Red Hat Advanced Cluster Security for Kubernetes 

2025 年 10 月 31 日
リソースタイプ: データシート

はじめに

クラウドネイティブ・アプリケーションを保護するには、セキュリティへのアプローチを大幅に変更する必要があります。アプリケーション開発ライフサイクルの早い段階でセキュリティ制御を適用すること、この制御をインフラストラクチャそのものを使用して適用すること、開発者にとって使いやすいガードレールを提供すること、加速し続けるリリーススケジュールに対応することが必要になります。

StackRox を使用した Red Hat® Advanced Cluster Security for Kubernetes はビルド、デプロイ、ランタイム全体で重要なアプリケーションを保護します。このソフトウェアは、セルフマネージドのセキュリティ・ソリューションとして Kubernetes インフラストラクチャにデプロイできます。あるいは、フルマネージドの Software-as-a-Service (SaaS) として利用することもできます。さらに、既存の DevOps ツールやワークフローと統合して、信頼性の高いセキュリティとコンプライアンスを実現させることができます。ポリシーエンジンには、Center for Internet Security (CIS) ベンチマークや米国標準技術研究所 (NIST) のガイドラインなどの業界標準に基づいた、DevOps とセキュリティに重点を置いたプラクティスを施行するための数百ものコントロール、コンテナと Kubernetes の両方の構成管理、ランタイムセキュリティが組み込まれています。

Red Hat Advanced Cluster Security は、プラットフォームとアプリケーションのセキュリティに対応する Kubernetes ネイティブのアーキテクチャを提供するため、DevOps チームと InfoSec チームによるセキュリティ運用が可能になります。

クラウドネイティブ・アプリケーション用の Kubernetes ネイティブ・セキュリティ・ソリューション

特長とメリット

  • 運用コストの低減
    • 開発、運用、セキュリティの各チームが、Kubernetes ネイティブのセキュリティツールやプラクティスの共通のセットを使用できるようにし、個々のユーザーにガードレールを提供します。
    • アプリケーションのビルド、デプロイ、ランタイムの各フェーズにわたって Kubernetes ネイティブのコントロールを使用することで、脆弱性、ポリシー違反、構成違反、およびアプリケーション実行時の動作の可視性と管理性を向上させます。
    • 開発段階でセキュリティの問題を発見し修正することで (シフトレフト)、その問題に対処するコストを削減します。
  • 運用リスクの軽減
    • セグメンテーションのための Kubernetes ネットワークポリシーやセキュリティポリシー施行のためのアドミッション・コントローラーなど、組み込みの Kubernetes 機能を使用してセキュリティとインフラストラクチャを連携させ、アプリケーションのダウンタイムを削減します。
    • Kubernetes ネイティブのセキュリティコントロールを使用して脅威を軽減し、セキュリティポリシーを施行して、アプリケーションとインフラストラクチャの運用に対する潜在的な影響を最小限に抑えます。たとえば、コントロールを使用して疑わしい Pod をゼロにスケーリングしたり、侵害されたアプリケーションのインスタンスを削除して再起動したりするように Kubernetes に自動的に指示することで、侵害の成功を阻止します。
  • 開発者の生産性向上
    • リポジトリ、開発パイプライン、プロダクションにおける脆弱性を積極的にスキャンします。
    • Kubernetes と既存の継続的インテグレーションおよび継続的デリバリー (CI/CD) ツールを利用して、望ましいセキュリティポスチャを維持しながら開発者の生産性の速度をサポートする、統合されたセキュリティガードレールを提供します。
    • アップデートとサポートを Red Hat OpenShift® リリースと同期させて、互換性と最新のセキュリティ機能を維持します。
    • Red Hat が認定する脆弱性データを使用し、Red Hat OpenShift 環境の精度と関連性を高めます。

