ビュー:

Container Securityは接続されたOracle Cloud OKEコンテナの保護をサポートします。

重要
重要
  • Kubernetes環境がContainer Securityの必要な要件を満たしていることを確認してください。
  • コンテナの隔離タスクを使用したいユーザは、クラスターが[Calico]ネットワークポリシーを実装していることを確認する必要があります。

手順

  1. [Cloud Security][Container Security][Inventory/Overview]に移動します。
  2. ツリーの [Kubernetes] ノードを選択します。
  3. すでにクラスターが展開されている場合は、[Deploy protection to a Kubernetes cluster] または [クラスタを追加] をクリックしてください。
    [クラスタを保護] 画面が表示されます。
  4. クラスターに一意の名前を指定します。
    注意
    注意
    • クラスター名にはスペースを含めることはできず、英数字、アンダースコア (_)、およびピリオド (.) のみが使用可能です。
    • クラスターを作成した後は、クラスター名を変更することはできません。
  5. クラスターの目的に関する詳細を提供したい場合は、[説明]フィールドを使用してください。
  6. Container SecurityがCloud Risk Managementにデータを送信し、CREM RISK INSIGHTSを受信する場合は、[クラウドアカウントへのマッピング]を選択してください。
    1. ドロップダウンで、[Oracle Cloud] を選択します。
    2. 別のブラウザタブで、クラスターをホストしているOracleクラウドアカウントにサインインしてください。
    3. 保護したいクラスターのクラスターIDをコピーして貼り付け、対応する値を[クラウドアカウントへのマッピング]の下に入力してください。
  7. Kubernetesクラスターを保護するために使用したいポリシーを既に作成している場合は、[ポリシー]ドロップダウンからポリシー名を選択してください。
    Kubernetesポリシーを作成し、クラスターに接続した後にポリシーを割り当てることができます。
  8. Container Securityが以下のKubernetes管理システムに影響を与えないようにするために、[名前空間の除外]ドロップダウンでシステムを選択してください。
  9. クラスターがプロキシサーバを必要とする場合、[Use Proxy]をオンにして、次の設定を構成してください。
    • プロトコル: [HTTP][HTTPS]、または[SOCKS5]を選択します。
    • プロキシアドレス: プロキシサーバのIPアドレスを指定します。
    • ポート: プロキシサーバのポート番号を指定します。
    • 認証情報を要求: プロキシサーバの[アカウント][パスワード]を選択して指定します。
    • 自己署名証明書を使用: [ホストファイル][秘密]、または[ConfigMap]から選択し、証明書情報を入力してください。
  10. クラスターで有効にしたいセキュリティ機能の種類がすでにわかっている場合は、希望する機能をオンにしてください。
    • ランタイムセキュリティ: カスタマイズ可能なルールセットに違反する、実行中のコンテナのアクティビティを可視化します。
    • ランタイム脆弱性スキャン: クラスタで実行されているコンテナの一部であるOSとオープンソースコードの脆弱性を可視化します。
    • ランタイム不正プログラムスキャン: 実行中のコンテナ内の不正プログラムを検出し、デプロイ後に導入された不正プログラムの脅威を特定して対応することができます。
    • ランタイムシークレットスキャン: 実行中のコンテナ内の秘密情報を検出し、運用中のコンテナでの秘密情報漏洩を迅速に検出します。
  11. [次へ] をクリックします。
    Helmデプロイメントスクリプト情報が画面に表示されます。
  12. Container Security保護を初めてクラスターに展開するユーザへ:
    1. KubernetesクラスターでContainer Securityの構成プロパティを定義するには、YAMLファイル (例: overrides.yaml) を作成し、最初の入力フィールドの内容をそのファイルにコピーしてください。
      警告
      警告
      YAMLファイルには、指定されたクラスターをContainer Securityに接続するために必要な一意のAPIキーが含まれています。APIキーは一度しか表示されないため、将来のアップグレードのためにコピーを作成してください。画面を閉じると、トレンドマイクロはAPIキーを再取得することができません。
    2. 自動クラスタ登録を有効にするには、APIキーを作成し、以下の例のようにclusterRegistrationKeytrueを入力してください。
      注意
      注意
      policyOperatorセクションでclusterNameclusterNamePrefixpolicyIdgroupIdを指定することで、クラスターの保護を構成できます。
      サンプルオーバーライドファイル: 
      visionOne:
    clusterRegistrationKey: true
    endpoint: https://api.xdr.trendmicro.com/external/v2/direct/vcs/external/vcs
    exclusion: 
        namespaces: [kube-system]
    inventoryCollection:
        enabled: true
    complianceScan:
        enabled: false
    policyOperator:
        clusterName: xxxx (optional. A random name will be used if not specified)
        clusterNamePrefix: xxxx (optional)
        policyId: xxxx (optional)
        groupId: xxxx (required)
    3. 2番目の入力フィールドにhelm installスクリプト全体をコピーし、クラスターでHelmスクリプトを実行してください。
      注意
      注意
      --values overrides.yaml \パラメータを、前の手順で保存したoverrides.yamlへの相対パスを使用するように変更してください。
  13. 既存のデプロイメントを更新するには、最後の入力フィールドにhelm get values --namespace trendmicro-system trendmicro | helm upgrade \スクリプト全体をコピーし、クラスターでHelmスクリプトを実行してください。
    注意
    注意
    今後は、Helm引数を使用して、変更を上書きせずにHelmデプロイメントをアップグレードできます。
    --reuse-values.