Dockerを導入するメリットは現実にありますが、Dockerホストのオペレーティングシステム (OS) 自体が攻撃対象領域となる可能性も懸念されます。適切に設計されたソフトウェアの導入と同様に、OSのセキュリティ強化と導入におけるベストプラクティスの使用。 Center for インターネットのセキュリティ (CIS) Docker Benchmark 、開始点として強固な基盤を提供します。安全な基盤を構築したら、 Server & Workload Protection を導入環境に追加することで、物理、仮想、およびクラウドのワークロードを保護するトレンドマイクロの豊富な経験と、 トレンドマイクロ Smart Protection Network 。 Server & Workload Protection は、環境を保護するだけでなく、継続的なコンプライアンス要件を満たして維持するのにも役立ちます。参照 DockerのサポートサポートされているDockerのエディションとリリースについては、を参照してください。
Server & Workload Protection は、Linuxディストリビューションで実行されているDockerホストとコンテナを保護します。 Server & Workload Protection では、次の処理を実行できます。
- を使用して、デプロイメント内のDockerホストを識別、検索、および保護します。バッジそしてスマートフォルダ
- Dockerホストとコンテナを脆弱性から保護します。既知のゼロデイ攻撃から保護する新たに発見された脆弱性に仮想的にパッチを適用する
- 提供するリアルタイムの不正プログラム検出Dockerホストおよびコンテナ内で使用されるファイルシステム用
- 次の手法を使用して、継続的なコンプライアンスの維持と環境の保護のためにDockerホストの変更をアサートする
- Dockerホストでのアプリケーションの不正実行を防止します。実行を許可するアプリケーションを制御するDockerデーモンに加えて
- システムファイルに対する予期しない変更について、Dockerホストの監視 をします。
- Notify you of suspicious events in your OS logs
 |
注意Server & Workload Protection Docker保護はOSレベルで機能します。つまり、エージェントはコンテナ内ではなく、DockerホストのOSにインストールする必要があります。
|
|
注意ポッド内のコンテナ間の通信はサポートされていません。
|
Server & Workload Protection は、オーバーレイネットワークの使用時に、DockerをSwarmモードでサポートします。
DockerホストのServer & Workload Protection 保護
次の Server & Workload Protection モジュールを使用して、Dockerホストを保護できます。
- 侵入防御 (IPS)
- 不正プログラム対策
- 変更監視
- セキュリティログ監視
- アプリケーションコントロール
- ファイアウォール
- Webレピュテーション
DockerコンテナのServer & Workload Protection 保護
次の Server & Workload Protection モジュールを使用して、Dockerコンテナを保護できます。
- IPS
- 不正プログラム対策
侵入防御の推奨検索に関する制限事項
Server & Workload Protection の侵入防御コントロールはホストレベルで機能しますが、公開されたコンテナポート番号上のコンテナトラフィックも保護します。 Dockerでは、同じDockerホストで複数のアプリケーションを実行できるため、すべてのDockerアプリケーションに1つの侵入防御ポリシーが適用されます。つまり、Dockerのデプロイメントでは推奨設定の検索に依存すべきではありません。