Container SecurityをAWS FargateとともにAmazon EKSクラスタにデプロイできます。 [ランタイムセキュリティ] を有効にしてクラスタを追加し、Helmチャートに "
fargate-injector" をAmazon EKSクラスタに追加します。trendmicro-securityサイドカーとして実行され、デバッガのようにアプリケーションにアタッチして不審イベントを監視します。その結果、Fargate環境でビジネスアプリケーションが影響を受ける可能性があります。trendmicro-security停止します。EKS Fargateを使用してContainer Securityをデプロイする場合は、次の点に注意する必要があります。
-
コンテナはインターネットにアクセスできる必要があります。
-
各Fargateノードは8MBの共有メモリを使用し、各Fargateノードは64MBに制限されます
-
Container Securityは、ptraceを使用してコンテナを検査します。 ptraceも使用している場合は、監視が機能しないことがあります。
-
監視対象プログラムのSUIDおよびSGIDは無効です。
-
次の場合は、追加のCPUリソースが必要です。
-
CPU: コンテナごとに1つ追加
-
メモリ: コンテナごとに+32MiB
-
挿入されたサイドカーには、1つのvCPUと1024MiBのメモリが必要です
-
-
実行時ルールセットの軽減策では、「ログ」と「終了」のみがサポートされます。
注意
「Isolate」を使用するには、Calico CNIをインストールする必要がありますが、現在、EKSを使用するFargateではCalicoをサポートしていません。詳細については、を参照してください。 Calicoネットワークポリシーエンジンアドオンのインストール