Docker環境の導入にはメリットがあるのはもちろんですが、同時にDockerホストのOS自体が攻撃の対象になることに注意が必要です。他のソフトウェアの導入同様に、OSの強化や環境に応じたベストプラクティス
(Center for Internet Security (CIS) のDocker Benchmarkなど) を利用することで、最初に強固な基盤を構築することが重要になります。Deep Securityを導入することで、トレンドマイクロの広範囲にわたる物理的、仮想的、およびクラウドワークロード、Trend Micro Smart Protection Networkのリアルタイムの脅威情報へのアクセスを利用できるようになります。Deep Securityは、環境の保護だけでなく、継続的なコンプライアンス要件への対応と維持にも役立ちます。サポート対象のDockerのエディションとリリースについては、Dockerのサポートを参照してください。
Deep Securityは、Linuxディストリビューションで動作するDockerホストおよびコンテナを保護します。Deep Securityでは次のことが可能です。
-
新たに見つかった脆弱性に対して仮想パッチを適用することで、Dockerホストおよびコンテナを脆弱性に対する既知またはゼロデイの攻撃コードから保護する
-
Dockerホストで使用されるファイルシステムに対して、リアルタイムおよび手動とスケジュールされたスキャンによる不正プログラム対策検出を提供します。
-
コンテナ内で使用されるファイルシステムに対してリアルタイムの不正プログラム対策検出を提供します。
-
次の手法を使用して、継続的なコンプライアンスの維持と環境の保護のためにDockerホストの変更をアサートする
-
Dockerデーモンに加えて実行を許可するアプリケーションを制御することで、Dockerホストでのアプリケーションの不正な実行を防止する
-
Dockerホストをモニタしてシステムファイルの予期しない変更を検出します
-
Deep Security Docker保護はOSレベルで動作します。これは、Deep Security Agentをコンテナ内ではなく、DockerホストのOSにインストールする必要があることを意味します。
 |
注意ポッド内のコンテナ間の通信はサポートされていません。
|
Deep Security 10.1以降、Trend Micro Deep Securityは、Dockerをswarmモードでサポートし、オーバーレイネットワークを使用します。
Deep SecurityによるDockerホストの保護
Dockerホストの保護には、次のDeep Securityモジュールを使用できます。
-
侵入防御 (IPS)
-
不正プログラム対策
-
Integrity Monitoring
-
Log Inspection
-
アプリケーションコントロール
-
ファイアウォール
-
Webレピュテーション
Deep SecurityによるDockerコンテナの保護
Dockerコンテナの保護には、次のDeep Securityモジュールを使用できます。
-
侵入防御
-
不正プログラム対策 (リアルタイムスキャンのみ対応;スケジュールスキャンおよび手動スキャンは非対応)
侵入防御の推奨検索に関する制限事項
Deep Securityの侵入防御はホストレベルで動作しますが、公開されたコンテナポート番号のコンテナトラフィックも保護されます。Dockerでは複数のアプリケーションを同じDockerホスト上で実行できるため、単一の侵入防御ポリシーがすべてのDockerアプリケーションに適用されます。そのため、推奨設定の検索はDocker環境に対しては推奨されません。