Security Center:クラスターとリポジトリイメージの管理

サポートされるクラスタータイプ

Security Center は、以下のクラスタータイプをサポートしています。

クラスターのセキュリティリスクの表示

1. Security Center コンソールSecurity Center コンソールSecurity Center コンソールSecurity Center コンソールにログインします。

2. 左側のナビゲーションウィンドウで、[資産] > [コンテナ] を選択します。左上隅で、リージョンを選択します。

3. [クラスター] タブで、接続されているクラスターの数、リスクのあるクラスターの数、およびクラスターの完全なリストを表示します。

• クラスターの検索：検索バーを使用して、クラスター ID、タイプ、またはその他の属性でフィルタリングします。

• リスク詳細の表示：[操作] 列のクラスター名または [表示] をクリックして、リスク詳細ページを開きます。このページには、セキュリティアラート、脆弱性、構成リスク (Kubernetes 構成リスクとベースラインリスク)、およびコンテナファイアウォールのアラートに関する統計とリストが表示されます。

K8s ログ脅威検知の有効化

K8s ログ脅威検知により、Security Center はクラスターのログデータを取得して高リスク操作や攻撃行動を特定し、エージェントベースの検知だけでは不十分な、より深いセキュリティカバレッジを提供します。

ACK マネージドクラスターおよび専用クラスターの場合：

1. Container Service コンソールで Log Audit 機能を有効にします。詳細については、「クラスター API サーバーの監査機能の使用」をご参照ください。

   1. Container Service 管理コンソールにログインします。左側のナビゲーションウィンドウで、[クラスター] をクリックします。

   2. 対象のクラスター名をクリックします。左側のナビゲーションウィンドウで、[セキュリティ管理] > [監査] を選択します。

   3. 画面の指示に従って Simple Log Service (SLS) プロジェクトを選択し、機能を有効にします。

2. Security Center コンソールで、コンテナの K8s 脅威検知を有効にします。

自己管理型 Kubernetes クラスターの場合：

詳細については、「ログ脅威検知の有効化」をご参照ください。

機能を有効にしたら、[コンテナ] ページの [クラスター] タブに移動します。対象クラスターの [K8s ログステータス] 列をチェックして、ログ脅威検知がアクティブであることを確認します。

クラスターポートの公開分析

コンテナポートをインターネットに公開すると、ネットワーク侵入やデータ侵害の攻撃対象領域が生まれます。Security Center の公開分析は、クラスター全体でパブリックに到達可能なポートを検出します。

現在、公開分析は ACK マネージドクラスターおよび専用クラスターのみをサポートしています。

Security Center は毎朝、接続されているすべてのクラスターに対して完全な公開分析を実行します。オンデマンド分析を実行するには、[クラスター] タブで対象クラスターの [操作] 列にある [公開分析] をクリックします。

(オプション) 右上隅の [タスク管理] をクリックします。[タスク管理] パネルの [コンテナの公開] タブで、公開分析の進行状況と詳細を確認します。

エクスポージャーの結果を表示するには：

1. [コンテナ] ページで、対象のクラスター名をクリックします。

2. クラスター詳細ページで、[コンテナ] タブをクリックし、[公開済み] フィルターを [はい] に設定します。

1. [公開] 列の アイコンにカーソルを合わせると、公開ポートの詳細が表示されます。

攻撃対象領域を減らすために、アクティブに使用されていないインターネットに公開されたポートはすべて閉じてください。

イメージリポジトリの表示

1. Security Center コンソールSecurity Center コンソールSecurity Center コンソールSecurity Center コンソールにログインします。

2. 左側のナビゲーションウィンドウで、[資産] > [コンテナ] を選択します。左上隅で、リージョンを選択します。

3. [イメージ] タブで、イメージリポジトリの情報を表示します。

[概要] セクションには、リスクのあるイメージの数と、イメージセキュリティスキャンの [残りクォータ] が表示されます。

• スキャンクォータの引き上げ：[残りクォータ] セクションで、[クォータの引き上げ] をクリックします。詳細については、「スペックアップとスペックダウン」をご参照ください。

• プライベートリポジトリの登録：[サードパーティイメージリポジトリの追加] セクションで、[追加] をクリックします。詳細については、「イメージリポジトリの追加」をご参照ください。

リポジトリリストには、アセットセンターに接続されているすべてのリポジトリが表示されます。これには、リポジトリ名、リージョン、タイプ、リスクステータスが含まれます。

• リポジトリの検索：検索バーを使用して、インスタンス ID、名前空間、またはその他の属性でフィルタリングします。

• リポジトリ詳細の表示：リポジトリ名または [操作] 列の [表示] をクリックします。詳細ページには、各イメージの名前、バージョン、サイズ、リスクステータスが一覧表示されます。[作成日時/更新日時] 列は、リポジトリのローカルでの作成日時や更新日時ではなく、Security Center の初回および最新の同期日時を反映しています。

• Platform for AI (PAI) イメージリポジトリの表示：検索バーで [タグ] > [PAI] フィルターを適用します。

• Container Registry Enterprise Edition の自動同期の有効化：リポジトリの [操作] 列にある [同期] をクリックします。有効にすると、Container Registry Enterprise Edition インスタンスに追加された資産は、Security Center のイメージリストに自動的に同期されます。

特定のイメージバージョンの脅威と脆弱性の詳細を表示またはエクスポートするには、リポジトリ詳細ページに移動し、対象のバージョンを見つけて、[操作] 列の [処理] をクリックします。

コンテナイメージのスキャン

イメージスキャンは、コンテナイメージ内の脆弱性、ベースラインリスク、不正なサンプル、機密ファイルを検出します。

1. Security Center コンソールSecurity Center コンソールSecurity Center コンソールSecurity Center コンソールにログインします。

2. 左側のナビゲーションウィンドウで、[資産] > [コンテナ] を選択します。左上隅で、リージョンを選択します。

3. [イメージ] タブの [コンテナイメージスキャン] セクションで、[今すぐスキャン] をクリックします。

1. [クイックスキャン] ダイアログボックスで、イメージタイプを選択し、スキャン範囲を設定してから、[OK] をクリックします。スキャン範囲の設定オプションについては、「イメージセキュリティスキャンの実行」をご参照ください。

2. (オプション) 右上隅の [タスク管理] をクリックします。[イメージスキャン]、[イメージリスクの修正]、[コンテナランタイムイメージスキャン] タブで、スキャンの進行状況を追跡し、修復情報を確認します。