Docker と Kubernetes を保護する 7 つのコンテナセキュリティツール

[51CTO.com クイック翻訳] Docker コンテナは、ソフトウェア開発者がアプリケーションをより速く構築し、より柔軟に展開するのに役立ちます。コンテナは、開発者がソフトウェアをより安全にするのにも役立ちます。

コンテナに入るソフトウェアコンポーネントの自動分析、コンテナクラスターと複数のアプリケーションバージョンにわたる動作ポリシー、脆弱性データを追跡および管理するための革新的なテクノロジは、コンテナがアプリケーションライフサイクル全体のセキュリティを向上させる方法のほんの一部です。

ただし、これらのうちどれだけがすぐに使えるかは別の問題です。 Docker や Kubernetes などのコンテナ管理システムは基本的な機能を提供しますが、必ずしも優れた機能を備えているとは限らず、より高度なセキュリティ監視と適用はサードパーティのツールに任せています。

[[250515]]

ここでは、クラウドおよびオンプレミスデータセンター内のコンテナーの脆弱性検出、コンプライアンスチェック、ホワイトリスト、ファイアウォール、ランタイム保護機能を提供する、最近改良された 7 つのコンテナーセキュリティ製品とサービスを紹介します。

1. アポレート

Aporeto は、以下で説明する NeuVector 製品と同様に、ランタイム保護に重点を置いています。同社は、Kubernetes ワークロードを保護するマイクロサービスセキュリティ製品と、分散環境で実行されるアプリケーションを保護するクラウドネットワークファイアウォールシステムを提供しています。

Kubernetes ワークロードの場合、Aporeto はオンプレミス環境と Google Kubernetes Engine などのホスト環境の両方を保護できます。作成された各リソースにはサービス ID が割り当てられ、アプリケーションの信頼チェーンが壊れないようにするために使用されます。とりわけ、サービス ID は、アプリケーションのポッドが実際にどこに存在するかに関係なく、宣言されたアプリケーションの動作を強制するために使用されます。

Aporeto の価格は、アカウント登録後にリクエストに応じて提供されます。評価用に 30 日間の無料トライアルをご利用いただけます。

2. Aqua コンテナセキュリティプラットフォーム

Aqua Container Security Platform は、Linux および Windows コンテナのコンプライアンスとランタイムセキュリティを提供します。

このエンドツーエンドのコンテナセキュリティマネージャーを使用すると、管理者はアプリケーションにセキュリティポリシーとリスクプロファイルを適用し、それらのプロファイルをさまざまなアプリケーションビルドパイプラインに関連付けることができます。イメージスキャンはビルドおよび CI/CD ツールと統合できます。

Aqua Container Security Platform を使用すると、管理者はアプリケーションコンテキストを活用して、実行時にアプリケーションのネットワークをセグメント化することもできます。 Aqua プラットフォームは、Hashicorp Vault などのシークレット管理ツールと連携し、ソフトウェアコンポーネントからメタデータにアクセスするための Grafeas API をサポートしています。 Aqua プラットフォームは、アプリケーションの Grafeas ストアで見つかった脆弱性情報をログに記録でき、Aqua ポリシーは Grafeas 定義データを活用してセキュリティインシデントやソフトウェアの問題を処理できます。

Aqua Container Security Platform は、オンプレミスまたはクラウドに導入できます。無料トライアルやオープンソース版はありませんが、Aqua はプラットフォームから派生した多くのオープンソースツールをリリースしています。

3. アトミックセキュアドッカー

Atomic Secured Docker は、潜在的な攻撃を無効化するためにさまざまな強化戦略を活用する、Ubuntu、CentOS、Red Hat Enterprise Linux 用の代替 Linux カーネルです。ユーザー空間メモリの強化された権限などの保護の多くは、Atomicorp のセキュアカーネル製品ラインから提供されます。 Container Breach Protection などの他の製品は、Docker 専用に設計されています。

Atomic Secured Docker は直接購入できます。 AWS および Azure マーケットプレイスには、AWS でホストされる CentOS のバージョンと、Azure でホストされる CentOS および Ubuntu のバージョンもあります。

4. ニューベクター

NeuVector は、Kubernetes クラスター全体を保護するように設計されています。これは、Red Hat OpenShift や Docker Enterprise Edition などの既存の Kubernetes 管理ソリューションと互換性があり、開発 (Jenkins プラグイン経由) から本番環境まで、展開のすべての段階でアプリケーションを保護するように設計されています。

この記事で紹介されている他の多くのソリューションと同様に、NeuVector は既存のコードを変更するのではなく、既存の Kubernetes クラスターにコンテナーとしてデプロイされます。 NeuVector をクラスターに追加すると、ホストされているすべてのコンテナーが検出され、接続と動作の詳細を示すマップが生成されます。アプリケーションの追加または削除によって生じた変更はすべて検出され、考慮されるため、脅威 (コンテナのブレイクアウトや新しい脆弱性を含む) を探すリアルタイムスキャンが引き続き有効になります。

NeuVector の価格は、実行している Docker ホストの数によって異なり、年間 9,950 ドルから始まります。無料トライアルをご利用いただけます。

5. Sysdigセキュア

Sysdig Secure は、コンテナランタイム環境を監視し、フォレンジックデータを取得するための一連のツールを提供します。 Sysdig Secure は、Sysdig Monitor などの Sysdig の他の監視ツールと並行して実行されるように設計されています。

