Bitdefender GravityZone Security for Containersは、これからのコンテナ、クラウドワークロードを保護するべく設計され、昨年より長期のユーザ参加テストが行われていましたが、7月末のアップデートで既存のGravityZoneにキーをアドオンするだけで利用可能となりました。
コンテナセキュリティといえば、コンテナ専用であったり、次世代をうたう製品、EDRで対策する製品などさまざまなアプローチがありますが、Bitdefenderは王道中の王道、コンテナセキュリティにもAI機械学習、脆弱性対策、EDRなど妥協ないフル対策を実装できるよう設計されました。
最新のLinux向けエージェントはカーネルコンポーネントに依存しない設計のため、組織の新たなセキュリティプラットフォームへの移行を制約せず、DevOpsで求められる様々なハイブリッド環境、マルチクラウドにおいて、一貫した保護と可視性による管理運用を可能としています。
主な特徴:
- 動作するエージェントが最小負荷で高速に動作かつフルセキュリティ対策を実現することでクラウドのROIを改善します。
- 脆弱性対策モジュールがカーネル、アプリケーションのゼロディ攻撃、既知の攻撃をブロックします。
- Linuxおよびコンテナ向けに最適化されたEDRモジュール(Enterpriseの場合)が、リアルタイムに疑わしい動きを特定、迅速なレスポンスアクションをとります。
- SVA(中央セキュリティサーバ)を導入すれば、負荷の原因となるアップデートやスキャン検査をコンテナからSVAに委託して、さらに軽くすることができます。
- これまでのGravityZone管理コンソールに統合されているので、統一された視点でのインシデント管理、対応、レポートが得られます。そしてライセンスも統合されているので、無駄なく利用することができます。
ディストリビューション: Ubuntu 16.04 LTS以降, Red Hat Enterprise Linux 7以降, Oracle Linux 7以降, CentOS 7以降, SUSE Linux Enterprise Server 12 SP4以降, openSUSE Leap 15.2, Debian 9以降, Amazon Linux 2 (最新のサポートリスト)
コンテナインフラ: Amazon ECS, Amazon EKS, Google GKE, Docker, Podman, Kubernetes, Azure AKS
2つの展開モデル:
コンテナ向けGravityZoneエージェントの展開には環境に合わせて2つのモデルがあります。
1 サーバエージェントとして
こちらはゲストアクセスを有するインフラ(IaaS)で選択できるモデルです。サーバエージェントとして動作して、動作しているコンテナ、ゲストOSを監視、保護します。OCI準拠のランタイムと互換性があります。
2 デーモンセットとして
ゲストアクセスをもたないPaaS型インフラへの展開モデルです。特権コンテナとして動作して、動作しているコンテナ、ゲストOSを監視、保護します。OCI準拠のランタイム上で動作します。
具体的な導入の流れ:
ここでイメージを掴んで頂くために導入までの流れをご紹介いたします。
1 既存のGravityZoneのお客様
この機能はアドオンキーを登録することで有効になります。Premium/Enterpriseエディションをご利用の場合に追加できます。ご希望の方はまずは無償評価からはじめてください。やりとりさせていただいる担当者またはWebサイトよりご連絡ください。その際、ライセンスに空きがあるかご確認ください。
2 新規のお客様
クラウド管理コンソール上に、無償試用アカウントを作成しますのでこちらよりお申し込みください。AI機械学習エンジンをご希望のかたはPremium、さらにEDRをご希望の方はEnterpriseを指定してください。コンテナ機能もご希望の方はお手数ですが入力フォーム下部、詳細情報に「コンテナ希望」とご記入ください。
3 パッケージ(インストーラー)の作成
これまでのWindowsやMac、Linuxと同様にエージェントのインストーラーを作成しますが、新しくModuleに追加された「Container Protection」を必ず有効にしてください。
4 ダウンロード
通常はここで展開先のプラットフォームを選択すると、EXEなりtarといったインストーラーがダウンロードできるのですが、、、
ホストにインストール(サーバエージェントモデル)の場合にはLinux kitを選択して新しいエージェントアーカイブをダウンロードして実行してください。
ライセンスの考え方:
GravityZoneはデスクトップやサーバ、物理や仮想などを問わず1つのキーでライセンス管理をしています。このときLinuxとWindows Serverは、総ライセンス数の35%までインストール可能という条件があり、今回のLinuxコンテナセキュリティもこれに該当します。
例えば、100ライセンスでは最大35台までLinuxホストにインストールすることができます(なおライセンス上は残りの65台分WindowsかMacに使用することができます)。
また機能を有効するにはGravityZoneでの暗号化やパッチ管理のようなアドオンと同じように、追加する分のアドオンライセンス「Bitdefender GravityZone Security for Containers」を購入して管理コンソールでの登録が必要です。その際の必要数の単位はコンテナのホスト数またはノードの数です。
例えば必要最低ライセンスという視点でみるならば、GravityZone本体の最低ライセンスは5なので次のようになります。
- Bitdefender GravityZone Premium/Enterprise 5ライセンス
- Bitdefender GravityZone Security for Containers 1アドオンライセンス
また通常サーバとコンテナサーバの組み合わせを考えると、通常の25台の物理/仮想Linuxマシンの保護と、それとは別の10台のLinuxコンテナホスト/ノードの保護に必要なライセンスは以下のとおりとなります。
- Bitdefender GravityZone Premium/Enterprise 100ライセンス
- Bitdefender GravityZone Security for Containers 10アドンライセンス