インベントリ/概要

ビュー:

KubernetesとAmazon ECSクラスターを接続し、Container Protectionポリシーとプロキシの設定を展開し、Kubernetesクラスターグループを作成および管理し、Inventory/概要からコンテナ環境をモニタします。

KubernetesおよびAmazon ECSクラスターにはさまざまなオプションが用意されています。オプションは以下の表にまとめられています。

ヒント

検索機能を使用するか、フィルターアイコン () をクリックして列見出しでフィルターを適用することで、アセットを見つけることができます。
[フィルターを追加] → [タグ]をクリックして、任意のクラスターにタグを作成、管理、割り当てることができます。タグの詳細については、タグ管理を参照してください。

在庫概要

KubernetesまたはAmazon ECSを選択して、接続されているすべてのクラスターの完全な概要を表示します。

Kubernetes

インベントリ概要は、環境内のノード、ポッド、コンテナ、イメージの数を含むクラスターのステータスを完全に把握することができます。また、すべてのKubernetesクラスターの詳細を表示したり、特定の基準を使用してクラスターリソースを検索し、フィルターを適用することができます。例えば、ステータスが不健康なクラスターのみを表示するようにフィルターを適用することができます。

[Security findings overview]で、すべてのポリシー違反の要約をすばやく確認するか、詳細を確認するには[さらに表示]をクリックしてください。デプロイメントと継続的な要約、ラインタイムセキュリティ、脆弱性、不正プログラム、秘密情報のラインタイム検出結果、ファイル変更監視、コンプライアンスの要約を確認できます。[ログ]ページで検出結果の詳細を確認するには、セキュリティ検出番号をクリックしてください。

Amazon ECS

インベントリ概要は、サービス、タスク、コンテナ、イメージの数を含む環境内のクラスターの状態を完全に把握することができます。また、すべてのAmazon ECSクラスターの詳細を表示したり、特定の条件を使用してクラスターリソースを検索しフィルターを適用することができます。例えば、フィルターを適用して、状態が不健康なクラスターのみを表示することができます。

[Security findings overview]で、すべてのポリシー違反の要約を表示するか、[さらに表示]をクリックしてラインタイムセキュリティとラインタイム脆弱性の詳細を確認してください。セキュリティ検出番号をクリックすると、[ログ]ページで検出の詳細を確認できます。

Kubernetes

次の表は、Kubernetes クラスターに利用可能なオプションを概説しています。

オプション

説明

コンテナ環境の詳細を表示する

Kubernetes内のオーケストレーションプラットフォームを選択して、そのプラットフォーム内のクラスターのインベントリ概要を表示します。

利用可能なオーケストレーションプラットフォームは次のとおりです:

Amazon EKS
Alibaba Cloud ACK
Microsoft AKS
Google Cloud GKE
セルフマネージド

新しいKubernetesクラスターを追加

ツリーからオーケストレーションプラットフォームを選択します。オーケストレーションプラットフォームにクラスターが既に追加されている場合は、[クラスタを追加] をクリックし、クラスターがまだ追加されていない場合は、[Kubernetesクラスタに保護をデプロイ] をクリックします。

詳しい手順については、を参照してください

Kubernetes クラスターの保護を停止

ツリーから[Kubernetes]またはオーケストレーションプラットフォームを選択し、クラスタ名の横にあるラジオボタンを選択して、[クラスタを削除]をクリックします。

注意

リストからクラスタを削除しても、 Trend Vision Oneが受信した既存のデータは削除されません。

クラスタグループの作成と管理

Kubernetes クラスターをグループに整理して、制御を強化し、管理を効率化します。

[Create a new group]: オーケストレーションプラットフォームまたは既存のグループの横にあるオプションアイコン () を選択します。新しいグループは選択したグループ内に作成されます。
[Create a new cluster within a group]: ツリーからグループを選択し、[クラスタを追加] または [Kubernetesクラスタに保護をデプロイ] をクリックします。新しいクラスターは選択したグループ内に追加されます。
[Move clusters to a different group]: ツリーからオーケストレーションプラットフォームを選択し、リストからクラスターを選択します。[Change Cluster Group]をクリックし、画面の指示に従ってください。

