コンテナ セキュリティ

Prisma Cloudがあれば、パブリック クラウドでもプライベート クラウドでも、Kubernetes®を始めとするコンテナ プラットフォームを、構築から実行まで保護します。

コンテナ、Kubernetes、Container as a Service (CaaS)は、大規模なサービスをパッケージ化およびオーケストレーションするための主要な方法になっています。同時に、コンテナ ユーザーは、コンテナ化されたアプリケーションの脆弱性管理、コンプライアンス、ランタイム保護、ネットワーク セキュリティ要件に対応するための専用のセキュリティを確保する必要があります。

クラウド ワークロード保護プラットフォームに関するガートナーのレポートをお読みください。

アプリケーションのライフサイクル全体にわたるコンテナ セキュリティ

Prisma® Cloudはコンテナ イメージをスキャンし、継続的インテグレーションと継続的デリバリーのワークフローの一環としてポリシーを適用し、リポジトリやレジストリ内のコードを継続的に監視します。そして、リスクの優先順位付けを大規模なランタイム保護と組み合わせて、管理対象と管理対象外両方のランタイム環境を保護します。
  • パブリック クラウドとプライベート クラウドのサポート
  • 管理対象および管理対象外の環境に対応する単一のエージェント
  • リポジトリ、イメージ、コンテナのライフライクル全体のセキュリティ
  • 脆弱性管理
    脆弱性管理
  • コンテナのコンプライアンス
    コンテナのコンプライアンス
  • CI/CDのセキュリティ
    CI/CDのセキュリティ
  • 実行時防御
    実行時防御
  • アクセス制御
    アクセス制御

PRISMA CLOUDソリューション

コンテナ セキュリティに対するアプローチ

脆弱性管理

構築、導入、実行の各フェーズにおいて、コンテナのすべての依存関係を完全に可視化することから始めます。CaaSやホストで動作するコンテナとCI/CDパイプラインの脆弱性を、Prisma Cloudによりパブリック クラウドとプライベート クラウドで継続的に集約して優先順位付けします。

  • ガイダンスに基づいて修復を優先順位付け

    脆弱性トップ10リストを使用し、すべての既知のCVE、修復ガイダンス、レイヤーごとのイメージ分析において、リスクの優先順位付けを行います。

  • 重大度レベルのアラートとブロックを備えたガードレールを追加

    構築時および実行時に、個々のサービスおよびサービス グループに対するアラートやブロックの重大度レベルを制御します。

  • 極めて高い精度を活用

    30個を超えるアップストリーム データ ソースで誤検知を最小にします。Prisma Cloudでは、開発者やセキュリティ チームに正確な脆弱性情報のみを提供することに重点を置いています。

  • ライフサイクル全体の脆弱性情報を提示

    脆弱性管理を組み込み、リポジトリ、レジストリ、CI/CDパイプライン、ランタイム環境をスキャンします。


コンテナのコンプライアンス

コンテナ環境の保守担当者は、サーバベースのモノリスに比べ、独特の設定問題に直面しています。Prisma Cloudは、標準装備でカスタマイズ可能なコンプライアンス チェックを400項目以上提供し、コンテナ環境におけるコンプライアンス体制を強化します。

  • 長期にわたりコンプライアンスの監査履歴を維持する

    Prisma Cloudでは、コンテナ体制の継続的かつ最新のビューと、過去のスキャンの詳細な履歴に基づいて、全体的なコンプライアンスの評価を確認します。

  • 事前構築済みのカスタム ポリシーに基づいて構築と導入を制御

    PCI DSS、HIPAA、GDPR、DISA STIG、NIST SP 800-190などの主要なフレームワークのテンプレートを使用したり、組織のニーズに合わせてテンプレートをカスタマイズします。

  • CISベンチマークと独自のチェックを実装

    CISベンチマークの事前設定済みのチェックと、Docker®、Kubernetes、Linux、Windows®、Istio™に関してPrisma Cloudによる調査を活用します。

  • ライセンスのコンプライアンス レベルを設定

    組織の要件を満たさないライセンスや、属性などの追加の詳細情報を必要とするライセンスを自動的に警告したり、ブロックしたりします。

  • イメージの信頼性を管理

    信頼できるグループと信頼できるイメージを使用して、安全なイメージだけを本番環境に導入できるようにします。

  • 構築時と実行時にコンプライアンス チェックを追加

    開発ライフサイクルの各ステップで設定ミスに対するアラートとガードレールを実装することで、パッチ不整合を軽減し、本番環境における設定ミスを回避します。


CI/CDのセキュリティ

コンテナを保護する最も効果的な戦略は、開発ライフサイクルの各ステップで問題を検出して修復することです。CI/CDワークフローでは、自動化されたセキュリティ チェックを既存の開発プロセスに組み込むことができるため、開発者とセキュリティ チーム両方の負担が軽減されます。

