Container Security unterstützt den Schutz von verbundenen Amazon EKS und Amazon EKS Fargate Containern.
 |
Hinweis
|
Prozedur
- Navigieren Sie zu .
- Wählen Sie den Knoten Kubernetes in der Hierarchie.
- Klicken Sie auf Add Cluster.Das Fenster Protect Cluster wird angezeigt.
- Geben Sie einen eindeutigen Namen für den Cluster ein.
Hinweis
-
Clusternamen dürfen keine Leerzeichen enthalten und unterstützen nur alphanumerische Zeichen, Unterstriche (_) und Punkte (.).
-
Sie können den Clusternamen nach der Erstellung des Clusters nicht ändern.
-
- Wenn Sie weitere Details zum Zweck des Clusters angeben möchten, verwenden Sie das Feld Beschreibung.
- Wenn Sie möchten, dass Container Security Daten an Cloud Risk Management sendet und
CREM Risk Insights empfängt, wählen Sie Map to cloud account.
- Wählen Sie im Dropdown-Menü AWS aus.
- Melden Sie sich in einem anderen Browser-Tab bei dem AWS-Konto an, das den Cluster hostet.
- Suchen Sie nach den Amazon Elastic Kubernetes Service-Einstellungen in AWS und gehen Sie dorthin.
- Klicken Sie auf den Clusternamen, den Sie mit Container Security schützen möchten.
- Klicken Sie auf Überblick und kopieren Sie den ARN-Wert für den Cluster.
- Zurück im Container Security Protect Cluster-Bildschirm, fügen Sie den Wert in das Feld ARN ein.
- Wenn Sie bereits eine Richtlinie erstellt haben, die Sie zum Schutz des Kubernetes-Clusters
verwenden möchten, wählen Sie den Richtliniennamen aus der Dropdown-Liste Richtlinie aus.Sie können eine Kubernetes-Richtlinie erstellen und die Richtlinie nach dem Verbinden des Clusters zuweisen.
- Um sicherzustellen, dass Container Security keine der folgenden Kubernetes-Managementsysteme
beeinträchtigt, wählen Sie die Systeme im Namespace Exclusions-Dropdown-Menü aus.
-
Calico System
-
Istio System
-
Kube System
-
OpenShift
-
- Wenn Ihr Cluster einen Proxy-Server benötigt, aktivieren Sie Use Proxy und konfigurieren Sie die folgenden Einstellungen:
-
Protokoll: Wählen Sie HTTP, HTTPS oder SOCKS5.
-
Proxy address: Geben Sie die IP-Adresse des Proxy-Servers an.
-
Port: Geben Sie die Portnummer des Proxy-Servers an.
-
Require authentication credentials: Wählen und geben Sie den Konto und Kennwort des Proxy-Servers an.
-
Use self-signed certificate: Wählen Sie aus Host file, Secret oder ConfigMap und geben Sie dann die Zertifikatsinformationen ein.
-
- Wenn Sie bereits wissen, welche Sicherheitsfunktionen Sie im Cluster aktivieren möchten,
aktivieren Sie die gewünschten Funktionen.
-
Runtime Security: Bietet Einblick in alle Aktivitäten Ihrer laufenden Container, die gegen eine anpassbare Regelmenge verstoßen.
-
Runtime Vulnerability Scanning: Bietet Einblick in Betriebssystem- und Open-Source-Code-Schwachstellen, die Teil von Containern sind, die in Clustern ausgeführt werden.
-
Runtime Malware Scanning: Bietet Erkennung von Malware in Ihren laufenden Containern, sodass Sie Malware-Bedrohungen identifizieren und darauf reagieren können, die nach der Bereitstellung eingeführt wurden.
-
- Klicken Sie auf Weiter.Die Informationen des Helm-Bereitstellungsskripts werden auf dem Bildschirm angezeigt.
- Für Benutzer, die zum ersten Mal Container Security-Schutz im Cluster bereitstellen:
- Wenn Sie Schutz in einem Fargate-Container bereitstellen, wählen Sie Fargate environment, um den folgenden Code in das Helm-Skript einzufügen:
fargateInjector: enabled: trueHinweis
-
Bevor Sie eine Amazon EKS Fargate-Pod verbinden, stellen Sie sicher, dass der Container die notwendigen Systemvoraussetzungen für EKS Fargate-Bereitstellungen erfüllt.
-
Für reine Amazon EKS Fargate-Umgebungen müssen Sie möglicherweise Ihr Fargate-Profil anpassen, um die Planung von Pods in einem nicht standardmäßigen Namespace zu ermöglichen (zum Beispiel
trendmicro-system). Siehe AWS-Dokumentation für weitere Informationen zu Fargate-Profilen.
-
- Um die Konfigurationseigenschaften von Container Security in Ihrem Kubernetes-Cluster
zu definieren, erstellen Sie eine YAML-Datei (zum Beispiel: overrides.yaml) und kopieren Sie den Inhalt des ersten Eingabefelds in die Datei.
Warnung
Die YAML-Datei enthält einen eindeutigen API-Schlüssel, der erforderlich ist, um den angegebenen Cluster mit Container Security zu verbinden. Der API-Schlüssel wird nur einmal angezeigt und Sie sollten eine Kopie für zukünftige Upgrades erstellen. Trend Micro kann den API-Schlüssel nicht erneut abrufen, sobald Sie den Bildschirm schließen. - Um die automatische Clusterregistrierung zu aktivieren, erstellen Sie einen API-Schlüssel und geben Sie
truefürclusterRegistrationKeyein, wie im folgenden Beispiel gezeigt.Hinweis
Sie können den Schutz des Clusters konfigurieren, indem SieclusterName,clusterNamePrefix,policyId,groupIdim AbschnittpolicyOperatorangeben.Beispiel-Überschreibungsdatei:visionOne: clusterRegistrationKey: true endpoint: https://api.xdr.trendmicro.com/external/v2/direct/vcs/external/vcs exclusion: namespaces: [kube-system] inventoryCollection: enabled: true complianceScan: enabled: false policyOperator: clusterName: xxxx (optional. A random name will be used if not specified) clusterNamePrefix: xxxx (optional) policyId: xxxx (optional) groupId: xxxx (required) - Kopieren Sie das gesamte
helm install-Skript in das zweite Eingabefeld und führen Sie das Helm-Skript auf Ihrem Cluster aus.Hinweis
Ändern Sie den--values overrides.yaml \-Parameter, um den relativen Pfad zu dem overrides.yaml zu verwenden, den Sie im vorherigen Schritt gespeichert haben.
- Wenn Sie Schutz in einem Fargate-Container bereitstellen, wählen Sie Fargate environment, um den folgenden Code in das Helm-Skript einzufügen:
- Für Benutzer, die eine bestehende Bereitstellung aktualisieren, kopieren Sie das gesamte
helm get values --namespace trendmicro-system trendmicro | helm upgrade \-Skript in das letzte Eingabefeld und führen Sie das Helm-Skript auf Ihrem Cluster aus.Hinweis
In Zukunft können Sie die Helm-Bereitstellung aktualisieren, ohne Änderungen zu überschreiben, indem Sie das Helm-Argument verwenden:--reuse-values.