ここでは、Kubernetes環境でのコンテナーの展開を保護するHyTrust Cloud Control(HTCC)の製品バージョン6.0の豊富な機能を掘り下げてみます。Deployment Controlは、Kubernetesクラスターに展開できる「何」のイメージを保護することに関するものであり、Access Controlは、「誰」がどの操作を実行できるかに関するものです。
HTCC 6.0は、Continuous Deployment(CD)フェーズを次のように保護します。
- パブリック・レジストリからのイメージの展開を防止/制限します。
- 選択した承認済みのプライベート・レジストリからのみイメージを展開を許可。
- 脆弱性のあるイメージの展開を制限します。これにより、さまざまなニーズに合わせてきめ細かいルールを定義する柔軟性が提供します。
・CVE重大度レベルに基づいたしきい値- 例: PCI情報を処理する厳しい実稼働環境では、重大/高/中度のCVEを含むイメージを許可したくない場合がありますが、開発者/テスト環境の要件はもう少し厳しい場合があります。[注:CVE (Common Vulnerabilities and Exposures) =共通脆弱性識別子]
・適切な緩和策が実施されている場合に特定のCVEをホワイトリストに登録する機能。 このようにして、ホワイトリストに登録されたCVEを含むようなイメージを展開することができます。
・全体的なセキュリティ体制を損なう可能性のあるCVEをブラックリストに登録する機能 – 例: スペクター / メルトダウン CVEをブラックリストCVEとして登録設定できます。その場合、このCVEを含むイメージはすべて拒否されます。
4.さまざまなイメージ属性に基づくイメージのホワイトリストおよびブラックリストの概念をサポートします。 このようなホワイトリスト/ブラックリストは、以下に基づいて実行できます。
・イメージのバージョン – たとえば、Tomcatのバージョン8.0のみをデプロイでき、以前のバージョンはデプロイできない。
・リポジトリ–たとえば、 abcという名前のリポジトリからのイメージを許可しない。
・ イメージ・コンテンツ–たとえば、SSHアクセスを許可するイメージを拒否します。
・イメージの整合性/信頼–たとえば、適切に署名されたイメージのみを展開可能に。
HTCC 6.0では、上記の展開制御ポリシーは、Trust Manifest(信頼マニフェスト)と呼ばれるYAMLドキュメントとして記述されています。 このようなTrust Manifestは、直感的なUIを使用するか、またはviなどのエディターから直接定義することができます。
Trust Manifestは、1つ以上のクラスターまたはクラスター内の名前空間に適用できます。
ワークロードの性質に応じて、異なる適切なきめ細かいTrust Manifestを定義し、適切なクラスター/ネームスペースに適用できます。
またHTCC 6.0は、豊富なダッシュボードと次の洞察を提供します。
・開発違反と傾向
・上位の障害を起こすイメージ
・コンテナのランタイム配置での傾向など
関連トピックス
- CloudBerry Backupを使用してのブータブルなISOイメージ作成方法
- ブータブルファイルを使用したイメージベースバックアップからの復旧 : Cloud Berry Backup
- リポジトリ(Repository)追加【VMWare/Hyper-V対応 バックアップ & レプリケーションソフト Veeam】
- Veeam Stencilの使用方法
- VMwere vSphereでのバックアップ分析(1)【VMWare専用 バックアップ & レプリケーションソフト Veeam】
- イメージベースのバックアップからファイル単位でのリストア【CloudBerry Backup 4.3】
- VMware仮想マシンとしてのイメージベース・バックアップのリストアが可能に [CloudBerry Bckup リリース5.7]
- CloudBerry Backup 4.5新機能:Amazon EC2インスタンスとしてのリストア
- バックアップとレプリケーションの動作の違いについて【VMWare専用 バックアップ & レプリケーションソフト Veeam】
- CloudBerry Backup Ver 5.1でのイメージ・ベースの機能拡張
RSSフィードを取得する