  • リポジトリとレジストリをスキャンして、脆弱性と設定ミスを検出

    ソース コードとイメージをチェックして、GitHubなどのリポジトリや、Docker、Quay、Artifactoryなどのレジストリにおいて、脆弱性とコンプライアンスの問題を検出します。

  • 導入を検証済みイメージに限定する

    信頼できるグループと信頼できるイメージを使用して、安全なイメージだけを本番環境に導入できるようにします。

  • CIツールにセキュリティを組み込む

    Prisma Cloudは、問題のあるイメージを警告し、Jenkins、GitHub Actions、CircleCI、AWS CodeBuild、Azure DevOps、Google Cloud BuildなどのCIツールからブロックする統合機能を備えています。

  • すべてのステージでSoftware Composition Analysis (SCA)を提供

    CLIとリポジトリ スキャンから、パッケージの脆弱性とオープン ソース ライセンスに関するフィードバックを提供します。


実行時防御

コンテナはさまざまな環境で動作しながら、自動的にスケーリングします。Prisma Cloudは、予測と脅威に基づく保護機能を使用して、オーバーヘッドを増やすことなく、一時的なコンテナを保護します。vanilla Kubernetes、マネージドKubernetes、およびCaaS環境でスタンドアロン動作するコンテナを、弊社のエージェントで保護します。

  • 単一のエージェントとコンソールでセキュリティを簡素化

    すべての管理対象外/管理対象サービスとすべてのCRI準拠ランタイムで、クラウドとオンプレミス環境のコンテナに対するサポートを活用します。

  • 異常な動作を自動検出

    プロセス、ネットワーキング、ファイル システムの動作に基づいて、実行中のコンテナを自動的にプロファイリングし、既知の不正な動作や異常な動作を検出します。

  • 環境全体のネットワークを可視化

    クラウド環境におけるすべてのコンテナのネットワーク通信をリアルタイムで表示します。

  • 自動的にキャプチャされたフォレンジックの詳細情報を使用してインシデントに迅速に対応

    インシデントに至るまでのイベントとインシデント発生後のイベントの履歴を表示して、脅威ハンティングとライフサイクル分析を行います。


アクセス制御

コンテナ ランタイムやKubernetesのデフォルトでは、過度に寛容なアクセス権が作成されます。Prisma Cloudは、DockerとKubernetesに対するユーザーとコントロール プレーンのアクセス権を制限して、攻撃対象領域を縮小します。

  • Dockerコマンドのアクセス権を制御

    Dockerコマンド実行アクセス権を持つユーザーを、環境ごとにきめ細かく制御します。

  • 機密保持機能をコンテナに安全に組み込む

    Prisma Cloudは、CyberArkやHashiCorpなどのシークレット管理ツールと連携して機密を保護し、必要に応じてコンテナに安全に渡します。

  • 管理されたOpen Policy Agent (OPA)を使用してポリシー適用を簡素化

    ポリシーをコードとして簡単に作成し、OPAの決定を適用します。

  • 詳細なログを自動化および集約

    脆弱性、コンプライアンス違反、ランタイム イベントに関する監査イベントは、単一の検索可能なダッシュボードで自動的に生成、収集、集約されます。


Prisma Cloud
Prisma Cloud
Prisma Cloudは、マルチクラウドとハイブリッドクラウドのさまざまな環境において、アプリケーション、データ、およびクラウドネイティブのテクノロジ スタック全体に対して、業界で最も幅広いセキュリティとコンプライアンスを、開発ライフサイクルの全期間にわたって実現します。

クラウド ワークロード保護モジュール

ホスト セキュリティ

パブリック クラウドやプライベート クラウドで仮想マシン(VM)を保護します。

コンテナ セキュリティ

パブリック クラウドやプライベート クラウド上のKubernetesおよびその他のコンテナ プラットフォームを保護します。

サーバレス セキュリティ

アプリケーション ライフサイクル全体でサーバレス機能を保護します。

WebアプリケーションとAPIセキュリティ

あらゆる種類のパブリック クラウドとプライベート クラウドにおいて、レイヤー7およびOWASPトップ10の脅威に対する保護を提供します。