ビュー:

KubernetesクラスタのContainer Protectionポリシーには、クラスタ全体に適用したり、クラスタ内の名前空間に直接適用したりできる、デプロイルール、継続ルール、およびランタイムルールが含まれています。

重要
重要
Amazon ECSクラスタのポリシー設定は、Kubernetes環境とは大きく異なります。 Amazon ECS保護ポリシーを適切に設定するには、を参照してください。Amazon ECSポリシーの管理

手順

  1. [Cloud Security]コンテナセキュリティContainer Protection
  2. [ポリシー] タブをクリックします。
  3. ポリシーを作成、複製、または変更します。
    • 新しいポリシーを作成するには、 [新規]をクリックします。
    • 既存のポリシーを複製するには
      1. クリックして、ポリシーリストから基本ポリシーを選択します。
      2. [複製] をクリックします。
        Container Protectionによって既存のポリシーのコピーが作成され、ポリシー名に「Policy」が追加されます。
    • 既存のポリシーを変更するには、ポリシーリストで目的のポリシーをクリックします。
  4. 新しいポリシーと複製されたポリシーには、一意のポリシー名を指定します。
    注意
    注意
    • ポリシー名にスペースを含めることはできません。使用できるのは、英数字、アンダースコア (_)、およびピリオド (.) のみです。
    • ポリシーの作成後にポリシー名を変更することはできません。
  5. ポリシーの目的の詳細を指定する場合は、 [Description] フィールドを使用します。
    ポリシーリストのポリシー名の下に説明が表示されます。
  6. 受信するにはASRMリスクインサイト, Workbenchアラートをクリックし、 Searchアプリネットワーク環境全体のセキュリティ上の脅威を調査するには、[XDR Telemetry]
    Trend Vision Oneでは、設定されたすべてのデータソースのXDRテレメトリデータを関連付けて評価し、ネットワークのセキュリティとリスクに対する状況を把握できます。
  7. イメージの配信前に適用するクラスタ全体のルールを定義するには、 [Deployment] タブをクリックし、クラスタの実行中に定期的に適用するクラスタ全体のルールを定義するには、 [Continuous] タブをクリックします。
    1. クラスタに適用するルールを選択します。
    2. ルールの実行後に適用する処理 ([Log]/[Block]) を選択します。
    3. ルールに追加のパラメータが指定されている場合は、確認する値を定義します。
      一部のルールでは、パラメータ値に応じて異なる処理を定義できます。さらに処理を定義するには、ルールの横にある追加記号 ([+]) をクリックします。
      [Container properties] ルール [[action] containers with capabilities that do not conform with a [predefined] policy]の詳細については、次の表を参照してください。
      事前定義されたポリシー
      説明
      restrict-nondefaults
      [デフォルトのDocker機能]のいずれかである機能を許可します
      初期設定のDockerポリシーの詳細については、次のDocker Webサイトを参照してください。https://docs.docker.com/engine/reference/run/#runtime-privilege-and-linux-capabilities
      baseline
      初期設定のケーパビリティは許可するが、NET_RAWケーパビリティは許可しない
      注意
      注意
      NET_RAWは、RAWおよびPACKETソケットの使用を許可する初期設定の機能です。この機能を使用すると、悪意のあるユーザがパケットを偽造したり、MITM攻撃を実行したり、その他のネットワークエクスプロイトを実行したりする可能性があります。この権限は通常、特定のネットワークニーズにのみ使用されるため、削除してもほとんどのアプリケーションに影響はありません。
      restricted
      NET_BIND_SERVICE機能のみを許可します
      注意
      注意
      NET_BIND_SERVICEは、インターネットドメインの特権ポート (ポート番号が1024未満) へのバインドを許可する初期設定の機能です。多くの場合、Webサーバで使用され、root以外のユーザにこれらのポートへのアクセスを許可します。
      restrict-all
      機能を許可しません
      注意
      注意
      • CIS Kubernetes Benchmarksでは、新しい機能を追加せず、少なくともNET_RAW機能を削除することを推奨しています。
      • トレンドマイクロのニーズを考慮し、最小権限の原則に沿った機能ポリシーを適用することをお勧めします。
        機能ポリシーとポッドのセキュリティのベストプラクティスの詳細については、次のサイトにあるポッドのセキュリティ標準を参照してください。https://kubernetes.io/docs/concepts/security/pod-security-standards/
    4. 必要に応じて検索除外を設定します。
      注意
      注意
      除外が自動的に追加され、Container Securityで使用される信頼済みイメージが許可されます。
  8. [Runtime] タブをクリックして、ポッドの実行中に適用するクラスタ全体のルールを定義します。
    実行時ポリシーは、作成するルールセット [ルールセット] タブをクリックします。
    1. [Add Ruleset]をクリックします。
    2. ポリシーに適用するルールセットのチェックボックスをオンにします。
    3. [送信]
  9. クラスタ内の特定のネームスペースに対して特別なポリシーを設定する必要があるユーザの場合は、 [Cluster-wide Policy Definition] ヘッダの横にある追加記号 ([+]) をクリックして、 [NamespacedPolicyDefinition] ポリシーを定義します。
    1. 名前空間固有のポリシー設定の名前を指定します。
    2. [Add]
    3. ポリシーを適用するクラスタ内のネームスペースを指定し、 [ENTER]を押します。
      複数のネームスペースを指定するには、 [Add] を再度クリックします。
    4. ポリシーの [Deployment][Continuous] を設定します。
      注意
      注意
      ネームスペースに対して特定のランタイムルールセットを設定することはできません。
    5. [NamespacedPolicyDefinition] ヘッダの横にある追加記号 ([+]) をクリックして、追加の名前空間ポリシーを定義します。
  10. [作成] または [保存]をクリックします。