Container Securityは、接続されたGoogle GKEコンテナの保護をサポートします。
 |
重要
|
手順
- に移動します。
- ツリーで [Kubernetes] ノードを選択します。
- [クラスタを追加]をクリックします。[クラスタを保護] 画面が表示されます。
- クラスタ名: クラスターに一意の名前を指定してください。
注意
-
クラスタ名にスペースを含めることはできません。使用できるのは、英数字、アンダースコア (_)、およびピリオド (.) のみです。
-
クラスタの作成後にクラスタ名を変更することはできません。
-
- 説明: クラスターの目的に関する詳細を任意で提供してください。
- クラウドアカウントへのマッピング: Container SecurityがCloud Risk Managementにデータを送信し、CREM RISK INSIGHTSを受信するかどうかを選択します。
- ドロップダウンで [GCP]を選択します。
- 別のブラウザタブで、クラスタをホストするGoogle Cloudアカウントにサインインし、次の値を[Container Security- [クラスタを保護] ] 画面にコピーします。
-
[プロジェクトID]: [{project_id}]に移動して[プロジェクトID]をコピーします。
-
GCP "Cluster region": 移動先 [クラスタリージョン]をコピーします。
-
GCP "Cluster name": 移動先 [クラスタ名]をコピーします。
-
- ポリシー設定: すでにKubernetesクラスターを保護するために使用したいポリシーを作成している場合は、ドロップダウンからポリシー名を選択してください。クラスターを接続した後、Kubernetesポリシーを作成してポリシーを割り当てることができます。
- Namespace exclusions: Container SecurityがそれらのKubernetes管理システムに影響を与えないようにするために除外すべき名前空間を選択してください。
- Connection settings:接続方法を選択してください。
-
直接接続: プロキシを使用せずにクラスターをContainer Securityに接続します。環境には外部インターネットアクセスが必要です。
-
カスタムプロキシ: クラスターがインターネットに直接アクセスできず、プロキシサーバが必要な場合に選択してください。次の設定を行います。
-
プロキシタイプ: [HTTP]、[HTTPS]、または[SOCKS5]を選択します。
-
[Proxy address]: プロキシサーバのIPアドレスを指定します。
-
[ポート]: プロキシサーバのポート番号を指定します。
-
[認証情報を要求]: プロキシサーバの [アカウント] および [パスワード] を選択して指定します。
-
自己署名証明書を使用: [ホストファイル]、[秘密]、または[ConfigMap]から選択し、証明書情報を入力してください。
-
-
Service Gateway: TrendAI Vision One™プロキシサービスを使用してクラスターに接続します。
-
選択したService Gatewayを使用する: 特定のサービスゲートウェイを選択します。
-
すべての利用可能なservice gateway (s) を使用する: 利用可能なすべてのサービスゲートウェイを使用するには選択してください。
-
-
- セキュリティ設定: クラスターで有効にしたいセキュリティ機能の種類が既に分かっている場合は、希望する機能をオンにしてください。
-
[ランタイムセキュリティ]: カスタマイズ可能なルールセットに違反する、実行中のコンテナのアクティビティを可視化します。
-
[Runtime Vulnerability Scanning]: クラスターで実行されているコンテナの一部であるOSおよびオープンソースコードの脆弱性の可視性を提供します。
-
[Runtime Malware Scanning]: 実行中のコンテナ内の不正プログラムを検出し、デプロイ後に導入された不正プログラムの脅威を特定して対応できるようにします。
-
ランタイムシークレットスキャン: 実行中のコンテナ内の秘密情報を検出し、運用中のコンテナでの秘密情報漏洩を迅速に検出します。
-
- 監査設定: ロールベースのアクション制御 (RBAC) とアクティビティ監視のための監査ログ収集を有効にするには選択してください。
- [次へ] をクリックします。Helm配信スクリプトの情報が画面に表示されます。
- 初めてContainer Security保護を展開するユーザー向け:
- GKE Autopilotを選択して、GKE Autopilotが有効になっているクラスターのエージェント展開を調整します。
- KubernetesクラスタでContainer Securityの設定プロパティを定義するには、YAMLファイルを作成します (例: overrides.yaml ) をクリックし、最初の入力フィールドの内容をファイルにコピーします。
警告
YAMLファイルには、指定されたクラスターをContainer Securityに接続するために必要な一意のAPIキーが含まれています。APIキーは一度しか表示されず、将来のアップグレードのためにコピーを作成する必要があります。TrendAI™は画面を閉じるとAPIキーを再取得できません。 - 自動クラスター登録を有効にするには、APIキーを作成し、以下の例に示すように
clusterRegistrationKeyにtrueを入力します。注意
クラスターの保護は、policyOperatorセクションでclusterName、clusterNamePrefix、policyId、groupIdを指定することで構成できます。サンプルオーバーライドファイル:visionOne: clusterRegistrationKey: true endpoint: https://api.xdr.trendmicro.com/external/v2/direct/vcs/external/vcs exclusion: namespaces: [kube-system] inventoryCollection: enabled: true complianceScan: enabled: false policyOperator: clusterName: xxxx (optional. A random name will be used if not specified) clusterNamePrefix: xxxx (optional) policyId: xxxx (optional) groupId: xxxx (required) - 全体をコピー
ヘルムインストールスクリプトを2番目の入力フィールドに入力します。 - を貼り付けます。
ヘルムインストールエディタでスクリプトを開き、次の項目を変更します。-
--values overrides.yaml \- への相対パスを使用します。 overrides.yaml \前の手順で保存したファイルです。 -
exclusion:>namespaces- 次の除外をリストに追加してください: kube-system, gmp-system, autoneg-system
-
- 既存のデプロイメントを更新するには、最後の入力フィールドに
helm get values --namespace trendmicro-system trendmicro | helm upgrade \スクリプト全体をコピーし、クラスターでHelmスクリプトを実行してください。注意
将来、Helm引数を使用して変更を上書きせずにHelmデプロイメントをアップグレードできます:--reuse-values。