このトピックでは、概念を紹介し、Carbon Black Container で使用される一般的な用語を定義します。

一般的な専門用語

用語 定義
アドミッション コントローラ Kubernetes API サーバへの要求を妨害するコードの一部。アドミッション コントローラは、オブジェクトの作成、削除、または変更の要求を制限します。
cbctl Carbon Black Cloud コンテナと Kubernetes ワークロードのセキュリティを制御できるコマンドライン ツール。Carbon Black Cloud CLI クライアントはコンテナ イメージをスキャンし、その健全性を Carbon Black Cloud コンソールに報告します。
共通脆弱性識別子 (CVE) 一般に知られている情報セキュリティの脆弱性と識別子のための参照方法。
コンテナ 軽量でポータブルな実行可能イメージ。コンテナを使用すると、同じオペレーティング システム (カーネル) インスタンスで複数のアプリケーション ランタイム環境を仮想化できます。
コンテナ オーケストレーション API とインターフェイスを公開します。コンテナ ライフサイクルの管理に役立ちます。
制御プレーン ワーカー ノードとポッドを管理します。
コントローラ クラスタの状態を監視し、必要に応じて変更を行ったり、要求したりします。各コントローラは、現在のクラスタの状態を目的の状態に近づけようとします。
クラスタ ノードのセット。各クラスタには、少なくとも 1 つのノードが含まれています。
DaemonSet すべてのノードがこのポッドのコピーを実行することを保証するポッド内のノード エージェント ポッド。このノードを使用すると、ポッドにノードを追加し、Carbon Black によって自動的に保護させることができます。Daemonset は、通常、監視、ネットワーク、セキュリティ ソリューションに使用されます。このテクノロジーは、すべての Kubernetes で使用できます。
DevOps 従来の開発チームと IT 運用チームの統合。
Docker オペレーティング システム レベルの仮想化(コンテナ)を提供するテクノロジー。Docker 環境には、コンテナ ランタイムとコンテナ ビルドとイメージ管理が含まれます。OCI 標準コンテナ イメージをビルドします。そのため、Docker イメージは OCI 準拠のコンテナ ランタイムで実行されます。
eBPF カーネルのソース コードを変更したり、カーネル モジュールをロードしたりすることなく、カーネルの機能を安全かつ効率的に拡張するテクノロジー。
出力方向 クラスタから別のネットワーク(パブリックまたはプライベート)に送信されるトラフィック。
入力方向 クラスタの外部からクラスタ内のサービスに HTTP および HTTPS ルートを公開します。
Kubelet ノードで実行されるエージェント。
Kubernetes オープンソース コンテナ オーケストレータ。コンテナの展開、ロード バランシング、リソース割り当て、セキュリティの適用を自動化します。コンテナ化されたアプリケーションを目的の状態で稼動し続け、拡張性と耐障害性を確保します。
マニフェストのダイジェスト SHA-256 で暗号化されたコンテナ イメージのハッシュで、イメージのビルドに基づいて確定されます。
マイクロサービス 独立し、緩やかに統合されたサービスのスイートに分割されたアプリケーション。
名前空間 単一クラスタ内のリソース グループを分離するためのメカニズム。
ノード コンテナ化されたアプリケーションを実行するワーカー マシン。
ノード エージェント すべてのノードがポッドのコピーを実行していることを確認します。ノード エージェントを使用すると、Kubernetes クラスタにノードを追加し、Carbon Black Container によって自動的に保護されるようにすることができます。
ポッド 実行中のコンテナのセット。
レジストリ Docker Hub および他のサードパーティ リポジトリ ホスティング サービスはレジストリと呼ばれます。レジストリには、リポジトリのコレクションを保存します。
リポジトリ 特定のイメージの 1 つ以上のバージョンを保存します。
範囲 対象となるセキュリティ保護と分析のために Kubernetes リソースをグループ化する方法。たとえば、クラスタと名前空間ごとにリソースをグループ化し、その範囲のポリシーを作成できます。
テンプレート化されたポリシー Carbon Black Cloud コンテナは、基本限定的、および CIS ベンチマーク の 3 つのテンプレート化されたポリシーで展開します。
脆弱性スキャン 脆弱性スキャンは、既知の脆弱性を検出してセキュリティ侵害のリスクを軽減するのに役立ちます。コンテナ化されたアプリケーションの攻撃対象を減らします。
ワークロード コンテナで実行されているアプリケーション。
ヒント: Kubernetes 用語の完全な用語集については、 https://kubernetes.io/docs/reference/glossary/?fundamental=trueを参照してください。

