Dockerの展開の利点は現実ですが、DockerホストのOS自体の攻撃領域に関する懸念も同様に現実です。よく設計されたソフトウェア展開と同様に、OSの強化と、Center for Internet Security (CIS) Docker Benchmarkなどのベストプラクティスの使用は、出発点として堅固な基盤を提供します。安全な基盤が整ったら、Trend Cloud One - Endpoint & Workload
Securityを展開に追加することで、物理、仮想、およびクラウドのワークロードを保護するトレンドマイクロの豊富な経験と、トレンドマイクロSmart Protection Networkからのリアルタイムの脅威情報にアクセスできます。Workload Securityは、展開を保護するだけでなく、継続的なコンプライアンス要件の達成と維持にも役立ちます。サポートされているDockerエディションとリリースに関する情報については、Dockerサポートを参照してください。
Workload Security は、Linuxディストリビューションで動作しているDockerホストとコンテナを保護します。Workload Security
では、次の処理を実行できます。
- バッジとスマートフォルダーを使用して、デプロイ内のDockerホストを識別、検索、および保護します。
- 新たに見つかった脆弱性に対して仮想パッチを適用することで、Dockerホストおよびコンテナを脆弱性に対する既知またはゼロデイの攻撃コードから保護する
- Dockerホストで使用されるファイルシステムに対して、リアルタイムおよび手動とスケジュールされたスキャンによる不正プログラム対策検出を提供します。
- Dockerコンテナ内で使用されるファイルシステムに対してリアルタイムの不正プログラム対策検出を提供します。
- 次の手法を使用して、継続的なコンプライアンスの維持と環境の保護のためにDockerホストの変更をアサートする
- Dockerデーモンに加えて実行を許可するアプリケーションを制御することで、Dockerホストでのアプリケーションの不正な実行を防止する
- Dockerホストをモニタしてシステムファイルの予期しない変更を検出します。
- OSログの不審なイベントを通知する。
Workload SecurityDocker 保護はOSレベルで機能します。つまり、エージェントは、コンテナ内ではなく、DockerホストのOSにインストールする必要があります。
ポッド内のコンテナ間の通信はサポートされていません。
Workload Security は、オーバーレイネットワークを使用しているときにDarmerをswarmモードでサポートします。
Workload SecurityによるDockerホストの保護
次の Workload Security モジュールを使用して、Dockerホストを保護できます。
- 侵入防御 (IPS)
- 不正プログラム対策
- 変更監視
- セキュリティログ監視
- アプリケーションコントロール
- ファイアウォール
- Webレピュテーション
Dockerコンテナに対するWorkload Securityの保護
次の Workload Security モジュールを使用して、Dockerコンテナを保護できます。
- 侵入防御
- 不正プログラム対策 (リアルタイムスキャンのみ対応;スケジュールスキャンおよび手動スキャンは非対応)
侵入防御の推奨検索に関する制限事項
Workload Security侵入防御 コントロールはホストレベルで動作しますが、エクスポーズされたコンテナポート番号のコンテナトラフィックも保護します。Dockerでは複数のアプリケーションを同じDockerホスト上で実行できるため、単一の侵入防御ポリシーがすべてのDockerアプリケーションに適用されます。そのため、推奨設定の検索はDocker環境に対しては推奨されません。