HyTrust CloudControlが提供するKubernetes対応の豊富なDeployment Control(展開制御)ポリシー


ここでは、Kubernetes環境でのコンテナーの展開を保護するHyTrust Cloud Control(HTCC)の製品バージョン6.0の豊富な機能を掘り下げてみます。Deployment Controlは、Kubernetesクラスターに展開できる「何」のイメージを保護することに関するものであり、Access Controlは、「誰」がどの操作を実行できるかに関するものです。

HTCC 6.0は、Continuous Deployment(CD)フェーズを次のように保護します。

  1. パブリック・レジストリからのイメージの展開を防止/制限します。
  2. 選択した承認済みのプライベート・レジストリからのみイメージを展開を許可。
  3. 脆弱性のあるイメージの展開を制限します。これにより、さまざまなニーズに合わせてきめ細かいルールを定義する柔軟性が提供します。

・CVE重大度レベルに基づいたしきい値- 例: PCI情報を処理する厳しい実稼働環境では、重大/高/中度のCVEを含むイメージを許可したくない場合がありますが、開発者/テスト環境の要件はもう少し厳しい場合があります。[注:CVE (Common Vulnerabilities and Exposures) =共通脆弱性識別子]


・適切な緩和策が実施されている場合に特定のCVEをホワイトリストに登録する機能。 このようにして、ホワイトリストに登録されたCVEを含むようなイメージを展開することができます。


・全体的なセキュリティ体制を損なう可能性のあるCVEをブラックリストに登録する機能 – 例: スペクター / メルトダウン CVEをブラックリストCVEとして登録設定できます。その場合、このCVEを含むイメージはすべて拒否されます。

4.さまざまなイメージ属性に基づくイメージのホワイトリストおよびブラックリストの概念をサポートします。 このようなホワイトリスト/ブラックリストは、以下に基づいて実行できます。

・イメージのバージョン – たとえば、Tomcatのバージョン8.0のみをデプロイでき、以前のバージョンはデプロイできない。

・リポジトリ–たとえば、 abcという名前のリポジトリからのイメージを許可しない。

・ イメージ・コンテンツ–たとえば、SSHアクセスを許可するイメージを拒否します。

・イメージの整合性/信頼–たとえば、適切に署名されたイメージのみを展開可能に。

HTCC 6.0では、上記の展開制御ポリシーは、Trust Manifest(信頼マニフェスト)と呼ばれるYAMLドキュメントとして記述されています。 このようなTrust Manifestは、直感的なUIを使用するか、またはviなどのエディターから直接定義することができます。

Trust Manifestは、1つ以上のクラスターまたはクラスター内の名前空間に適用できます。

ワークロードの性質に応じて、異なる適切なきめ細かいTrust Manifestを定義し、適切なクラスター/ネームスペースに適用できます。

またHTCC 6.0は、豊富なダッシュボードと次の洞察を提供します。

・開発違反と傾向
・上位の障害を起こすイメージ
・コンテナのランタイム配置での傾向など

関連トピックス

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

 

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください