Kubernetes Intelligence
Kubernetes クラスタでThreat Intelligence を使用するには、Intelligence にオンボードする必要があります。詳細については、Kubernetesクラスタのインテリジェンスへの乗船を参照してください。
Kubernetes Intelligence では、次のことができます。
Kubernetes クラスタの南北および東西ネットワークトラフィックの可視化と分析
悪意のあるアドレスとの通信の識別
クロスネームスペース通信の監視
ポートスキャンの識別
CloudGuard には、事前定義されたIntelligence ルールセットと、GSL ベースのグラフィカルクエリビルダで作成されたカスタムクエリが用意されています。
対応バージョン
名前 | バージョン |
|---|---|
Kubernetes | v1.16 以上 |
OS | Linuxカーネルv4.1以降 |
アーキテクチャ
Kubernetes Intelligence には、次のコンポーネントが含まれます。
Inventory agent - 単一レプリカのKubernetes Deployment は、クラスタリソースのインベントリ情報をCloudGuard に報告します。
Flow Logs DaemonSet - これを行うエージェントのDaemonSet:
クラスタ内の仮想ネットワークインタフェース間のIPトラフィックを監視するために、基盤となるクラスタノードとやり取りします。
作成したログをCloudGuardにアップロードして解析する
| 注 - Check Point は、ヘルプチャートとしてエージェントを配布します( https://github.com/CheckPointSW/charts)と関連するDocker イメージを参照) (プライベートコンテナレジストリ- quay.io/checkpoint を参照)。 |
ルールセットとポリシー
CloudGuard には、インテリジェンスログで検出されたセキュリティイベントのアラートが、イベントページのThreat & Security Events テーブルの一部として表示されます。クラスタに関連するイベントを表示するには、Kubernetes ルールセットを設定するか、事前定義されたCloudGuard管理Kubernetes CloudGuard Best Practices ルールセットを使用する必要があります。次に、ルールセットを1つ以上のKubernetesクラスタに関連付け、通知を割り当てるポリシーを設定します。
Kubernetes Intelligence ルールセットは、他のIntelligence ルールセットと似ています(インテリジェンスセキュリティイベント を参照)。
アクション
環境が記述されているKubernetes クラスタの場合は、Intelligence Security Events の指示を参考にします。
| 注 - Kubernetes Intelligence は監査ログをサポートしていません。ネットワークトラフィックフローログとKubernetes アセットデータを使用します。 |
既知の制限
既知の制限の完全なリストについては、既知の制限 を参照してください。