メリットの詳細

領域メリット
可視性
  • すべてのイメージ、Pod、デプロイメント、名前空間、構成を含め、Kubernetes 環境を包括的に把握できます。
  • 名前空間、デプロイメント、Pod にわたるすべてのクラスタ内のネットワークトラフィックを検出して表示します。
  • 各コンテナ内の重要なシステムレベルのイベントを捉えてインシデントを検出します。
脆弱性の管理
  • Red Hat Enterprise Linux® CoreOS のホストレベルの脆弱性と潜在的なセキュリティ脅威を検出します。
  • イメージをスキャンして、特定の言語、パッケージ、イメージレイヤーの既知の脆弱性を検出します。
  • 最もリスクの高いイメージの脆弱性とデプロイメントを強調表示し、対応に優先順位を付けます。
  • 脆弱性を名前空間、実行中のデプロイメント、イメージに関連付けます。
  • 調査結果をプラットフォーム、ノード、ワークロード別に分類して、追跡と責任の所在を単純化します。
  • ビルド、デプロイ、ランタイム時の脆弱性の詳細に基づいてポリシーを施行します。
  • roxctl やアプリケーション・プログラミング・インタフェース (API) を使用して ACS をサードパーティのソリューションと統合し、チームが日常的に使用するツール (Jira や ServiceNow) で脆弱性を通知します。
コンプライアンス
  • セキュリティおよび規制フレームワーク (CIS、Payment Card Industry (PCI)、NIST SP 800-53、DISA STIG、NERC-CIP など) による技術的制御への準拠を評価します。
  • 監査担当者向けの証拠エクスポート機能を使用して、各基準のコントロールに対する全体的なコンプライアンスを確認できます。
  • コンプライアンス結果の詳細なビューをドリルダウンして、修復が必要なクラスタ、名前空間、ノード、またはデプロイメントの名前空間を特定できます。
  • コンプライアンススキャンをスケジュールし、証拠ベースのレポートの作成を自動化します。
ネットワーク・セグメンテーション
  • 実行時の外部エクスポージャーを含め、名前空間、デプロイメント、Pod 間の許可されたトラフィックとアクティブなトラフィックを視覚化します。
  • ポートをリッスンしている実行中のプロセスを特定します。
  • 異常なネットワークトラフィックを特定し、通知してランタイムポリシーを適用します。
  • 禁止されたトラフィックが観測された場合に、ポリシー違反に関するアラートを発します。
  • 接続性グラフを生成し、デプロイメントに先立ってアプリケーションの 2 つのバージョン間のコンテキスト上の差を表示します。
  • 環境に対する運用リスクを最小限に抑えるために、ネットワークポリシーの変更を実装前にランタイムでシミュレーションします。
  • デプロイ前にアプリケーションのマニフェストを分析し、Kubernetes ネットワークポリシーをシフトレフトして作成します。
リスクプロファイリング
  • 脆弱性、構成ポリシー違反、ランタイム・アクティビティなどの要素を組み合わせて、全体的なセキュリティリスクに応じて実行中のデプロイメントをヒューリスティックにランク付けします。
  • Kubernetes デプロイメントのセキュリティポスチャの変更を追跡し、セキュリティチームのアクションの影響を検証します。
  • すべてのクラスタで実行中のデプロイメントを検索し、脅威ベクトルをモデル化し、リスクパターンを明らかにします。
構成管理
  • 事前構築済みの DevOps およびセキュリティポリシーを提供し、ネットワーク・エクスポージャー、特権コンテナ、ルートとして実行されるプロセス、業界標準への準拠に関連する構成違反を特定します。
  • Kubernetes のロールベースのアクセス制御 (RBAC) 設定を分析して、ユーザーまたはサービスアカウントの権限と構成ミスを特定します。
  • シークレットを追跡し、アクセスを制限するためにシークレットを使用しているデプロイメントを検出します。
  • CI/CD 統合を使用するビルド時と、動的アドミッション・コントロールを使用するデプロイ時に、構成ポリシーを施行します。
ランタイムの検出と対応
  • イベントを監視して、Kubernetes オブジェクトに関連する脅威を示す異常なアクティビティを検出します。
  • Kubernetes ネイティブのコントロールを使用して、業務を中断させない自動応答を実装し、ビジネス運用への影響を最小限に抑えます。
  • コンテナ内のプロセスアクティビティのベースラインを設定してプロセスを自動的にホワイトリストに登録します。これにより、手動でホワイトリストに登録する必要がなくなります。
  • 事前構築済みのポリシーを使用して、暗号通貨マイニング、権限昇格のほか、さまざまなエクスプロイトを検出します。
  • Kubernetes 管理イベントを監視し、悪意のある動作をブロックします。
  • 外部のセキュリティ統合イベント管理 (SIEM) と、セキュリティ・オーケストレーション、自動化、および応答 (SOAR) ソリューションを統合して、修復ワークフローを強化します。 
セキュリティポリシーの防護機能
  • ビルド、デプロイ、またはランタイム時に適用できるすぐに使えるポリシーを使用して、ネットワーク・エクスポージャー、特権コンテナ、ルートとして実行されるプロセスなど、セキュリティ構成の脆弱性を特定します。
  • Kubernetes API、監査ログ、名前空間リソースなど、Kubernetes ネイティブの構成要素に基づいてカスタムポリシーを作成します。
  • Advanced Cluster Security を CI/CD パイプラインと統合してデプロイ前に既知の脆弱性や構成ミスをチェックすることで、サプライチェーンのセキュリティを提供します。
  • イメージの署名を検証してイメージの認証と整合性を確認します。
  • Kubernetes のロールベースのアクセス制御 (RBAC) 設定を分析して、ユーザーまたはサービスアカウントの権限と構成ミスにフラグを付けます。
  • シークレットを追跡し、シークレットを使用しているデプロイメントを検出します。
  • Kubernetes ラベルを使用し、Policy as Code を管理することでポリシー管理をスケーリングします。
インテグレーション
  • CI/CD ツール、イメージスキャナー、シグストア、レジストリ、コンテナランタイム、SIEM ソリューション、通知ツールなどの DevOps システムと統合する、豊富な API と事前構築済みのプラグインを提供します。


Red Hat Advanced Cluster Security の動作を実際に確認しましょう

無料トライアルを今すぐ始める

タグ:自動化と管理