続されているアプリケーションのみを表示]、[ポート情報を表示]、[線を非表示] を有効または無効にして、コンテナ内のネットワークトポロジーを表示できます。
ページの左側には、クラスター内のすべての名前空間も表示されます。 名前空間の右側にある
または 
アイコンをクリックして、名前空間を非表示または表示できます。 また、
または 
アイコンをクリックして、アプリケーションを展開または折りたたむこともできます。名前空間内のアプリケーションを展開した後、コンテナ資産概要でアプリケーションアイコンをクリックして、アプリケーションの [ポッド情報]、[イメージ情報]、[ネットワーク接続] を表示します。
[ポッド情報] タブで、ポッド名にカーソルを合わせると、ポッドの詳細ダイアログボックスが表示されます。 ダイアログボックスの [資産を表示] をクリックして ページに移動し、ポッドの脆弱性リスクやアラートなどの情報を表示します。
