ワークロード保護

このセクションでは、CloudGuard を使用してAWS およびMicrosoft Azure 環境でサーバレス機能を管理および保護する方法と、クラスタ内のコンテナを保護する方法について説明します。

CloudGuardは、次のようなプロテクションを提供します。

Risk Assessment (Proact) - CloudGuard は、CloudGuard に搭載されているAWS 環境でAWS lambda(サーバレス) 機能でリスクアセスメントを実行できます。これには、過度に許可された IAM ロールの識別、脆弱性のスキャン、ハードコードされた認証情報などが含まれます。アセスメントの結果は、アセットごとに表示されます。このタイプの保護は、AWS 環境でのみ使用できます。

Runtime Protection - CloudGuard は、実行時にAWS またはAzure サーバレス関数を監視し、入力と実行時の動作を確認し、疑わしい動作の通知を生成できます。さらに、Runtime Protection は、環境でのデプロイの CI/CD ステージで AWS 関数に適用できます。Kubernetes クラスタの場合、Runtime Protection は、ワークロードコンテナが実行するカーネルシステムコールを監視します。オプションで、CloudGuardが検出する不要、悪意、または異常なアクティビティを遮断するように設定できます。このタイプの保護は、AWS およびAzure 環境とKubernetes クラスタで使用できます。

Admission Control - CloudGuard は、Kubernetes API サーバへのリクエストをインターセプトしてから永続的にすることができます。要求はただちに拒否することができ、エラーがエンドユーザに返されます。また、アドミッションコントロールは、違反を検出し、要求を拒否することなく報告することもできます。このタイプの保護は、コンテナでのみ使用できます。

Image Assurance-CloudGuardは、Kubernetesイメージがクリーンであることを確認するために、ライフサイクルのすべての段階でKubernetesイメージを分析するのに役立ちます。Image Assuranceエージェントは、すべてのイメージのクラスタとレジストリを継続的にチェックします。エージェントは、不明なイメージを識別すると、イメージをスキャンして分析し、脆弱性、エクスプロイト、マルウェア、ウイルス、トロイの木馬、認証情報の漏洩、およびその他の悪意のある脅威を検出します。このタイプの保護は、コンテナイメージでのみ使用できます。