Die Vorteile einer Docker-Bereitstellung sind real, aber ebenso die Bedenken hinsichtlich
der erheblichen Angriffsfläche des Betriebssystems (OS) des Docker-Hosts selbst. Wie
bei jeder gut gestalteten Softwarebereitstellung bieten OS-Härtung und die Anwendung
von Best Practices für Ihre Bereitstellung, wie der Center for Internet Security (CIS) Docker Benchmark, eine solide Grundlage als Ausgangspunkt. Sobald Sie eine sichere Grundlage geschaffen
haben, bietet die Hinzufügung von Server- und Workload Protection zu Ihrer Bereitstellung Zugriff auf die umfangreiche Erfahrung von Trend Micro beim
Schutz physischer, virtueller und Cloud-Workloads sowie auf Echtzeit-Informationen
zur Bedrohung aus dem Trend Micro Smart Protection Network. Server- und Workload Protection schützt sowohl Ihre Bereitstellung als auch hilft, kontinuierliche Compliance-Anforderungen
zu erfüllen und aufrechtzuerhalten. Weitere Informationen zu unterstützten Docker-Editionen
und -Versionen finden Sie unter Docker-Support.
Server- und Workload Protection schützt Ihre Docker-Hosts und -Container, die auf Linux-Distributionen laufen. Server- und Workload Protection kann Folgendes tun:
- Identifizieren, finden und schützen Sie Docker-Hosts in Ihrer Bereitstellung mithilfe von Badges und intelligenten Ordnern
- Schützen Sie Docker-Hosts und -Container vor Schwachstellen, um sie vor bekannten und Zero-Day-Exploits zu schützen, indem Sie neu entdeckte Schwachstellen virtuell patchen
- Bieten Sie echtzeitbasierte Anti-Malware-Erkennung für die auf Docker-Hosts und in den Containern verwendeten Dateisysteme
- Stellen Sie die Integrität des Docker-Hosts sicher, um kontinuierliche Compliance
zu gewährleisten und Ihre Bereitstellung mit den folgenden Techniken zu schützen:
- Verhindern Sie die unbefugte Ausführung von Anwendungen auf Docker-Hosts, indem Sie Ihnen helfen, zu kontrollieren, welche Anwendungen zusätzlich zum Docker-Daemon ausgeführt werden dürfen
- Überwachen Sie Docker-Hosts auf unerwartete Änderungen an Systemdateien
- Benachrichtigen Sie über verdächtige Ereignisse in Ihren OS-Protokollen
 |
HinweisServer- und Workload Protection Docker-Schutz arbeitet auf Betriebssystemebene. Das bedeutet, dass der Agent auf
dem Betriebssystem des Docker-Hosts installiert werden muss, nicht innerhalb eines
Containers.
|
|
HinweisDie Kommunikation zwischen Containern im Pod wird nicht unterstützt.
|
Server- und Workload Protection unterstützt Docker im Swarm-Modus bei Verwendung eines Overlay-Netzwerks.
Server- und Workload Protection-Schutz für den Docker-Host
Die folgenden Server- und Workload Protection-Module können verwendet werden, um den Docker-Host zu schützen:
- Intrusion Prevention (IPS)
- Anti-Malware
- Integritätsüberwachung
- Protokollüberprüfung
- Application Control
- Firewall
- Web Reputation
Server- und Workload Protection-Schutz für Docker-Container
Die folgenden Server- und Workload Protection-Module können verwendet werden, um Docker-Container zu schützen:
- Eindringschutz
- Anti-Malware
Einschränkung bei Empfehlungen für Intrusion Prevention-Durchsuchungen
Obwohl die Server- und Workload Protection Intrusion-Prevention-Kontrollen auf Host-Ebene arbeiten, schützen sie auch den Containerverkehr
auf den freigelegten Container-Portnummern. Da Docker es ermöglicht, mehrere Anwendungen
auf demselben Docker-Host auszuführen, wird eine einzige Intrusion-Prevention-Richtlinie
auf alle Docker-Anwendungen angewendet. Das bedeutet, dass man sich bei Docker-Bereitstellungen
nicht auf Empfehlungsscans verlassen sollte.