ランタイム ポリシーの概念と用語

ランタイム ポリシーには、Kubernetes 環境における出力方向ネットワーク制御、脅威からの保護、アノマリ検出のルールが含まれます。Kubernetes ワークロードの動作変更を制御するためのベンチマークを提供します。Kubernetes ランタイム環境の制御は、次の 2 つのレベルで実行されます。
  • 範囲: 定義された範囲内のすべての Kubernetes リソースを監視できます。
  • ワークロード: 特定のワークロードの動作を追跡できます。
アクション
すべてのルールには、関連付けられたアクション( 監視 または アラート)があります。どちらのアクションでも、 Carbon Black Cloud コンソールでアラートが発生します。
  • [監視]: 監視アクションは、情報提供を目的としてイベント レコードを作成します。
  • [アラート]: アラート アクションは、動作の変化を示すイベント レコードを作成します。アラートは、変更されない限り、各ルールのデフォルト アクションです。
組み込みルール
ランタイム ポリシーには、次のカテゴリの組み込みルールが含まれます。
  • [出力方向トラフィック (範囲)] - 許可されたドメインまたは IP アドレスのリスト
  • [悪意のある出力方向トラフィック (範囲)] — レピュテーションが悪い悪意のある IP アドレスとドメインのリスト
  • [ワークロードのアノマリ検出] - ワークロードの動作の変化
  • [ワークロードの脅威検出] - ポート スキャン
学習期間
学習期間は、範囲内のすべての Kubernetes リソースが出力方向ネットワーク接続を監視する時間です。出力方向の宛先はすべて、範囲ベースラインに記録されます。学習期間が完了したら、システムはワークロードの動作をアクティブに追跡します。後続の Kubernetes ランタイム ポリシーの違反はアラートをトリガします。
ポリシーの学習期間が変更されると、ポリシーはアラートを停止し、学習期間がリセットされます。新しいルールを追加すると、学習期間は新しいルールに対してのみ実行を開始します。
アアラートは、 Carbon Black Cloud コンソールの アラート画面で確認および分析できます。
ルールの選択に使用する保護レベル
ランタイム ポリシー ルールは、以下の保護レベルに分けられます。
基本
優先順位が最も高い問題をカバーします。
[基本] 保護レベルに含まれるルールを拡張します。
厳密
[中] 保護レベルに含まれるルールを拡張します。最も広い範囲の問題を扱います。
ランタイム ポリシー範囲
Kubernetes 範囲は、クラスタやワークロードなどの Kubernetes リソースをグループ化したものです。Kubernetes ランタイム ポリシーでは、展開フェーズまたはターゲット完了アプリケーションを明示的に定義する範囲を使用します。
範囲ベースライン
範囲ベースラインは、範囲内のすべての Kubernetes リソースで許可される正常な動作を決定します。範囲ベースラインを確立するには、範囲内のすべてのワークロードの出力方向トラフィックを一定期間( 学習期間 と呼ばれる)監視します。ベースラインからの逸脱はアラートをトリガします。ベースラインは範囲レベルにあり、範囲内の最終的な動作リストを修正またはリセットできます。

セキュリティ強化ポリシーの用語と概念

アクション
すべてのルールには、 [アラート][ブロック][適用] に関連付けられるアクションがあります。ルール構成では、予期される値が設定されます。値が満たされない場合、ルール違反がトリガされます。
[アラート] アクション違反は、通知として表示されます。
[ブロック] アクションは、Kubernetes リソースをブロックします。この違反はアラートおよびブロック通知として表示されます。

[適用] アクションは、ルールの値を適用します。[適用] は、1 つ以上のフィールドの値を、ルールの事前設定で定義されている値に上書きします。つまり、[適用] は、設定をブロックするのではなく、変更します。たとえば、すべてのワークロードに CPU とメモリを設定できます。

注: 値を適用すると、実行中のワークロードは展開されたワークロードとは異なります。この違いはワークロードの動作に影響を与え、トラブルシューティングが必要な場合は混乱を引き起こす可能性があります。
組み込みルール
組み込みルールは、Kubernetes セキュリティ強化ポリシーで直接使用でき、Kubernetes セキュリティ構成に基づいています。
組み込みポリシーと範囲
Kubernetes ポリシーの初期設定を容易にするための、 Carbon Black Cloud コンソールで使用可能なポリシーと範囲。これらのポリシーと範囲を更新および削除できます。詳細については、 組み込みの Kubernetes セキュリティ強化ポリシーおよび 組み込みの Kubernetes 範囲を参照してください。
コンテナ イメージの組み込みルール
コンテナ型のアイコン コンテナ型 を表示するルールは、CLI クライアントを使用してビルド フェーズの範囲に適用されます。ルールは、展開フェーズのコンテナ イメージに基づく Kubernetes ワークロードにも適用できます。これらのルールは、コンテナ イメージのプロパティと動作を強制します。このアイコンを表示しないルールは、ビルド フェーズには適用できません。 組み込みの Kubernetes ポリシー ルールを参照してください。
カスタム ルール
カスタム ルールでは、JSONPath を使用して Kubernetes リソースとプロパティを指定します。
カスタム テンプレート
組み込みルールとカスタム ルールの組み合わせ。
例外
既知の動作と受け入れられた動作による Kubernetes ポリシーの対象からのワークロードの除外。
  • ほとんどのルールで、例外はワークロード名に基づいています。
  • ロールベースのアクセス制御 (RBAC) ルールの場合、例外はリソース名とユーザー名に基づきます。
  • [適用] アクションを許可するルールの場合、例外はワークロード名またはワークロード ラベルに基づきます。
セキュリティ強化ポリシー
Kubernetes 環境構成のルールを確認するポリシー。
Kubernetes の範囲
ポリシーを適用するなどの明確な目的で Kubernetes リソースをグループ化します。
事前定義されたテンプレート
組み込みルールの事前定義されたルール セット。
違反
Kubernetes セキュリティ強化ポリシーを有効にした後に Kubernetes 環境で発生する変更に関する通知。違反は、ブロックまたはアラート ルール レベルでアクションをトリガします。ポリシーを有効にする前に潜在的な違反を特定できます。これにより、例外の追加、アクションの適用、ルールの無効化および有効化などのセキュリティ戦略の計画が可能になります。