既知の制限

Alibabaクラウドアカウント

以下は、Alibaba Cloud アカウントのオンボーディング の既知の制限です。

  • Alibaba Cloud アカウントには、Organizational Units(OU) アクションを適用できません。

  • Alibaba Cloud のクラウドボットによる自動修復 による修復は存在しないため、アクティブな修復を制限できます。

  • Alibaba Cloud アセットの一部はサポートされていません。

  • 一部のダッシュボードウィジェット(ダッシュボード を参照) は、Alibaba Cloud アカウントデータの表示に失敗することがあります。

  • Alibaba Cloud アカウントには3 つのタブがあります。

    • 保護アセット

    • コンプライアンス方針

    • 評価履歴

インテリジェンス

AWS

これらは、Intelligence へのAWS 環境のオンボード の既知の制限です。

  • AWS では、特定のイベントタイプを持つ特定のプレフィックスに 1 つのイベント通知のみを設定できます。バケットにイベント通知が設定されており、通知の 1 つが次の 2 つの条件を満たしている場合、S3 バケットをオンボードすることはできません。

    • 通知には、空のプレフィックスフィルタセット (つまり、すべてのバケット) または明示的な AWS ログプレフィックスセットがあります。

    • イベントタイプはPutObject またはすべてのオブジェクト作成イベントです。

  • Intelligence の場合、S3 バケットにオンボードできるのは、1 つのSNS トピックのみです。

  • Intelligence は関連する IAM ポリシーを分析できません。S3 バケットポリシー、既存の SNS トピックポリシー、および CloudGuard IAM トラストロールのポリシー。このため、オンボードスタックの作成時に権限に関連する問題が発生する可能性があります。

  • 暗号化されたSNS トピックを使用している場合、Intelligence にアカウントをオンボードすることはできません。

Kubernetes

これらは、Kubernetes Intelligence の既知の制限です。

  • Kubernetes Intelligence は、CloudGuardポータルでトラフィックビジュアライゼーションを開始するのに約5 分かかります。新しいアセットの場合、プロセスには10 分かかることがあり、進行中はアセットがIP アドレスで表示され、名前では表示されません。

    • CloudGuard は半分ごとにフローログを受信しますが、インベントリアップデートは5 分ごとに1 回行われます。このため、新しいアセットのトラフィックは、Pod (エンリッチ) からではなく、IP アドレス(エンリッチではない) から発信されたトラフィックと見なすことができます。

    • CloudGuardが処理(エンリッチ/ストア)するまでに時間がかかります。

  • CloudGuard ポータルには、ホストネットワーク内のポッドのトラフィックは表示されません。したがって、たとえば、Flow Logsエージェントポッドはグラフに表示されません。

  • Kubernetes Intelligence エージェントは、v4.1 以降のLinux カーネルをサポートします。

  • Kubernetes Intelligence は接続方向を識別せず、各接続を双方向として扱います。

  • Kubernetes Intelligence は、IP アドレスをRFC-1918 に基づいてPrivate IP として分類します。

    関連する範囲は以下のとおりです。10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16

    つまり、IP アドレスの1 つを使用するワークロードは、クラスタの外部であっても、プライベートIP と見なされます。

ShiftLeft

これらは、ShiftLeft の既知の制限です。

  • ソースコードの最大スキャンサイズ:1 GB

  • Docker イメージの最大スキャンサイズ:2 GB

  • 1 回のスキャンでのレピュテーションリソース(IP アドレス、URL) の最大数:20,000

Image Assurance

これらはワークロードイメージの既知の制限です。

CloudGuard がアクティビティを認識するまで、実行後すぐにポッドを削除する必要がある場合があります。このような短寿命ポッド上で動作するイメージは、Image Assuranceには見えない。

Infinityポータル

CloudGuard は近年、Infinity ポータルと統合され、スタンドアロンバージョンに存在する一部の機能はまだサポートされていません。

  • Managed Service Providers(MSP)は使用できません。

  • ユーザの名前には、次のような別名は使用できません。 johndow+demo@mycompany.com

  • SSO は、Infinity ポータルと統合されるIDP に限定されます。

  • 米国、EU (ヨーロッパ)、およびAU (オーストラリア)データセンターのみが利用可能です。