テンセントセキュリティは、コンテナのライフサイクル全体にわたってコンテナのセキュリティを保護する TCSS コンテナセキュリティサービスをリリースしました。

企業がクラウド移行のペースを加速するにつれ、コンテナ、マイクロサービス、動的オーケストレーションに代表されるクラウドネイティブ テクノロジーが、企業のビジネス イノベーションに大きな推進力を与えています。ただし、コンテナ アプリケーション環境では、共有オペレーティング システム カーネルのため、コンテナはホスト マシン上で実行されるプロセスの一部にすぎず、そのセキュリティ、特に分離性は従来の仮想マシンに比べてやや劣ります。コンテナとK8Sの適用過程で、近年コンテナプラットフォームに基づくセキュリティリスクが多数発生しています。コンテナのセキュリティをどのように確保するかが、企業にとって最も懸念される問題となっています。

7月9日、Tencent SecurityはTencent Cloud Container Security Service製品TCSS（Tencent Container Security Service）を正式にリリースしました。 Tencent Cloud Container Security Service は、コンテナ資産管理、イメージセキュリティ、ランタイム侵入検知などのセキュリティ サービスを企業に提供します。イメージ生成、保存から実行までコンテナのライフサイクル全体を保護し、企業がコンテナのセキュリティ保護システムを構築するのに役立ちます。

(TCSS はネイティブで信頼性の高いコンテナ アプリケーション セキュリティ システムの構築に役立ちます)

クラウドネイティブ時代のコンテナは複数のセキュリティリスクに直面

コンテナはクラウド ネイティブの基礎の 1 つです。コンピューティング ユニットとして、クラウド ネイティブ環境のホスト カーネル上で直接実行されます。システムリソースの使用量が少なく、大規模な自動展開が可能で、強力な弾力的な拡張機能を備えているなどの利点があります。さらに、コンテナ化により、開発プロセス中の迅速な統合と迅速な展開が可能になり、アプリケーション開発とプログラム運用の効率が大幅に向上します。

一方、コンテナの構築はイメージに依存します。不適切なイメージライブラリ管理、悪意のあるイメージの混在、破損したイメージ、脆弱なイメージのタイムリーな更新の失敗、不十分なイメージ認証および承認制限などは、すべてコンテナに大きなセキュリティリスクをもたらします。同時に、コンテナはホスト オペレーティング システム カーネルを共有しており、分離に欠陥があるとコンテナが逃げ出す可能性があります。コンテナ エスケープはコンテナに特有のセキュリティ問題でもあり、基盤となるインフラストラクチャのセキュリティに直接影響を及ぼします。これは 3 つのカテゴリに分けられます。最初のカテゴリは、機密ディレクトリのマウントを許可するなど、不適切な構成によって発生するエスケープです。 2 番目のカテゴリは、runC コンテナ エスケープ脆弱性など、コンテナ自体に設計されたバグです。 3 番目のカテゴリは、dirtycow などのカーネルの脆弱性によって発生するエスケープです。そのため、コンテナのエスケープは、多くの学者によってコンテナ セキュリティの主要な問題と見なされています。

Tencent TCSSの4つのコア機能は、ライフサイクル全体にわたってコンテナのセキュリティを保護します。

コンテナのセキュリティ問題を解決するために、Tencent Security は 20 年を超えるネットワーク セキュリティの実践経験を組み合わせて、コンテナ資産管理、イメージ セキュリティ、ランタイム侵入検知などの機能をカバーする Tencent Cloud Container Security Service (TCSS) を立ち上げました。資産管理、イメージセキュリティ、ランタイムセキュリティ、セキュリティベースラインの 4 つのコア機能を通じてコン​​テナのライフサイクル全体のセキュリティを確保し、企業がコンテナセキュリティ保護システムを迅速に構築できるようにします。

その中で、資産管理機能は、自動化されたきめ細かい資産インベントリ サービスを提供します。現在、9種類の資産情報統計をサポートしており、コンテナ、イメージ、イメージリポジトリ、ホストなどの重要な資産を一元管理できるため、企業の資産可視化に役立ちます。

（コア製品機能：資産管理）

画像検出機能は、自社開発のコンテナセキュリティウイルス対策エンジンと脆弱性エンジンをベースとし、ウイルスライブラリと脆弱性ライブラリを共有し、「ワンクリック検出」と「スケジュールスキャン」の2つのスキャンモードをサポートし、画像や画像リポジトリのセキュリティ脆弱性、トロイの木馬ウイルス、機密情報などに対する多次元セキュリティスキャンを提供できます。

（コア製品機能：画像セキュリティ）

ランタイムは、適応型エージェントに基づいてハッカー攻撃を識別し、コンテナのランタイム環境をリアルタイムで監視し、コンテナエスケープ、異常プロセス、ファイル改ざん、高リスクシステムコールなどの5つのランタイム侵入検出機能をサポートし、異常プロセス傍受やファイル改ざん防止などの包括的な保護を提供する強力な侵入検知機能を提供します。

(コア製品機能: ランタイムセキュリティ)

セキュリティ ベースライン機能は、コンテナ、イメージ、ホスト、Kubernetes、オーケストレーション環境に対してセキュリティ ベースライン チェックを定期的に実行して、コンテナ環境のコンプライアンスを確保し、構成の欠陥によって発生するセキュリティの問題を回避し、攻撃対象領域を減らすのに役立ちます。

クラウドネイティブ時代の基本的なセキュリティ構築に役立つ3つの大きな利点

Tencent TCSS が提供する 4 つの主要なセキュリティ保護機能は、基本的にコンテナのライフサイクル全体のセキュリティ ニーズをカバーします。同様の製品と比較して、TCSS はハイパーコンバージド アーキテクチャを採用し、簡単なインストールと軽量な展開をサポートします。同時に、コンテナ セキュリティ サービスはエージェントのリソースの使用を厳しく制限し、通常の負荷下では消費量を極めて低く抑え、負荷が高すぎる場合はシステムの正常な動作を確保するために積極的にダウングレードします。

さらに、テンセントは世界最大かつ最も包括的なブラック産業とグレー産業のデータベースを保有しています。 TCSS コンテナ セキュリティ サービスは、Tencent セキュリティ データベースを使用して、コンテナ環境で見つかった悪意のあるプログラム サンプルの相関分析を実行し、脅威インテリジェンスに基づいてコンテナ環境内の脅威の動作を認識し、セキュリティ保護をさらに強化します。

従来のセキュリティ システムは、パブリック クラウドへの適応性が低く、新しい脅威の形態を効果的に検出できず、自動化された対応および廃棄方法がありません。現在、テンセント TCSS は複数の業界で適用されており、顧客がクラウド資産の数や種類が膨大であることや在庫管理の難しさといった問題を克服するのに役立ち、顧客のクラウド セキュリティ レベルとセキュリティ運用管理の効率を大幅に向上させています。

クラウドネイティブ環境では、マイクロサービスを通じてアプリケーションシステムを提供する企業の割合が増加しており、コンテナセキュリティはクラウドセキュリティに欠かせない要素となっています。今後も、テンセントセキュリティはワンストップコンテナセキュリティソリューションを継続的に改善し、業界におけるクラウドネイティブセキュリティエコシステムの構築を推進し、顧客のアプリケーションセキュリティをより包括的に保護していきます。