Container Securityは、接続されたAmazon EKSおよびAmazon EKS Fargateコンテナの保護をサポートします。
注意
|
手順
- に移動 。
- ツリーで [Kubernetes] ノードを選択します。
- [クラスタを追加]をクリックします。[クラスタを保護] 画面が表示されます。
- [Container Inventory] テーブルに表示されるクラスタの一意の名前を [クラスタ] フィールドに指定します。
注意
-
クラスタ名にスペースを含めることはできません。使用できるのは、英数字、アンダースコア (_)、およびピリオド (.) のみです。
-
クラスタの作成後にクラスタ名を変更することはできません。
-
- クラスタの目的に関する詳細を指定する場合は、 [説明] フィールドを使用します。
- Container SecurityでCloud Postureにデータを送受信する場合ASRMリスクインサイト、選択[クラウドアカウントへのマッピング] 。
- ドロップダウンで [AWS]を選択します。
- 別のブラウザタブで、クラスタをホストするAWSアカウントにサインインします。
- AWSでAmazon Elastic Kubernetes Serviceの設定を検索して移動します。
- Container Securityで保護するクラスタ名をクリックします。
- [概要] をクリックして、クラスタのARN値をコピーします。
- Container Security Protect Cluster画面に戻り、 [ARN] フィールドに値を貼り付けます。
- Kubernetesクラスタの保護に使用するポリシーをすでに作成している場合は、 [ポリシー] ドロップダウンからポリシー名を選択します。次の操作を実行できます。 Kubernetesポリシーを作成するをクリックし、クラスタに接続した後にポリシーを割り当てます。
- Container Securityが次のいずれのKubernetes管理システムにも影響を与えないようにするには、 [名前空間の除外] ドロップダウンでシステムを選択します。
-
[Calico System]
-
[Istio System]
-
[Kube System]
-
[OpenShift]
-
- クラスタにプロキシサーバが必要な場合は、 [Use Proxy] をオンにして、次の設定を行います。
-
プロトコル: [HTTP] または [SOCKS5]を選択します。
-
[Proxy address]: プロキシサーバのIPアドレスを指定します。
-
[ポート]: プロキシサーバのポート番号を指定します。
-
[認証情報を要求]: プロキシサーバの [アカウント] および [パスワード] を選択して指定します。
-
- クラスタで有効にするセキュリティ機能の種類がすでにわかっている場合は、目的の機能を有効にします。
-
[ランタイムセキュリティ]: カスタマイズ可能なルールセットに違反する、実行中のコンテナのアクティビティを可視化します。
-
[Runtime Vulnerability Scanning]: クラスターで実行されているコンテナの一部であるOSおよびオープンソースコードの脆弱性の可視性を提供します。
-
[Runtime Malware Scanning]: 実行中のコンテナ内の不正プログラムを検出し、デプロイ後に導入された不正プログラムの脅威を特定して対応できるようにします。
-
- [次へ] をクリックします。Helm配信スクリプトの情報が画面に表示されます。
- Container Security保護をクラスタに初めてデプロイするユーザの場合:
- Fargateコンテナに保護をデプロイする場合は、 [Fargate環境] を選択して次のコードをHelmスクリプトに挿入します。
fargateInjector: enabled: true
注意
-
Amazon EKS Fargateポッドを接続する前に、コンテナが必要な要件を満たしていることを確認します。 EKS Fargateのシステム要件インストールします。
-
純粋なAmazon EKS Fargate環境では、Fargateプロファイルを調整して、デフォルト以外の名前空間 (たとえば、
trendmicro-system
)。参照AWSドキュメントFargateプロファイルの詳細については、を参照してください。
-
- KubernetesクラスタでContainer Securityの設定プロパティを定義するには、YAMLファイルを作成します (例: overrides.yaml ) をクリックし、最初の入力フィールドの内容をファイルにコピーします。
警告
YAMLファイルには、指定したクラスタをContainer Securityに接続するために必要な一意のAPIキーが含まれています。 APIキーは1回だけ表示されます。今後のアップグレード用にコピーを作成する必要があります。画面を閉じると、トレンドマイクロはAPIキーを再度取得できません。 - 自動クラスター登録を有効にするには、APIキーを作成し、以下の例に示すように
clusterRegistrationKey
にtrue
を入力します。注意
policyOperator
セクションでclusterName
、clusterNamePrefix
、policyId
、groupId
を指定することで、クラスターの保護を構成できます。サンプルオーバーライドファイル:cloudOne: clusterRegistrationKey: true endpoint: https://container.us-1.dev-cloudone.trendmicro.com exclusion: namespaces: [kube-system] inventoryCollection: enabled: true complianceScan: enabled: false policyOperator: clusterName: xxxx (optional. A random name will be used if not specified) clusterNamePrefix: xxxx (optional) policyId: xxxx (optional) groupId: xxxx (required)
- 全体をコピー
helm install
2番目の入力フィールドにスクリプトを入力し、クラスタでHelmスクリプトを実行します。注意
変更\--values overrides.yaml\
への相対パスを使用するパラメータ\overrides.yaml\前の手順で保存したファイルです。
- Fargateコンテナに保護をデプロイする場合は、 [Fargate環境] を選択して次のコードをHelmスクリプトに挿入します。
- 既存の配置をアップデートするユーザの場合は、\
helm get values --namespace trendmicro-system trendmicro | helm upgrade \
最後の入力フィールドにスクリプトを入力して、クラスタでHelmスクリプトを実行します。注意
将来、Helm引数を使用して変更を上書きせずにHelmデプロイメントをアップグレードできます:--reuse-values
。