コンテナとKubernetesのセキュリティ

Cortex®Cloudがあれば、パブリック クラウドでもプライベート クラウドでも、Kubernetes®を始めとするコンテナ プラットフォームを、コードからクラウドまで保護できます
コンテナ セキュリティHeroの正面画像

コンテナ、Kubernetes、Container as a Service (CaaS)は、大規模なサービスをパッケージ化およびオーケストレーションするための主要な方法になっています。これに伴い、コンテナ化アプリケーションの脆弱性管理、コンプライアンス、ランタイム保護、ネットワーク セキュリティの要件に対応した専用のセキュリティの採用が求められています。

アプリケーションのライフサイクル全体にわたるコンテナ セキュリティ

Cortex Cloudはコンテナ イメージをスキャンし、継続的インテグレーションと継続的デリバリーのワークフローの一環としてポリシーを適用し、リポジトリやレジストリ内のコードを継続的に監視します。そして、リスクの優先順位付けを大規模なランタイム保護と組み合わせて、管理対象と管理対象外両方のランタイム環境を保護します。
  • パブリック クラウドとプライベート クラウドのサポート
  • 管理対象/管理対象外の環境を単一のコンソールで対応
  • リポジトリ、イメージ、コンテナのライフライクル全体を通したセキュリティ
  • 脆弱性管理
    脆弱性管理
  • コンテナのコンプライアンス
    コンテナのコンプライアンス
  • CI/CDのセキュリティ
    CI/CDのセキュリティ
  • ランタイム保護
    ランタイム保護
  • アクセス制御
    アクセス制御
ソリューション

コンテナ セキュリティに対するアプローチ

脆弱性管理

構築、導入、実行の各フェーズにおいて、コンテナのすべての依存関係を完全に可視化することから始めます。CaaSやホストで動作するコンテナとCI/CDパイプラインの脆弱性を、Cortex Cloudによりパブリック クラウドとプライベート クラウドで継続的に集約して優先順位付けします。

  • ガイダンスに基づいて修復を優先順位付け

    脆弱性トップ10リストを使用し、すべての既知のCVE、修復ガイダンス、レイヤーごとのイメージ分析において、リスクの優先順位付けを行います。

  • 重大度レベルのアラートとブロックを備えたガードレールを追加

    構築時および実行時に、個々のサービスおよびサービス グループに対するアラートやブロックの重大度レベルを制御します。

  • 極めて高い精度による恩恵

    30個を超えるアップストリーム データ ソースで誤検知を最小化。Cortex Cloudでは、開発者やセキュリティ チームに正確な脆弱性情報のみを提供することに重点を置いています。

  • ライフサイクル全体の脆弱性情報を提示

    脆弱性管理を組み込み、リポジトリ、レジストリ、CI/CDパイプライン、ランタイム環境をスキャンします。

Vulnerability management

コンテナのコンプライアンス

コンテナ環境の保守担当者は、サーバベースのモノリスに比べ、独特の設定問題に直面しています。Cortex Cloudでは、標準装備でカスタマイズ可能なコンプライアンス チェックを400項目以上用意しており、コンテナ環境におけるコンプライアンス体制の強化にお役立ていただけます。

  • 長期にわたりコンプライアンスの監査履歴を維持する

    Cortex Cloudでは、コンテナ体制の継続的かつ最新のビューと、過去のスキャンの詳細な履歴に基づいて、全体的なコンプライアンスの評価を確認します。

  • 事前構築済みのカスタム ポリシーに基づいて構築と導入を制御

    PCI DSS、HIPAA、GDPR、DISA STIG、NIST SP 800-190などの主要なフレームワークのテンプレートを使用したり、組織のニーズに合わせてテンプレートをカスタマイズできます。

  • CISベンチマークと独自のチェックを実装

    Docker®、Kubernetes、Linux、Windows®、Istioを対象に、CISベンチマークの事前設定済みのチェックだけでなくCortex Cloudによる調査をご活用いただけます。

