ビュー:

Container Securityは、接続されたGoogle GKEコンテナの保護をサポートします。

重要
重要

手順

  1. に移動[Cloud Security][Container Security][Container Inventory]
  2. ツリーで [Kubernetes] ノードを選択します。
  3. [クラスタを追加]をクリックします。
    [クラスタを保護] 画面が表示されます。
  4. [Container Inventory] テーブルに表示されるクラスタの一意の名前を [クラスタ] フィールドに指定します。
    注意
    注意
    • クラスタ名にスペースを含めることはできません。使用できるのは、英数字、アンダースコア (_)、およびピリオド (.) のみです。
    • クラスタの作成後にクラスタ名を変更することはできません。
  5. クラスタの目的に関する詳細を指定する場合は、 [説明] フィールドを使用します。
  6. Container SecurityでCloud Postureにデータを送受信する場合ASRMリスクインサイト、選択[クラウドアカウントへのマッピング]
    1. ドロップダウンで [GCP]を選択します。
    2. 別のブラウザタブで、クラスタをホストするGoogle Cloudアカウントにサインインし、次の値を[Container Security- [クラスタを保護] ] 画面にコピーします。
      • [プロジェクトID]: {project_id} に移動し、 [プロジェクトID]をコピーします 。
      • GCP "Cluster region": 移動先[Kubernetes Engine][クラスタ]{your_cluster} [クラスタリージョン]をコピーします。
      • GCP "Cluster name": 移動先[Kubernetes Engine][クラスタ]{your_cluster} [クラスタ名]をコピーします。
  7. Kubernetesクラスタの保護に使用するポリシーをすでに作成している場合は、 [ポリシー] ドロップダウンからポリシー名を選択します。
    次の操作を実行できます。 Kubernetesポリシーを作成するをクリックし、クラスタに接続した後にポリシーを割り当てます。
  8. Container Securityが次のいずれのKubernetes管理システムにも影響を与えないようにするには、 [名前空間の除外] ドロップダウンでシステムを選択します。
    • [Calico System]
    • [Istio System]
    • [Kube System]
    • [OpenShift]
  9. クラスタにプロキシサーバが必要な場合は、 [Use Proxy] をオンにして、次の設定を行います。
    • プロトコル: [HTTP] または [SOCKS5]を選択します。
    • [Proxy address]: プロキシサーバのIPアドレスを指定します。
    • [ポート]: プロキシサーバのポート番号を指定します。
    • [認証情報を要求]: プロキシサーバの [アカウント] および [パスワード] を選択して指定します。
  10. クラスタで有効にするセキュリティ機能の種類がすでにわかっている場合は、目的の機能を有効にします。
    • [ランタイムセキュリティ]: カスタマイズ可能なルールセットに違反する、実行中のコンテナのアクティビティを可視化します。
    • [Runtime Vulnerability Scanning]: クラスターで実行されているコンテナの一部であるOSおよびオープンソースコードの脆弱性の可視性を提供します。
    • [Runtime Malware Scanning]: 実行中のコンテナ内の不正プログラムを検出し、デプロイ後に導入された不正プログラムの脅威を特定して対応できるようにします。
  11. [次へ] をクリックします。
    Helm配信スクリプトの情報が画面に表示されます。
  12. 初めてContainer Security保護を展開するユーザー向け:
    1. KubernetesクラスタでContainer Securityの設定プロパティを定義するには、YAMLファイルを作成します (例: overrides.yaml ) をクリックし、最初の入力フィールドの内容をファイルにコピーします。
      警告
      警告
      YAMLファイルには、指定したクラスタをContainer Securityに接続するために必要な一意のAPIキーが含まれています。 APIキーは1回だけ表示されます。今後のアップグレード用にコピーを作成する必要があります。画面を閉じると、トレンドマイクロはAPIキーを再度取得できません。
    2. 自動クラスター登録を有効にするには、APIキーを作成し、以下の例に示すようにclusterRegistrationKeytrueを入力します。
      注意
      注意
      クラスターの保護は、policyOperatorセクションでclusterNameclusterNamePrefixpolicyIdgroupIdを指定することで構成できます。
      サンプルオーバーライドファイル:
      cloudOne:
          clusterRegistrationKey: true
          endpoint: https://container.us-1.dev-cloudone.trendmicro.com
          exclusion: 
              namespaces: [kube-system]
          inventoryCollection:
              enabled: true
          complianceScan:
              enabled: false
          policyOperator:
              clusterName: xxxx (optional. A random name will be used if not specified)
              clusterNamePrefix: xxxx (optional)
              policyId: xxxx (optional)
              groupId: xxxx (required)
    3. 全体をコピーヘルムインストールスクリプトを2番目の入力フィールドに入力します。
      重要
      重要
    4. を貼り付けます。ヘルムインストールエディタでスクリプトを開き、次の項目を変更します。
      • --values overrides.yaml \ - への相対パスを使用します。 overrides.yaml \前の手順で保存したファイルです。
      • 除外: >名前空間- 次の除外をリストに追加してください。 kube システム、gmp システム、autoneg システム
  13. 既存の配置をアップデートするユーザの場合は、\helm get values --namespace trendmicro-system trendmicro | helm upgrade \ 最後の入力フィールドにスクリプトを入力して、クラスタでHelmスクリプトを実行します。
    注意
    注意
    将来、Helm引数を使用して変更を上書きせずにHelmデプロイメントをアップグレードできます:
    --reuse-values