ビュー:

Container Securityは、接続されたAmazon EKSおよびAmazon EKS Fargateコンテナの保護をサポートします。

重要
重要

手順

  1. に移動[Cloud Security][Container Security][Container Inventory]
  2. ツリー内の[Amazon EKS]ノードを選択します。
  3. [クラスタを追加]をクリックします。
    [クラスタを保護] 画面が表示されます。
  4. [Container Inventory] テーブルに表示されるクラスタの一意の名前を [クラスタ] フィールドに指定します。
    • クラスタ名にスペースを含めることはできません。使用できるのは、英数字、アンダースコア (_)、およびピリオド (.) のみです。
    • クラスタの作成後にクラスタ名を変更することはできません。
  5. クラスタの目的に関する詳細を指定する場合は、 [説明] フィールドを使用します。
  6. Container SecurityでCloud Postureにデータを送受信する場合ASRMリスクインサイト、選択[クラウドアカウントへのマッピング]
    1. ドロップダウンメニューで、[AWS]を選択します。
    2. 別のブラウザタブで、クラスタをホストするAWSアカウントにサインインします。
    3. AWSでAmazon Elastic Kubernetes Serviceの設定を検索して移動します。
    4. Container Securityで保護するクラスタ名をクリックします。
    5. [概要] をクリックして、クラスタのARN値をコピーします。
    6. Container Security Protect Cluster画面に戻り、 [ARN] フィールドに値を貼り付けます。
  7. すでにKubernetesクラスターを保護するためのポリシーを作成している場合は、[ポリシー] ドロップダウンメニューからポリシー名を選択してください。
    次の操作を実行できます。 Kubernetesポリシーを作成するをクリックし、クラスタに接続した後にポリシーを割り当てます。
  8. Container Security が次の Kubernetes 管理システムに影響を与えないようにするには、[名前空間の除外] ドロップダウンメニューでシステムを選択します。
    • [Calico System]
    • [Istio System]
    • [Kube System]
    • [OpenShift*]
    • [GKE System*]
    注意
    注意
    アスタリスク (*) が付いているオプションは、関連する名前空間のセットを表します。詳細については、グループ化された名前空間 を参照してください。
  9. クラスタにプロキシサーバが必要な場合は、 [Use Proxy] をオンにして、次の設定を行います。
    • プロトコル: [HTTP] または [SOCKS5]を選択します。
    • [Proxy address]: プロキシサーバのIPアドレスを指定します。
    • [ポート]: プロキシサーバのポート番号を指定します。
    • [認証情報を要求]: プロキシサーバの [アカウント] および [パスワード] を選択して指定します。
  10. クラスタで有効にするセキュリティ機能の種類がすでにわかっている場合は、目的の機能を有効にします。
    • [ランタイムセキュリティ]: カスタマイズ可能なルールセットに違反する、実行中のコンテナのアクティビティを可視化します。
    • [Runtime Vulnerability Scanning]: クラスターで実行されているコンテナの一部であるOSおよびオープンソースコードの脆弱性の可視性を提供します。
    • [Runtime Malware Scanning]: 実行中のコンテナ内の不正プログラムを検出し、デプロイ後に導入された不正プログラムの脅威を特定して対応できるようにします。
  11. [次へ] をクリックします。
    Helm配信スクリプトの情報が画面に表示されます。
  12. Container Security保護をクラスタに初めてデプロイするユーザの場合:
    1. Fargateコンテナに保護をデプロイする場合は、 [Fargate環境] を選択して次のコードをHelmスクリプトに挿入します。
      fargateInjector:
        enabled: true
      注意
      注意
      • Amazon EKS Fargateポッドを接続する前に、コンテナが必要な要件を満たしていることを確認します。 EKS Fargateのシステム要件インストールします。
      • 純粋なAmazon EKS Fargate環境では、Fargateプロファイルを調整して、デフォルト以外の名前空間 (たとえば、pidMode)。参照AWSドキュメントFargateプロファイルの詳細については、を参照してください。
    2. KubernetesクラスタでContainer Securityの設定プロパティを定義するには、YAMLファイルを作成します (例: overrides.yaml ) をクリックし、最初の入力フィールドの内容をファイルにコピーします。
      警告
      警告
      YAMLファイルには、指定したクラスタをContainer Securityに接続するために必要な一意のAPIキーが含まれています。 APIキーは1回だけ表示されます。今後のアップグレード用にコピーを作成する必要があります。画面を閉じると、トレンドマイクロはAPIキーを再度取得できません。
    3. 自動クラスター登録を有効にするには、APIキーを作成し、以下の例に示すようにclusterRegistrationKeytrueを入力します。
      注意
      注意
      policyOperatorセクションでclusterNameclusterNamePrefixpolicyIdgroupIdを指定することにより、クラスターの保護を構成できます。
      サンプルオーバーライドファイル: 
      cloudOne:
    clusterRegistrationKey: true
    endpoint: https://container.us-1.dev-cloudone.trendmicro.com
    exclusion: 
        namespaces: [kube-system]
    inventoryCollection:
        enabled: true
    complianceScan:
        enabled: false
    policyOperator:
        clusterName: xxxx (optional. A random name will be used if not specified)
        clusterNamePrefix: xxxx (optional)
        policyId: xxxx (optional)
        groupId: xxxx (required)
    4. 全体をコピー helm install2番目の入力フィールドにスクリプトを入力し、クラスタでHelmスクリプトを実行します。
      注意
      注意
      変更\--values overrides.yaml\への相対パスを使用するパラメータ\overrides.yaml\前の手順で保存したファイルです。
  13. 既存の配置をアップデートするユーザの場合は、\helm get values --namespace trendmicro-system trendmicro | helm upgrade \最後の入力フィールドにスクリプトを入力して、クラスタでHelmスクリプトを実行します。
    注意
    注意
    将来的には、Helm引数を使用することで、変更を上書きせずにHelmデプロイメントをアップグレードできます。
    --reuse-values
関連情報