ビュー:

Kubernetesクラスターでランタイムセキュリティ、ランタイム脆弱性スキャン、およびランタイム不正プログラムスキャンを有効にします。

次の表は、Kubernetesクラスターで利用可能なランタイムセキュリティおよびスキャン機能の詳細を示しています。
機能
説明
[ランタイムセキュリティ]
カスタマイズ可能なルールセットに違反する、実行中のコンテナのアクティビティを可視化します。
[Runtime Vulnerability Scanning]
クラスタで実行されているコンテナの一部であるOSとオープンソースコードの脆弱性を可視化します。
重要
重要
  • ランタイム脆弱性検索は、ARM64およびx86_64 CPUノードの両方で不正プログラム検索コンポーネントの実行をサポートします。Helmチャートバージョンが3.0.1より古いクラスターは、x86_64 CPUノードのみをサポートします。
  • 新しくデプロイされたイメージごとに脆弱性スキャンが行われ、その後24時間ごとに再スキャンされます。
  • クラスタワーカーノードには少なくとも2 vCPUそして8GiBのメモリ。これらのコンポーネントの仕様と初期設定の制限の詳細については、ヘルムチャート
[Runtime Malware Scanning]
稼働中のコンテナ内の不正プログラムを検出し、デプロイ後に導入された不正プログラムの脅威を特定して対応できるようにします。
Runtime Secret Scanning
実行中のコンテナ内の秘密を検出します。秘密のスキャンは、プロダクションコンテナ内での秘密漏洩を迅速に検出することを保証します。

手順

  1. 実行時のセキュリティおよびスキャン機能を有効にするには、次のパラメーターをオーバーライドYAMLファイル (通常はoverrides.yaml'と呼ばれます) に追加してください。
    • runtimeSecurity: enabled: true
    • 脆弱性スキャン: 有効: true
    • マルウェアスキャン: 有効: true
    • secretScanning: enabled: true
    例:
    visionOne:
        bootstrapToken: <BOOTSTRAP_TOKEN>
        endpoint: <ENDPOINT>
        runtimeSecurity:
            enabled: true
        vulnerabilityScanning:
            enabled: true
        malwareScanning:
            enabled: true
       secretScanning:
            enabled: true
  2. 実行時のセキュリティイベントに対して機密フィールドを隠すには、オーバーライドファイルにscout.falco.sanitizer_outputを追加してください。
    scout.falco.sanitizer_output.patternsフィールドは、Falcoイベントフィールドをキーとして、正規表現を値とするキーと値のペアを使用します。(詳細はFalcoがサポートするフィールドを参照してください。) 正規表現は、パターンに一致する文字列がイベント出力で非表示にされるべきかどうかを決定します。編集はFalcoイベントのoutputoutput_fieldsの両方で行われます。
    例:
    scout:
        falco:
            sanitizer_output:
                enabled: true
                patterns:
                    proc.pcmdline: (?<=--process\s)\s?(\S+)|(?<=--root\s)\s?(\S+)
                    fd.sip: (?<=169\.254\.)(\S+)
  3. 次のコマンドを使用してContainer Securityをアップグレードしてください。
    helm upgrade \
        trendmicro \
        --namespace trendmicro-system --create-namespace \
        --values overrides.yaml \
        https://github.com/trendmicro/visionone-container-security-helm/archive/main.tar.gz