Docker と Kubernetes を保護する 7 つのコンテナセキュリティツール

[51CTO.com クイック翻訳] Docker コンテナは、ソフトウェア開発者がアプリケーションをより速く構築し、より柔軟に展開するのに役立ちます。コンテナは、開発者がソフトウェアをより安全にするのにも役立ちます。

コンテナに入るソフトウェアコンポーネントの自動分析、コンテナクラスターと複数のアプリケーションバージョンにわたる動作ポリシー、脆弱性データを追跡および管理するための革新的なテクノロジは、コンテナがアプリケーションライフサイクル全体のセキュリティを向上させる方法のほんの一部です。

ただし、これらのうちどれだけがすぐに使えるかは別の問題です。 Docker や Kubernetes などのコンテナ管理システムは基本的な機能を提供しますが、必ずしも優れた機能を備えているとは限らず、より高度なセキュリティ監視と適用はサードパーティのツールに任せています。

[[250515]]

ここでは、クラウドおよびオンプレミスデータセンター内のコンテナーの脆弱性検出、コンプライアンスチェック、ホワイトリスト、ファイアウォール、ランタイム保護機能を提供する、最近改良された 7 つのコンテナーセキュリティ製品とサービスを紹介します。

1. アポレート

Aporeto は、以下で説明する NeuVector 製品と同様に、ランタイム保護に重点を置いています。同社は、Kubernetes ワークロードを保護するマイクロサービスセキュリティ製品と、分散環境で実行されるアプリケーションを保護するクラウドネットワークファイアウォールシステムを提供しています。

Kubernetes ワークロードの場合、Aporeto はオンプレミス環境と Google Kubernetes Engine などのホスト環境の両方を保護できます。作成された各リソースにはサービス ID が割り当てられ、アプリケーションの信頼チェーンが壊れないようにするために使用されます。とりわけ、サービス ID は、アプリケーションのポッドが実際にどこに存在するかに関係なく、宣言されたアプリケーションの動作を強制するために使用されます。

Aporeto の価格は、アカウント登録後にリクエストに応じて提供されます。評価用に 30 日間の無料トライアルをご利用いただけます。

2. Aqua コンテナセキュリティプラットフォーム

Aqua Container Security Platform は、Linux および Windows コンテナのコンプライアンスとランタイムセキュリティを提供します。

このエンドツーエンドのコンテナセキュリティマネージャーを使用すると、管理者はアプリケーションにセキュリティポリシーとリスクプロファイルを適用し、それらのプロファイルをさまざまなアプリケーションビルドパイプラインに関連付けることができます。イメージスキャンはビルドおよび CI/CD ツールと統合できます。

Aqua Container Security Platform を使用すると、管理者はアプリケーションコンテキストを活用して、実行時にアプリケーションのネットワークをセグメント化することもできます。 Aqua プラットフォームは、Hashicorp Vault などのシークレット管理ツールと連携し、ソフトウェアコンポーネントからメタデータにアクセスするための Grafeas API をサポートしています。 Aqua プラットフォームは、アプリケーションの Grafeas ストアで見つかった脆弱性情報をログに記録でき、Aqua ポリシーは Grafeas 定義データを活用してセキュリティインシデントやソフトウェアの問題を処理できます。

Aqua Container Security Platform は、オンプレミスまたはクラウドに導入できます。無料トライアルやオープンソース版はありませんが、Aqua はプラットフォームから派生した多くのオープンソースツールをリリースしています。

3. アトミックセキュアドッカー

Atomic Secured Docker は、潜在的な攻撃を無効化するためにさまざまな強化戦略を活用する、Ubuntu、CentOS、Red Hat Enterprise Linux 用の代替 Linux カーネルです。ユーザー空間メモリの強化された権限などの保護の多くは、Atomicorp のセキュアカーネル製品ラインから提供されます。 Container Breach Protection などの他の製品は、Docker 専用に設計されています。

Atomic Secured Docker は直接購入できます。 AWS および Azure マーケットプレイスには、AWS でホストされる CentOS のバージョンと、Azure でホストされる CentOS および Ubuntu のバージョンもあります。

4. ニューベクター

NeuVector は、Kubernetes クラスター全体を保護するように設計されています。これは、Red Hat OpenShift や Docker Enterprise Edition などの既存の Kubernetes 管理ソリューションと互換性があり、開発 (Jenkins プラグイン経由) から本番環境まで、展開のすべての段階でアプリケーションを保護するように設計されています。

この記事で紹介されている他の多くのソリューションと同様に、NeuVector は既存のコードを変更するのではなく、既存の Kubernetes クラスターにコンテナーとしてデプロイされます。 NeuVector をクラスターに追加すると、ホストされているすべてのコンテナーが検出され、接続と動作の詳細を示すマップが生成されます。アプリケーションの追加または削除によって生じた変更はすべて検出され、考慮されるため、脅威 (コンテナのブレイクアウトや新しい脆弱性を含む) を探すリアルタイムスキャンが引き続き有効になります。

NeuVector の価格は、実行している Docker ホストの数によって異なり、年間 9,950 ドルから始まります。無料トライアルをご利用いただけます。

5. Sysdigセキュア

Sysdig Secure は、コンテナランタイム環境を監視し、フォレンジックデータを取得するための一連のツールを提供します。 Sysdig Secure は、Sysdig Monitor などの Sysdig の他の監視ツールと並行して実行されるように設計されています。

環境ポリシーは、各アプリケーション、コンテナ、ホスト、またはネットワークアクティビティに基づいて設定および適用できます。 Sysdig Secure によって追跡されるすべてのイベントは、オーケストレーター (通常は Kubernetes) の観点からホストまたはコンテナで表示できます。 Twistlock の「イベントエクスプローラー」機能と同様に、各コンテナのコマンド履歴を記録および分析したり、クラスター全体のフォレンジック分析データを記録および再生したりすることができます。

Sysdig は、クラウドバージョンとオンプレミスバージョンで利用できる有料の Sysdig Secure のみを提供しています。

6.Tenable.io コンテナセキュリティ

Tenable.io コンテナセキュリティは、運用環境で後から考えるのではなく、ビルドプロセス中に DevOps チームにコンテナセキュリティの詳細な可視性を提供することに重点を置いています。

ビルド時にコンテナイメージをスキャンして、マルウェア、脆弱性、ポリシー準拠の有無を確認します。画像または画像内のいずれかの要素でアラートが発生した場合、開発者には問題の性質と、マルチレイヤー画像内の特定のレイヤーなどの正確な場所が通知されるため、次のリリースですぐに修正できます。

Tenable.io Container Security は、最も一般的な CI/CD ビルドシステムおよびコンテナイメージレジストリと連携し、実行中のすべてのコンテナイメージの現在の状態、ポリシーの適用ステータス、およびストレージセンターの動作を表示するダッシュボードを提供します。

Tenable.io Container Security の価格については、リクエストに応じて提供されます。無料試用期間は60日間です。

7. ツイストロック

Twistlock は、Docker Enterprise などの「コア」コンテナ製品ではカバーされていないコンテナのセキュリティ制御をいくつか追加します。これらの機能の一部は次のとおりです。

コンテナに HIPAA および CI 規制を適用するためのコンプライアンス制御。
Jenkins などのビルドツールのコンプライアンスアラート。
クラウドネイティブアプリケーション用のファイアウォール。
有効なコンテナ動作と無効なコンテナ動作を分析した結果に基づいて、コンテナに対するランタイム攻撃保護を提供します。
Kubernetes の CIS ベンチマークをサポートし、Kubernetes によって管理されるデプロイメントを、Kubernetes を保護するための共通の標準セットに照らしてチェックできるようにします。

2018 年 8 月にリリースされた Twistlock 2.5 では、実行時のオーバーヘッドを削減する新しいフォレンジック分析手法 (インシデント発生前後のコンテナ状態情報をコンテナ自体の外部に保存するなど)、名前空間、ポッド、コンテナをマッピングするためのリアルタイム視覚化ツールの改善、サーバーレスコンピューティングシステムの防御が追加されました。

Twistlock は有料のエンタープライズバージョンを提供しています。以前は 30 日間の無料トライアルが提供されていましたが、現在は利用できなくなりました。

原題: Docker と Kubernetes をロックダウンするための 7 つのコンテナセキュリティツール、著者: Serdar Yegulalp

[51CTOによる翻訳。パートナーサイトに転載する場合は、元の翻訳者と出典を51CTO.comとして明記してください。

<<: サーバーレスコンピューティングの徹底的な考察: 起源、シナリオ、問題

>>: エンタープライズクラウド移行の4つの重要なポイントと5つの段階について説明します。

Docker と Kubernetes を保護する 7 つのコンテナセキュリティツール

ゲーム業界の幹部がクラウドサービスでゲーマーの関心を維持する方法を共有

WeChat for Businessを通じてPrometheusアラートを実装する方法を教えます

中小企業がオンラインマーケティングを体系的に行うには（I）チャネル（第1部）

没落したIT大手：多くの問題に悩まされ、疎外の危機に直面

アジャイル開発により、ニーズに迅速に対応できるAプラスプラットフォームソケット接続を実現

インターネット技術起業家は、2 つのセッションで提案を行う際にどのような点に重点を置いていますか?

vmissはどうですか？月額18元の米国cn2gia高帯域幅VPSの簡単なレビュー

昨夜の百度ランキングの急落の理由についての推測

母の日に大手ブランドが送る優れたコピーライティング集

オンライン移民SEO担当者の今後の発展方向に関する提案

推薦する

李明元氏はYouaの失敗を振り返る：電子商取引は製品とトラフィックだけの問題ではない

Alibaba Cloudの自社開発技術が世界初のクラウドネイティブデータウェアハウスAnalyticDBを採用し、TPC-DSを上回る

金融テクノロジー人材育成のための「新たな高み」を創出

photonvps: 20% オフ、クラウドサーバーは月額 4 ドルから、トラフィックは月 2T、台湾/日本/韓国/シンガポールなどに 16 のデータセンターあり。

クラウドネイティブを構築し、変革を加速する

VMware は、現代の分散型企業向けに優れたセキュリティとビジネス回復力を提供します

日常生活で観察したマーケティング

カマテラはどうですか？イスラエルのクラウドサーバーレビュー、Roshhaayin データセンター

高品質な外部リンクを構築する方法: 投稿、Q&A、ソフト記事

QingCloudは、医療業界のクラウドへのスムーズな移行を支援する最もINなデジタル医療クラウドソリューションとして選ばれました。

またまた受賞です！ | H3CがGNTCカンファレンスで輝き、インテリジェントネットワークの革新をリード

IoT とエッジコンピューティングの将来はどうなるのでしょうか?

40% オフ: Virpus - 年間 30 ドル / Xen / 512 MB RAM / 15 GB SSD / 1.5 TB データ転送 / 無料 DA パネル / シアトル

SEO担当者の理解：SEOはオンラインマーケティングの唯一の手段ではない

クラウドコンピューティングの成果: バックアップ、階層化、データ共有