トレンドマイクロ Artifact Scannerの結果をContainer Securityアドミッションコントロールポリシーに統合できます。 CLIのインストールおよび設定方法については、を参照してください。トレンドマイクロ Artifact ScannerのCI/CDパイプラインへの統合 。
検索結果は、 Container Securityに自動的に送信されます。ただし、
registryアーティファクトの種類 (レジストリ:yourrepo/yourimage@digest ) 結果を使用できるようにします。例:
tmas scan registry:nginx@sha256:08e9c086194875334d606765bd60aa064abd3c215abfbcf5737619110d48d114
これにより、レジストリからイメージがプルされ、SBOMが生成され、オープンソースの脆弱性検索が実行されます。
クラスタにコンテナをデプロイする場合は、デプロイするイメージのイメージダイジェストを指定します。このダイジェストは、イメージがレジストリにプッシュされたときに生成されます。また、
トレンドマイクロ Artifact Scannerでイメージを検索するときにも使用する必要があります。これにより、検索結果をクラスタに配信されるイメージと自動的に関連付けることができます。
トレンドマイクロ Artifact Scannerでは複数アーキテクチャ (multi-arch) のイメージの検索がサポートされていますが、複数アーキテクチャのイメージダイジェストまたはタグが指定されている場合は、マニフェストリストの1つのイメージのみが検索されます。検索対象のイメージは、プラットフォームフラグに基づいて選択されます。初期設定の検索対象アーキテクチャは
Linux/amd64 。検索結果はアーキテクチャ固有であるため、評価された脆弱性が選択したアーキテクチャに合わせて調整されます。マルチアーキテクチャタグまたはダイジェストを使用してイメージを検索および配信すると、検索対象とは異なるアーキテクチャのノードがクラスタに存在する場合、セキュリティ上のリスクが発生します。
 |
警告イメージの配信に関連するリスクと脅威を正確に評価するには、イメージを検索してクラスタに配信するときに、アーキテクチャ固有のダイジェストを提供します。これにより、検索されたイメージがクラスタにデプロイされるイメージと一致するようになります。この関連付けにより、アドミッションコントロールポリシーを簡単に設定できます。たとえば、CRITICAL脆弱性を持つコンテナイメージがクラスタにデプロイされないようにブロックできます。
|
トレンドマイクロ Artifact Scannerの検索結果は、検索が完了してから30日間、アドミッションコントロールポリシーに対してのみ有効です。この期間が経過すると、イメージはスキャンされなかったものとして扱われます。
Container Securityのアドミッションコントロールポリシーを使用している場合は、少なくとも30日に1回は同じイメージを検索する必要があります。これにより、比較的最近に検出された脆弱性に基づいてアドミッションコントロールが決定されます。
次に、Container Protectionポリシーアーティファクトスキャナの結果を利用するものです。