Deep Securityを使用してDockerコンテナを保護する方法

Deep Security 10で導入された新機能です。

Docker環境の導入にはメリットがあるのはもちろんですが、同時にDockerホストのOS自体が攻撃の対象になることに注意が必要です。他のソフトウェアの導入同様に、OSの強化や環境に応じたベストプラクティス (Center for Internet Security (CIS) のDocker Benchmarkなど) を利用することで、最初に強固な基盤を構築することが重要になります。安全な基盤を構築したら、環境にDeep Securityを追加して、物理、仮想、およびクラウドのワークロードを保護するトレンドマイクロの豊富な経験や、Trend Micro Smart Protection Networkのリアルタイムの脅威情報を活用できます。Deep Securityは、環境の保護だけでなく、継続的なコンプライアンス要件への対応と維持にも役立ちます。このように、Deep Securityは、物理環境、仮想環境およびクラウド環境の全体における従来のワークロードとDockerのワークロードの両方を管理および保護します。

Deep Securityは、Linuxディストリビューションで実行されるDockerホストおよびコンテナに対して次のような保護を提供します。

• アイコンとスマートフォルダにより、環境内のDockerホストを特定、検索、および保護する
• 新たに見つかった脆弱性に対して仮想パッチを適用することで、Dockerホストおよびコンテナを脆弱性に対する既知またはゼロデイの攻撃コードから保護する
• Dockerホスト上およびコンテナ内で使用されているファイルシステムに対するリアルタイムの不正プログラム検出を提供する

• 次の手法を使用して、継続的なコンプライアンスの維持と環境の保護のためにDockerホストの整合性をアサートする

  • Dockerデーモンに加えて実行を許可するアプリケーションを制御することで、Dockerホストでのアプリケーションの不正な実行を防御する
  • Dockerホストのシステムファイルに対して予想外の変更が発生しないように監視する
  • OSログの不審なイベントを通知する

Deep SecurityによるDockerホストの保護

• 仮想パッチ/侵入防御サービス (IPS)
• 不正プログラム対策
• 変更監視
• セキュリティログ監視
• アプリケーションコントロール
• ファイアウォール保護
• Webレピュテーション

Deep SecurityによるDockerコンテナの保護

• 仮想パッチ/侵入防御サービス (IPS)
• 不正プログラム対策

導入に際しての注意事項と制限事項

• Dockerは、通常動作の一貫としてiptablesルールを管理します。侵入防御モジュールまたはファイアウォールモジュールが有効になっている場合にDeep Securityは通常iptablesルールを削除するため、Dockerコンテナのネットワーキング機能が切断されます。この競合を回避するためには、DockerホストにDeep Security Agentをインストールする前にDockerホストに次のパスで空ファイルを作成することで、Deep Security Agentインストールプロセスでiptablesが無効化されないようにする必要があります。/etc/use_dsa_with_iptables
• Deep Securityの侵入防御はホストレベルで動作しますが、公開されたコンテナポート番号のコンテナトラフィックも保護されます。Dockerでは複数のアプリケーションを同じDockerホスト上で実行できるため、単一の侵入防御ポリシーがすべてのDockerアプリケーションに適用されます。そのため、推奨設定の検索はDocker環境に対しては推奨されません。この問題を修正するために、今後のリリースでは、実行前にレジストリのイメージを検索する機能を追加する予定です。