Red Hat Advanced Cluster Security 4.9：ワークフローを念頭に置いて構築されたセキュリティー

Red Hat は、Kubernetes セキュリティーの急速な進化に合わせて、Red Hat Advanced Cluster Security for Kubernetes の進化に注力してきました。バージョン 4.9 では、ワークフローの最適化を支援するために設計された主要な統合とアップデートを導入しています。Red Hat では、他のツールやサービスとの統合機能をさらに強化し、運用に関する可視性を強化し、仮想マシン (VM) をレポートとスキャンの対象範囲に含める取り組みを開始しました。 

Red Hat Advanced Cluster Security と ServiceNow の統合

Red Hat Advanced Cluster Security 4.9 の重要なハイライトとして、ServiceNow との統合を挙げることができます。これにより、ユーザーは ServiceNow の Container Vulnerability Response Application を使用して、コンテナイメージの脆弱性に関する詳細なデータを ServiceNow ダッシュボードに簡単にインポートできます。 

これにより、Red Hat Advanced Cluster Security の豊富なデータが、組織がセキュリティー問題を解決するために使用する柔軟なチケットベースのワークフローに統合されます。

この統合を ServiceNow インスタンスに追加するには、ServiceNow Marketplace にアクセスしてください。

ビューベースの脆弱性レポート

Red Hat Advanced Cluster Security 4.9 は、フィルタリングされた脆弱性データの直接の CSV エクスポート機能を使用して、脆弱性レポートを生成し、共有するプロセスを単純化します。この機能により、セキュリティー・チームは柔軟性が向上し、関連の脆弱性を検索して発見し、実用的な洞察を容易に共有できるようになります。

このようなカスタマイズ可能なエクスポートにより、チームは脆弱性やコンテナ情報を迅速に確認できるようになるため、ワークフローが最適化され、セキュリティー・チームが迅速かつ効率的に対応できるようになります。

VM の脆弱性レポート (開発者プレビュー)

Red Hat Advanced Cluster Security で VM のセキュリティーを強化するためのプロセス上の重要な第一歩として、Red Hat OpenShift Virtualization で管理される VM の脆弱性スキャンがあります。このソリューションでは、Red Hat Enterprise Linux (RHEL) ホストにインストールされている軽量エージェントが、VM のゲスト・オペレーティング・システム (OS) に潜むリスクを検出する必要があります。

現時点では 50 VM に制限されていますが、既存の脆弱性管理ダッシュボードとのスムーズな統合が可能です。

マシン間 (M2M) OIDC 認証

最新リリースでは、製品 API へのセキュアなアクセスを最適化するために、宣言型の自動化に適した M2M OpenID Connect (OIDC) 認証が導入されています。OIDC 発行者の詳細をConfigMapまたはシークレットとして Central Pod にマウントし、チームが ID プロバイダーから発行される短命な OIDC トークンを利用できるようにします。これにより、自動化されたセキュリティ重視のAPI インタラクションが可能になります。これにより認証ワークフローが単純化され、有効期間の長い認証情報なしでマシンのアクセスが可能になり、サードパーティー認証が単純化されます。

Prometheus を使用したメトリクスのエクスポート

Red Hat Advanced Cluster Security 4.9 には、可視性を高めるためにカスタム製品メトリクスを公開する、Central サービス内の専用 /metrics API エンドポイントが付属しています。これらのカスタム製品メトリクスは、Prometheus の時系列データベースに保存されます。Prometheus データを使用して、Grafana や Perses などのツールでセキュリティー・メトリクスを可視化し、調整されたダッシュボードを作成できます。また、Alertmanager を使用すると、アラートを E メール、Slack、PagerDuty など、さまざまな受信先に送信できます。 

クラスタの健全性や TLS 証明書の有効期限などの固定メトリクスを通じてシステムの健全性を監視しながら、主要なセキュリティー領域 (ポリシー違反、イメージの脆弱性、ノードの脆弱性) に関する実用的な洞察を得ることができます。バージョン 4.9 は SecOps アプローチを具体化し、リスクとシステム・ステータスをプロアクティブに追跡するのに役立つセキュリティーおよび運用データを提供します。 

セットアップの詳細については、Red Hat Advanced Cluster Security 4.9 リリースノート (こちら) を参照してください。

プロセスベースラインの自動ロック

プロセスベースラインは、Red Hat Advanced Cluster Security の多くのバージョンで有効にされています。バージョン 4.9 では、ベースラインのロック処理を自動化することで、この機能がアップグレードされています。以前はデプロイメントごとの時間のかかる手動タスクでしたが、今回のアップデートにより、セキュリティー・チームはこのタスクから解放され、より重要な作業に集中できるようになります。

さらに、この変更により、よりプロアクティブなセキュリティー・アプローチが可能になります。アラートを設定する前にデプロイメントが存在することを待つ代わりに、namespace などの特定のスコープに対してポリシーを定義できるようになりました。スコープ内のすべての新しいデプロイメントはアラートを自動生成するため、初日から一貫したセキュリティーを確保できます。

ポリシーエディターの変更と機能拡張

お客様からのフィードバックに基づいて、ポリシーエディターの機能が強化されました。Red Hat Advanced Cluster Security 4.9 では、単一のポリシー・ライフサイクル選択を中心としたポリシー作成に重点を置き、以前の複数のオプション設定による煩雑さを解消しています。基準フィールドは各セクションにまとめられ、新しいサブセクションが追加されたことで、ライフサイクルに基づいて迅速かつ直感的な選択が可能になりました。

基準フィールドはセクションにスマートにグループ化され、ライフサイクルに基づいて関連オプションのみが動的に表示されます。さらに、ドキュメントには、従来からの「ハウツー」の手順に加えて、包括的なガイドが含まれるようになりました。今回のアップデートにより、チームはビルド、デプロイ、およびランタイムの各段階で、より簡単にセキュリティー・ポリシーを適用できるようになります。 

Red Hat Advanced Cluster Security 4.9 のリリースノートをこちらでご確認ください。

Admission Controller の適用とライフサイクルのアップデート

まず、Admission Controller の設定がより簡単になりました。Red Hat Advanced Cluster Security 4.9 では、下位レベルの調整を排除し、Admission Controller の適用を無効にするための単一の ON/OFF 選択肢を提供します。この設定は、保護されたクラスタごとにインストール方法 (Operator または Helm チャート) によって制御され、ユーザー・インターフェース (UI) の Cluster Configuration ページで確認できます。

次に、Admission Controller の「failure policy」が設定可能になりました。Kubernetes が API 要求を処理する際に、Admission Controller は短時間で応答する必要があります。タイムアウトした場合には、Kubernetes は次のいずれかを実行できます。

• Fail Open：要求を通過させ、Admission Controller を無視します (可用性を優先)。
• Fail Close：要求をブロックします (一貫したセキュリティー適用を優先)。

これまで、Red Hat Advanced Cluster Security は、Helm インストール方法でのみ Fail Close モードをサポートしていました。現在では、このオプションは Operator のインストール方法で利用でき、UI で更新されています。

今すぐお試しください

Red Hat Advanced Cluster Security 4.9 リリースの詳細については、リリースノートをご確認ください。