環境ポリシーは、各アプリケーション、コンテナ、ホスト、またはネットワークアクティビティに基づいて設定および適用できます。 Sysdig Secure によって追跡されるすべてのイベントは、オーケストレーター (通常は Kubernetes) の観点からホストまたはコンテナで表示できます。 Twistlock の「イベントエクスプローラー」機能と同様に、各コンテナのコマンド履歴を記録および分析したり、クラスター全体のフォレンジック分析データを記録および再生したりすることができます。

Sysdig は、クラウドバージョンとオンプレミスバージョンで利用できる有料の Sysdig Secure のみを提供しています。

6.Tenable.io コンテナセキュリティ

Tenable.io コンテナセキュリティは、運用環境で後から考えるのではなく、ビルドプロセス中に DevOps チームにコンテナセキュリティの詳細な可視性を提供することに重点を置いています。

ビルド時にコンテナイメージをスキャンして、マルウェア、脆弱性、ポリシー準拠の有無を確認します。画像または画像内のいずれかの要素でアラートが発生した場合、開発者には問題の性質と、マルチレイヤー画像内の特定のレイヤーなどの正確な場所が通知されるため、次のリリースですぐに修正できます。

Tenable.io Container Security は、最も一般的な CI/CD ビルドシステムおよびコンテナイメージレジストリと連携し、実行中のすべてのコンテナイメージの現在の状態、ポリシーの適用ステータス、およびストレージセンターの動作を表示するダッシュボードを提供します。

Tenable.io Container Security の価格については、リクエストに応じて提供されます。無料試用期間は60日間です。

7. ツイストロック

Twistlock は、Docker Enterprise などの「コア」コンテナ製品ではカバーされていないコンテナのセキュリティ制御をいくつか追加します。これらの機能の一部は次のとおりです。

コンテナに HIPAA および CI 規制を適用するためのコンプライアンス制御。
Jenkins などのビルドツールのコンプライアンスアラート。
クラウドネイティブアプリケーション用のファイアウォール。
有効なコンテナ動作と無効なコンテナ動作を分析した結果に基づいて、コンテナに対するランタイム攻撃保護を提供します。
Kubernetes の CIS ベンチマークをサポートし、Kubernetes によって管理されるデプロイメントを、Kubernetes を保護するための共通の標準セットに照らしてチェックできるようにします。

2018 年 8 月にリリースされた Twistlock 2.5 では、実行時のオーバーヘッドを削減する新しいフォレンジック分析手法 (インシデント発生前後のコンテナ状態情報をコンテナ自体の外部に保存するなど)、名前空間、ポッド、コンテナをマッピングするためのリアルタイム視覚化ツールの改善、サーバーレスコンピューティングシステムの防御が追加されました。

Twistlock は有料のエンタープライズバージョンを提供しています。以前は 30 日間の無料トライアルが提供されていましたが、現在は利用できなくなりました。

原題: Docker と Kubernetes をロックダウンするための 7 つのコンテナセキュリティツール、著者: Serdar Yegulalp

[51CTOによる翻訳。パートナーサイトに転載する場合は、元の翻訳者と出典を51CTO.comとして明記してください。

<<: サーバーレスコンピューティングの徹底的な考察: 起源、シナリオ、問題

>>: エンタープライズクラウド移行の4つの重要なポイントと5つの段階について説明します。

Docker と Kubernetes を保護する 7 つのコンテナセキュリティツール

QQスペース運営：目立たないQQスペースはどうやって月に1万元以上を稼ぐのか？

hostens-8.3 ユーロ/年払い/VPS/768M メモリ/15g ハードディスク/1T トラフィック/400M ポート

LBXU/Lobo データ: 高品質の CN2 ネットワーク、オプションの香港、日本、韓国、米国のデータセンター、クラウドサーバーは 20% オフ、物理サーバーは 10% オフ、月額 4.43 ドルから

gcore - 3.25€/KVM/512MB RAM/無制限帯域幅/ルクセンブルク/マイアミ

ウェブサイトを分析する能力は、初心者ウェブマスターにとって必須のスキルです。

後ろに何か熱いものを描く

SKYCCイベントの盛り上がりからビデオマーケティングについて語る

データ分析をクラウドに移行する方法

WeChatエンタープライズアカウントはモバイルB2Bプラットフォームを構築します

事例分析：企業ウェブサイトの入札コンバージョン率を向上させる方法

推薦する

kdatacenter: 韓国の VPS、高速直接接続、Web サイト構築に最適 + 「言葉にできない」など。

ウェブサイトのデザイン: ウェブフローチャートの描き方ガイド

天一クラウドは包括的なAIを創造し、あらゆる業界にAIを適用可能にする

サーバーレスアーキテクチャ変革の実践: 遺伝子サンプルの比較

マーケティングにおける企業雑誌の役割

企業ネットワークのフルタイム SEO で月 2700 人民元を稼ぎます。私は何を主張しているのでしょうか?

onevps が VPS 情報を受信しない場合はどうすればいいですか?

ウェブサイトを内部的に最適化してウェブサイトの重量を改善する3つの方法

5年間ウェブサイトを運営してきた老ウェブマスターの悲しい経験

トラフィック獲得のための4つのチャネルと戦略

SaaS: 急成長を遂げる高品質なクラウドコンピューティングトラック

contabo: 大容量 SSD ストレージ VPS、月額 8.49 ドルから、4G メモリ/2 コア/400g SSD/32T トラフィック、Windows 搭載、オプションで米国/ドイツ/英国/シンガポールのデータセンターあり

Baidu の SEO に関する提案: ホワイトハット SEO に対するフレンドリーなサポート

エッジコンピューティングの支出は2026年までに3,170億ドルに達する

調査によると、企業の80%が5Gとエッジプランを強化すると予想