注意

同じタイプのグループ間でのみクラスターを移動できます。例えば、EKSクラスターをAKSグループに移動することはできません。
[Edit group settings]: グループの名前を変更するか、削除するには、グループの横にあるオプションアイコン () をクリックします。

注意

アセットの可視性スコープは、グループごとに特定の権限を割り当てることにより、この機能をサポートし、クラスターのより効率的な管理を可能にします。

クラスター設定を変更

ツリーからクラスターを選択して設定を管理します。次の設定を変更できます。

プロキシの設定を変更: 新しいプロキシの設定をクラスターにデプロイするために使用できるHelmスクリプトを生成します。
ポリシー: 既存のContainer Securityポリシーから選択するか、[Manage policies]をクリックして現在のポリシー設定を変更します。
[クラウドアカウントへのマッピング]: オンにし、必要な情報 (ARN、リソースID) を指定して [保存]をクリックします。

テキストフィールドの下にあるリンクにカーソルを合わせると、管理サービスで必要な情報を検索する方法が表示されます。

バージョンギャップによるクラスター保護ステータスの設定

この設定は、現在のデプロイされたバージョンが最新リリースまたはマイナーバージョンの更新よりも事前に定義されたバージョンギャップで遅れている場合に、クラスター保護ステータスを「不健康」に変更します。

この設定を有効にしてクラスタのバージョンギャップを設定するには、Kubernetesクラスタを選択し、画面右上の歯車アイコンをクリックしてください。

注意

より正確なバージョン情報を得るために、Fargate Injectorのバージョン3.1.4をインストールすることをお勧めします。これにより、クラスターの表示バージョン番号がより正確になります。

Amazon ECS

次の表は、Amazon ECS クラスターで利用可能なオプションを示しています。

オプション	オプション
コンテナ環境の詳細を表示する	Container Securityは、接続されたすべてのAmazon ECSクラスターの保護を管理するためのツリービューを提供します。
新しいAmazon ECSクラスターを追加	[Amazon ECS]、クラウドアカウント、またはツリーからリージョンを選択します。他のクラスターが以前に追加されている場合は[アカウントを追加]をクリックし、クラスターが以前に追加されていない場合は[Add and protect Amazon ECS assets]をクリックします。詳しい手順については、を参照してください新しいAWS accountを使用してAmazon ECSクラスターを保護する接続されたAmazon ECS Fargateクラスターを設定する
ランタイムセキュリティとスキャンをクラスターで有効化または無効化	ツリーから1つ以上のクラスターを選択し、クラスターの詳細で[編集]をクリックして、ラインタイムセキュリティまたはランタイム脆弱性スキャンを有効または無効にします。 [Runtime security]:カスタマイズ可能な一連のルールに違反する実行中のコンテナのアクティビティを可視化します。ランタイム脆弱性スキャン: クラスタで実行されているコンテナの一部であるOSとオープンソースコードの脆弱性を可視化します。
新しいポリシーを割り当てる	ツリーからクラスターを選択し、クラスターの詳細で[編集]をクリックします。[ポリシー]フィールドで、既存のContainer Securityポリシーから選択するか、[Manage policies]をクリックして現在のポリシー設定を変更します。
バージョンギャップによるクラスター保護ステータスの設定	この設定は、現在のデプロイされたバージョンが最新リリースまたはマイナーバージョン更新よりも事前に定義されたバージョンギャップで遅れている場合に、クラスター保護ステータスを「不健康」に変更します。この設定を有効にしてクラスターのバージョンギャップを設定するには、クラスターを選択し、画面右上の歯車アイコンをクリックしてください。