Dockerコンテナの保護

Docker環境の導入にはメリットがあるのはもちろんですが、同時にDockerホストのOS自体が攻撃の対象になることに注意が必要です。他のソフトウェアの導入同様に、OSの強化や環境に応じたベストプラクティス (Center for Internet Security (CIS) のDocker Benchmarkなど) を利用することで、最初に強固な基盤を構築することが重要になります。安全な基盤を構築したら、環境にDeep Securityを追加して、物理、仮想、およびクラウドのワークロードを保護するトレンドマイクロの豊富な経験や、Trend Micro Smart Protection Networkのリアルタイムの脅威情報を活用できます。Deep Securityは、環境の保護だけでなく、継続的なコンプライアンス要件への対応と維持にも役立ちます。このように、Deep Securityは、物理的な環境、仮想環境およびクラウド環境の全体における従来のワークロードとDockerのワークロードの両方を管理および保護します。

Deep Securityは、Linuxディストリビューションで実行されるDockerホストおよびコンテナに対して次のような保護を提供します。

Deep SecurityによるDockerの保護はホストシステムレベルで制御されるため、コンテナではなく、DockerホストシステムにDeep Security Agentをインストールする必要があります。

Deep Security 10.1以降、Deep Security はオーバーレイネットワークを使用しながらswarmモードでDockerをサポートします。

Deep SecurityによるDockerホストの保護

  • 仮想パッチ/侵入防御サービス (IPS)
  • 不正プログラム対策
  • 変更監視
  • セキュリティログ監視
  • アプリケーションコントロール
  • ファイアウォール保護
  • Webレピュテーション

Deep SecurityによるDockerコンテナの保護

  • 侵入防御モジュールを介した仮想パッチ
  • 不正プログラム対策

侵入防御の推奨検索に関する制限事項

Deep Securityの侵入防御はホストレベルで動作しますが、公開されたコンテナポート番号のコンテナトラフィックも保護されます。Dockerでは複数のアプリケーションを同じDockerホスト上で実行できるため、単一の侵入防御ポリシーがすべてのDockerアプリケーションに適用されます。そのため、推奨設定の検索はDocker環境に対しては推奨されません。