Docker と Kubernetes を保護する 7 つのコンテナ セキュリティ ツール

[51CTO.com クイック翻訳] Docker コンテナは、ソフトウェア開発者がアプリケーションをより速く構築し、より柔軟に展開するのに役立ちます。コンテナは、開発者がソフトウェアをより安全にするのにも役立ちます。

コンテナに入るソフトウェア コンポーネントの自動分析、コンテナ クラスターと複数のアプリケーション バージョンにわたる動作ポリシー、脆弱性データを追跡および管理するための革新的なテクノロジは、コンテナがアプリケーション ライフサイクル全体のセキュリティを向上させる方法のほんの一部です。

ただし、これらのうちどれだけがすぐに使えるかは別の問題です。 Docker や Kubernetes などのコンテナ管理システムは基本的な機能を提供しますが、必ずしも優れた機能を備えているとは限らず、より高度なセキュリティ監視と適用はサードパーティのツールに任せています。

[[250515]]

ここでは、クラウドおよびオンプレミス データ センター内のコンテナーの脆弱性検出、コンプライアンス チェック、ホワイトリスト、ファイアウォール、ランタイム保護機能を提供する、最近改良された 7 つのコンテナー セキュリティ製品とサービスを紹介します。

1. アポレート

Aporeto は、以下で説明する NeuVector 製品と同様に、ランタイム保護に重点を置いています。同社は、Kubernetes ワークロードを保護するマイクロサービス セキュリティ製品と、分散環境で実行されるアプリケーションを保護するクラウド ネットワーク ファイアウォール システムを提供しています。

Kubernetes ワークロードの場合、Aporeto はオンプレミス環境と Google Kubernetes Engine などのホスト環境の両方を保護できます。作成された各リソースにはサービス ID が割り当てられ、アプリケーションの信頼チェーンが壊れないようにするために使用されます。とりわけ、サービス ID は、アプリケーションのポッドが実際にどこに存在するかに関係なく、宣言されたアプリケーションの動作を強制するために使用されます。

Aporeto の価格は、アカウント登録後にリクエストに応じて提供されます。評価用に 30 日間の無料トライアルをご利用いただけます。

2. Aqua コンテナ セキュリティ プラットフォーム

Aqua Container Security Platform は、Linux および Windows コンテナのコンプライアンスとランタイム セキュリティを提供します。

このエンドツーエンドのコンテナ セキュリティ マネージャーを使用すると、管理者はアプリケーションにセキュリティ ポリシーとリスク プロファイルを適用し、それらのプロファイルをさまざまなアプリケーション ビルド パイプラインに関連付けることができます。イメージスキャンはビルドおよび CI/CD ツールと統合できます。

Aqua Container Security Platform を使用すると、管理者はアプリケーション コンテキストを活用して、実行時にアプリケーションのネットワークをセグメント化することもできます。 Aqua プラットフォームは、Hashicorp Vault などのシークレット管理ツールと連携し、ソフトウェア コンポーネントからメタデータにアクセスするための Grafeas API をサポートしています。 Aqua プラットフォームは、アプリケーションの Grafeas ストアで見つかった脆弱性情報をログに記録でき、Aqua ポリシーは Grafeas 定義データを活用してセキュリティ インシデントやソフトウェアの問題を処理できます。

Aqua Container Security Platform は、オンプレミスまたはクラウドに導入できます。無料トライアルやオープンソース版はありませんが、Aqua はプラットフォームから派生した多くのオープンソースツールをリリースしています。

3. アトミックセキュアドッカー

Atomic Secured Docker は、潜在的な攻撃を無効化するためにさまざまな強化戦略を活用する、Ubuntu、CentOS、Red Hat Enterprise Linux 用の代替 Linux カーネルです。ユーザー空間メモリの強化された権限などの保護の多くは、Atomicorp のセキュア カーネル製品ラインから提供されます。 Container Breach Protection などの他の製品は、Docker 専用に設計されています。

Atomic Secured Docker は直接購入できます。 AWS および Azure マーケットプレイスには、AWS でホストされる CentOS のバージョンと、Azure でホストされる CentOS および Ubuntu のバージョンもあります。

4. ニューベクター

NeuVector は、Kubernetes クラスター全体を保護するように設計されています。これは、Red Hat OpenShift や Docker Enterprise Edition などの既存の Kubernetes 管理ソリューションと互換性があり、開発 (Jenkins プラグイン経由) から本番環境まで、展開のすべての段階でアプリケーションを保護するように設計されています。