  • ライセンスのコンプライアンス レベルを設定

    組織の要件を満たさないライセンスや、属性などの追加の詳細情報を必要とするライセンスを自動的に警告したり、ブロックします。

  • イメージの信頼性を管理

    信頼できるグループとイメージを使用して、安全なイメージだけを本番環境に導入できます。

  • 構築時と実行時にコンプライアンス チェックを追加

    開発ライフサイクルの各ステップで設定ミスに対するアラートとガードレールを実装することで、パッチ不整合を軽減し、本番環境における設定ミスを回避します。

container compliance

CI/CDのセキュリティ

コンテナを保護する最も効果的な戦略は、開発ライフサイクルの各ステップで問題を検出して修復することです。CI/CDワークフローでは、自動化されたセキュリティ チェックを既存の開発プロセスに組み込むことができるため、開発者とセキュリティ チーム両方の負担が軽減されます。

  • リポジトリとレジストリをスキャンして、脆弱性と設定ミスを検出

    ソース コードとイメージをチェックして、GitHubなどのリポジトリや、Docker、Quay、Artifactoryなどのレジストリにおいて、脆弱性とコンプライアンスの問題を検出します。

  • 導入を検証済みイメージに限定する

    信頼できるグループとイメージを使用して、安全なイメージだけを本番環境に導入できます。

  • CIツールにセキュリティを組み込む

    Cortex Cloudは、Jenkins、GitHub Actions、CircleCI、AWS CodeBuild、Azure DevOps、Google Cloud BuildなどのCIツールからの問題のあるイメージを警告し、ブロックする統合機能を備えています。

  • すべてのステージでSoftware Composition Analysis (SCA)を提供

    CLIとリポジトリ スキャンから、パッケージの脆弱性とオープンソース ライセンスに関するフィードバックを提供します。

CI/CDのチェック

ランタイム保護

コンテナはさまざまな環境で動作しながら、自動的にスケーリングします。Cortex Cloudは、予測と脅威に基づく保護機能を使用して、オーバーヘッドを増やすことなく、一時的なコンテナを保護します。vanilla Kubernetes、マネージドKubernetes、およびCaaS環境でスタンドアロン動作するコンテナを、エージェントとエージェントレスのオプションを含む弊社の柔軟な導入で保護します。

  • 単一のコンソールでセキュリティを簡素化

    すべての管理対象外/管理対象サービスとすべてのCRI準拠ランタイムで、クラウドとオンプレミス環境のコンテナに対するサポートを活用します。

  • 異常な動作を自動検出

    プロセス、ネットワーキング、ファイル システムの動作に基づいて、実行中のコンテナを自動的にプロファイリングし、既知の不正な動作や異常な動作を検出します。

  • 環境全体のネットワークを可視化

    クラウド環境におけるすべてのコンテナのネットワーク通信をリアルタイムで表示します。

  • 自動的にキャプチャされたフォレンジックの詳細情報を使用してインシデントに迅速に対応

    インシデントに至るまでのイベントとインシデント発生後のイベントの履歴を表示して、脅威ハンティングとライフサイクル分析を行います。

ランタイム保護

アクセス制御

コンテナ ランタイムやKubernetesのデフォルトでは、過度に寛容なアクセス権が作成されます。Cortex Cloudは、DockerとKubernetesに対するユーザーとコントロール プレーンのアクセス権を制限して、アタック サーフェスを縮小します。

  • Dockerコマンドのアクセス権を制御

    Dockerコマンド実行アクセス権を持つユーザーを、環境ごとにきめ細かく制御します。

  • 機密保持機能をコンテナに安全に組み込む

    Cortex Cloudは、CyberArkやHashiCorpなどのシークレット管理ツールと連携して機密を保護し、必要に応じてコンテナに安全に渡します。

  • 管理されたOpen Policy Agent (OPA)を使用してポリシー適用を簡素化

    ポリシーをコードとして簡単に作成し、OPAの決定を適用します。

  • 詳細なログを自動化および集約

    脆弱性、コンプライアンス違反、ランタイム イベントに関する監査イベントは、単一の検索可能なダッシュボードで自動的に生成、収集、集約されます。

アクセス制御

追加のクラウド ランタイム セキュリティ機能

AI駆動型クラウド検出&レスポンス(CDR)

リアルタイムの保護、検出、レスポンスによりクラウド攻撃を阻止します。

API セキュリティ

APIの検出、プロファイリング、保護をリアルタイムに実施。

クラウド ワークロード保護

Cortex Cloudなら、アプリケーション ライフサイクル全体にわたってホスト、コンテナ、サーバレスの導入を保護できます。

Webアプリケーション セキュリティ

パブリック/プライベートを問わず、あらゆるクラウドネイティブ アーキテクチャでWebアプリケーションを保護。