ビュー:

Container Securityは、接続されたAmazon EKSおよびAmazon EKS Fargateコンテナの保護をサポートします。

注意
注意

手順

  1. [Cloud Security][Container Security][Inventory/Overview]に移動します。
  2. ツリーで [Kubernetes] ノードを選択します。
  3. [クラスタを追加]をクリックします。
    [クラスタを保護] 画面が表示されます。
  4. クラスタ名: クラスターに一意の名前を指定してください。
    注意
    注意
    • クラスタ名にスペースを含めることはできません。使用できるのは、英数字、アンダースコア (_)、およびピリオド (.) のみです。
    • クラスタの作成後にクラスタ名を変更することはできません。
  5. 説明: クラスターの目的に関する詳細を任意で提供してください。
  6. クラウドアカウントへのマッピング: Container SecurityがCloud Risk Managementにデータを送信し、CREM RISK INSIGHTSを受信するかどうかを選択します。
    1. ドロップダウンで [AWS]を選択します。
    2. 別のブラウザタブで、クラスタをホストするAWSアカウントにサインインします。
    3. AWSでAmazon Elastic Kubernetes Serviceの設定を検索して移動します。
    4. Container Securityで保護するクラスタ名をクリックします。
    5. [概要] をクリックして、クラスタのARN値をコピーします。
    6. Container Security Protect Cluster画面に戻り、 [ARN] フィールドに値を貼り付けます。
  7. ポリシー設定: 既にKubernetesクラスターを保護するために使用したいポリシーを作成している場合は、ドロップダウンからポリシー名を選択してください。
    クラスターに接続した後、Kubernetesポリシーを作成してポリシーを割り当てることができます。
  8. Namespace exclusions: Container SecurityがそれらのKubernetes管理システムに影響を与えないようにするために除外すべき名前空間を選択してください。
  9. Connection settings: 接続方法を選択してください:
    • 直接接続: プロキシを使用せずにクラスターをContainer Securityに接続します。環境には外向きのインターネットアクセスが必要です。
    • カスタムプロキシ: クラスターがインターネットに直接アクセスできず、プロキシサーバが必要な場合に選択してください。
      次の設定を行います。
      • プロキシタイプ: [HTTP][HTTPS]、または[SOCKS5]を選択します。
      • [Proxy address]: プロキシサーバのIPアドレスを指定します。
      • [ポート]: プロキシサーバのポート番号を指定します。
      • [認証情報を要求]: プロキシサーバの [アカウント] および [パスワード] を選択して指定します。
      • 自己署名証明書を使用: [ホストファイル][秘密]、または[ConfigMap]から選択し、証明書情報を入力してください。
    • Service Gateway: TrendAI Vision One™プロキシサービスを使用してクラスターに接続します。
      • 選択したService Gatewayを使用する: 特定のサービスゲートウェイを選択します。
      • すべての利用可能なservice gateway (s) を使用する: 利用可能なすべてのサービスゲートウェイを使用するには選択してください。
  10. セキュリティ設定: クラスターで有効にしたいセキュリティ機能の種類が既に分かっている場合は、希望する機能をオンにしてください。
    • [ランタイムセキュリティ]: カスタマイズ可能なルールセットに違反する、実行中のコンテナのアクティビティを可視化します。
    • [Runtime Vulnerability Scanning]: クラスターで実行されているコンテナの一部であるOSおよびオープンソースコードの脆弱性の可視性を提供します。
    • [Runtime Malware Scanning]: 実行中のコンテナ内の不正プログラムを検出し、デプロイ後に導入された不正プログラムの脅威を特定して対応できるようにします。
    • ランタイムシークレットスキャン: 実行中のコンテナ内の秘密情報を検出し、運用中のコンテナでの秘密情報漏洩を迅速に検出します。
  11. 監査設定: ロールベースのアクション制御 (RBAC) およびアクティビティ監視のための監査ログ収集を有効にするには選択します。
  12. [次へ] をクリックします。
    Helm配信スクリプトの情報が画面に表示されます。
  13. Container Security保護をクラスタに初めてデプロイするユーザの場合:
    1. Fargateコンテナに保護をデプロイする場合は、 [Fargate環境] を選択して次のコードをHelmスクリプトに挿入します。
      fargateInjector:
        enabled: true
      注意
      注意
      • Amazon EKS Fargateポッドを接続する前に、コンテナが必要な要件を満たしていることを確認します。 EKS Fargateのシステム要件インストールします。
      • 純粋なAmazon EKS Fargate環境の場合、Fargateプロファイルを調整して、デフォルト以外のネームスペース (例: trendmicro-system) でポッドをスケジュールできるようにする必要があるかもしれません。Fargateプロファイルの詳細については、AWSドキュメントを参照してください。
    2. KubernetesクラスタでContainer Securityの設定プロパティを定義するには、YAMLファイルを作成します (例: overrides.yaml ) をクリックし、最初の入力フィールドの内容をファイルにコピーします。
      警告
      警告
      YAMLファイルには、指定されたクラスターをContainer Securityに接続するために必要な一意のAPIキーが含まれています。APIキーは一度しか表示されず、将来のアップグレードのためにコピーを作成する必要があります。TrendAI™は画面を閉じるとAPIキーを再取得できません。
    3. 自動クラスター登録を有効にするには、APIキーを作成し、以下の例に示すようにclusterRegistrationKeytrueを入力します。
      注意
      注意
      policyOperatorセクションでclusterNameclusterNamePrefixpolicyIdgroupIdを指定することで、クラスターの保護を構成できます。
      サンプルオーバーライドファイル: 
      visionOne:
    clusterRegistrationKey: true
    endpoint: https://api.xdr.trendmicro.com/external/v2/direct/vcs/external/vcs
    exclusion: 
        namespaces: [kube-system]
    inventoryCollection:
        enabled: true
    complianceScan:
        enabled: false
    policyOperator:
        clusterName: xxxx (optional. A random name will be used if not specified)
        clusterNamePrefix: xxxx (optional)
        policyId: xxxx (optional)
        groupId: xxxx (required)
    4. 全体をコピーhelm install2番目の入力フィールドにスクリプトを入力し、クラスタでHelmスクリプトを実行します。
      注意
      注意
      変更\--values overrides.yaml\への相対パスを使用するパラメータ\overrides.yaml\前の手順で保存したファイルです。
  14. 既存のデプロイメントを更新するには、最後の入力フィールドにhelm get values --namespace trendmicro-system trendmicro | helm upgrade \スクリプト全体をコピーし、クラスターでHelmスクリプトを実行してください。
    注意
    注意
    将来、Helm引数を使用して変更を上書きせずにHelmデプロイメントをアップグレードできます:
    --reuse-values