この記事で紹介されている他の多くのソリューションと同様に、NeuVector は既存のコードを変更するのではなく、既存の Kubernetes クラスターにコンテナーとしてデプロイされます。 NeuVector をクラスターに追加すると、ホストされているすべてのコンテナーが検出され、接続と動作の詳細を示すマップが生成されます。アプリケーションの追加または削除によって生じた変更はすべて検出され、考慮されるため、脅威 (コンテナのブレイクアウトや新しい脆弱性を含む) を探すリアルタイム スキャンが引き続き有効になります。

NeuVector の価格は、実行している Docker ホストの数によって異なり、年間 9,950 ドルから始まります。無料トライアルをご利用いただけます。

5. Sysdigセキュア

Sysdig Secure は、コンテナ ランタイム環境を監視し、フォレンジック データを取得するための一連のツールを提供します。 Sysdig Secure は、Sysdig Monitor などの Sysdig の他の監視ツールと並行して実行されるように設計されています。

環境ポリシーは、各アプリケーション、コンテナ、ホスト、またはネットワーク アクティビティに基づいて設定および適用できます。 Sysdig Secure によって追跡されるすべてのイベントは、オーケストレーター (通常は Kubernetes) の観点からホストまたはコンテナで表示できます。 Twistlock の「イベント エクスプローラー」機能と同様に、各コンテナのコマンド履歴を記録および分析したり、クラスター全体のフォレンジック分析データを記録および再生したりすることができます。

Sysdig は、クラウド バージョンとオンプレミス バージョンで利用できる有料の Sysdig Secure のみを提供しています。

6.Tenable.io コンテナセキュリティ

Tenable.io コンテナ セキュリティは、運用環境で後から考えるのではなく、ビルド プロセス中に DevOps チームにコンテナ セキュリティの詳細な可視性を提供することに重点を置いています。

ビルド時にコンテナ イメージをスキャンして、マルウェア、脆弱性、ポリシー準拠の有無を確認します。画像または画像内のいずれかの要素でアラートが発生した場合、開発者には問題の性質と、マルチレイヤー画像内の特定のレイヤーなどの正確な場所が通知されるため、次のリリースですぐに修正できます。

Tenable.io Container Security は、最も一般的な CI/CD ビルド システムおよびコンテナ イメージ レジストリと連携し、実行中のすべてのコンテナ イメージの現在の状態、ポリシーの適用ステータス、およびストレージ センターの動作を表示するダッシュボードを提供します。

Tenable.io Container Security の価格については、リクエストに応じて提供されます。無料試用期間は60日間です。

7. ツイストロック

Twistlock は、Docker Enterprise などの「コア」コンテナ製品ではカバーされていないコンテナのセキュリティ制御をいくつか追加します。これらの機能の一部は次のとおりです。

• コンテナに HIPAA および CI 規制を適用するためのコンプライアンス制御。
• Jenkins などのビルド ツールのコンプライアンス アラート。
• クラウドネイティブ アプリケーション用のファイアウォール。
• 有効なコンテナ動作と無効なコンテナ動作を分析した結果に基づいて、コンテナに対するランタイム攻撃保護を提供します。
• Kubernetes の CIS ベンチマークをサポートし、Kubernetes によって管理されるデプロイメントを、Kubernetes を保護するための共通の標準セットに照らしてチェックできるようにします。

2018 年 8 月にリリースされた Twistlock 2.5 では、実行時のオーバーヘッドを削減する新しいフォレンジック分析手法 (インシデント発生前後のコンテナ状態情報をコンテナ自体の外部に保存するなど)、名前空間、ポッド、コンテナをマッピングするためのリアルタイム視覚化ツールの改善、サーバーレス コンピューティング システムの防御が追加されました。

Twistlock は有料のエンタープライズ バージョンを提供しています。以前は 30 日間の無料トライアルが提供されていましたが、現在は利用できなくなりました。

原題: Docker と Kubernetes をロックダウンするための 7 つのコンテナ セキュリティ ツール、著者: Serdar Yegulalp

[51CTOによる翻訳。パートナーサイトに転載する場合は、元の翻訳者と出典を51CTO.comとして明記してください。