Dockerの導入の利点は現実的ですが、DockerホストのOS自体の攻撃領域に関する懸念も同様に現実です。よく設計されたソフトウェア導入と同様に、OSの強化とCenter for Internet Security (CIS) Docker Benchmarkなどの導入におけるベストプラクティスの使用は、出発点としての堅固な基盤を提供します。安全な基盤が整ったら、Server & Workload Protectionを導入に追加することで、物理、仮想、クラウドのワークロードを保護するTrendAI™の豊富な経験と、TrendAI™ Smart Protection Networkからのリアルタイムの脅威情報にアクセスできます。Server & Workload Protectionは導入を保護するだけでなく、継続的なコンプライアンス要件の達成と維持にも役立ちます。サポートされているDockerエディションとリリースに関する情報はDockerサポートを参照してください。
Server & Workload Protection は、Linuxディストリビューションで実行されているDockerホストとコンテナを保護します。 Server & Workload Protection では、次の処理を実行できます。
- バッジとスマートフォルダーを使用して、デプロイ内のDockerホストを特定、検索、および保護します
- Dockerホストとコンテナを脆弱性から保護し、既知およびゼロデイのエクスプロイトから保護するために、新たに発見された脆弱性を仮想的にパッチします
- 提供するリアルタイムの不正プログラム検出Dockerホストおよびコンテナ内で使用されるファイルシステム用
- 次の手法を使用して、継続的なコンプライアンスの維持と環境の保護のためにDockerホストの変更をアサートする
- Dockerホスト上でのアプリケーションの不正実行を防止するために、Dockerデーモンに加えてどのアプリケーションが実行を許可されるかを制御するのに役立ちます
- システムファイルに対する予期しない変更について、Dockerホストの監視 をします。
- OSログの疑わしいイベントを通知する
 |
注意Server & Workload Protection Docker保護はOSレベルで機能します。つまり、エージェントはコンテナ内ではなく、DockerホストのOSにインストールする必要があります。
|
|
注意ポッド内のコンテナ間の通信はサポートされていません。
|
Server & Workload Protection は、オーバーレイネットワークの使用時に、DockerをSwarmモードでサポートします。
DockerホストのServer & Workload Protection 保護
次の Server & Workload Protection モジュールを使用して、Dockerホストを保護できます。
- 侵入防御 (IPS)
- 不正プログラム対策
- 変更監視
- セキュリティログ監視
- アプリケーションコントロール
- ファイアウォール
- Webレピュテーション
DockerコンテナのServer & Workload Protection 保護
次の Server & Workload Protection モジュールを使用して、Dockerコンテナを保護できます。
- IPS
- 不正プログラム対策
侵入防御の推奨検索に関する制限事項
Server & Workload Protection の侵入防御コントロールはホストレベルで機能しますが、公開されたコンテナポート番号上のコンテナトラフィックも保護します。 Dockerでは、同じDockerホストで複数のアプリケーションを実行できるため、すべてのDockerアプリケーションに1つの侵入防御ポリシーが適用されます。つまり、Dockerのデプロイメントでは推奨設定の検索に依存すべきではありません。