コンテナの包括的セキュリティ、マルウェア対策「Bitdefender GravityZone Security for Containers」を追加

 Bitdefender GravityZone Security for Containersは、これからのコンテナ、クラウドワークロードを保護するべく設計され、昨年より長期のユーザ参加テストが行われていましたが、7月末のアップデートで既存のGravityZoneにキーをアドオンすることで利用可能となりました。

 コンテナセキュリティといえば、コンテナ専用であったり、次世代をうたう製品、EDRで対策する製品などさまざまなアプローチがありますが、Bitdefenderは王道中の王道、コンテナセキュリティにもAI機械学習、脆弱性対策、EDRなど妥協ないフル対策を実装できるよう設計されています。

 さらにこのコンテナ用のLinux向けエージェントは新設計、Linuxのカーネルコンポーネントに依存しない設計のため、組織の新たなセキュリティプラットフォームへの移行を制約せず、ハイブリッド環境、マルチクラウドにおいて、一貫した保護と可視性による管理運用を可能としています。

(図)Networksに「Container」が追加され、物理、仮想マシンと同じコンソールでコンテナリソースも一元可視化された



主な特徴:

  • 動作するエージェントは最小の負荷で高速に動作し、フルセキュリティ対策を施したクラウドのROIを改善します。
  • 高度脆弱性対策モジュールがカーネル、アプリケーションのゼロディ攻撃、既知の攻撃をブロックします。
  • Linuxおよびコンテナ向けに最適化されたEDRモジュール(Ultraの場合)が、リアルタイムに疑わしい動きを特定、迅速なレスポンスアクションをとります。
  • SVA(中央セキュリティサーバ)を導入すれば、負荷の原因となるアップデートやスキャン検査をコンテナからSVAに委託して、さらに軽くすることができます。
  • これまでのGravityZone管理コンソールに統合されているので、統一された視点でのインシデント管理、対応、レポートが得られます。そしてライセンスも統合されているので、無駄なく利用することができます。

(図)EDRがコンテナ内の疑わしい動きを検知して、MITREのカテゴリに分類して報告



サポートプラットフォーム:

ディストリビューション: Ubuntu 16.04 LTS以降, Red Hat Enterprise Linux 7以降, Oracle Linux 7以降, CentOS 7以降, SUSE Linux Enterprise Server 12 SP4以降, openSUSE Leap 15.2, Debian 9以降, Amazon Linux 2

コンテナインフラ: Amazon ECS, Amazon EKS, Google GKE, Docker, Podman, Kubernetes, Azure AKS

(図)コンテナホストを含む複数エンドポイントのEDR情報を相関解析し、熟練の研究者にしかなしえない、エンドポイントにまたがって構築されていた分散攻撃網を明らかにした



2つの展開モデル:

コンテナ向けGravityZoneエージェントの展開には環境に合わせて2つのモデルがあります。なおすでに(古い)エージェントを導入されている場合には、アンインストールしておいてください。

1 サーバエージェントとして

こちらはゲストアクセスを有するインフラ(IaaS)で選択できるモデルです。サーバエージェントとして動作して、動作しているコンテナ、ゲストOSを監視、保護します。OCI準拠のランタイムと互換性があります。

2 デーモンセットとして

ゲストアクセスをもたないPaaS型インフラへの展開モデルです。特権コンテナとして動作して、動作しているコンテナ、ゲストOSを監視、保護します。OCI準拠のランタイム上で動作します。



具体的な導入の流れ:

ここでイメージを掴んで頂くために導入までの流れをご紹介いたします。

1 既存のGravityZoneのお客様

この機能はアドオンキーを登録することで有効になります。ABS/Elite/Ultraエディションをご利用の場合に追加できます。ご希望の方はまずは評価からはじめてください。やりとりさせていただいる担当者までご連絡ください。その際、ライセンスに空きがあるかご確認ください。

2 新規のお客様

クラウド管理コンソール上に、無償試用アカウントを作成しますのでこちらよりお申し込みください。AI機械学習エンジンをご希望のかたはElite、さらにEDRをご希望の方はUltraを指定してください。コンテナ機能もご希望の方はお手数ですが入力フォーム下部、詳細情報に「コンテナ希望」とご記入ください。

3 パッケージ(インストーラー)の作成

これまでのWindowsやMac、Linuxと同様にエージェントのインストーラーを作成しますが、新しくModuleに追加された「Container Protection」を必ず有効にしてください。


4 ダウンロード

通常はここで展開先のプラットフォームを選択すると、EXEなりtarといったインストーラーがダウンロードできるのですが、、、

ホストにインストール(サーバエージェントモデル)の場合にはLinux kitを選択して新しいエージェントアーカイブをダウンロードして実行してください。


デーモンセットモデルでインストールする場合には、Security Containerを選択すると、コンテナの管理プラットフォームでダウンロード実行するためのスクリプトが表示されますので、こちらをコピーアイコンで取得して実行してください。
Dockerで導入する場合にはオンラインヘルプの「For Linux hosts」のスクリプトをご使用ください。

参照:オンラインヘルプ


ライセンスの考え方:

GravityZoneはデスクトップやサーバ、物理や仮想などを問わず1つのキーでライセンス管理をしています。このときLinuxとWindows Serverは、総ライセンス数の35%までインストール可能という条件があり、今回のLinuxコンテナセキュリティもこれに該当します。

例えば、100ライセンスでは最大35台までLinuxホストにインストールすることができます(なおライセンス上は残りの65台分WindowsかMacに使用することができます)。

また機能を有効するにはGravityZoneでの暗号化やパッチ管理のようなアドオンと同じように、追加する分のアドオンライセンス「Bitdefender GravityZone Security for Containers」を購入して管理コンソールでの登録が必要です。その際の必要数の単位はコンテナのホスト数またはノードの数です。

例えば必要最低ライセンスでみるならば、GravityZone本体の最低ライセンスは5なので次のようになります。

  • Bitdefender GravityZone ABS/Elite/Ultra 5ライセンス
  • Bitdefender GravityZone Security for Containers 1Add-onライセンス
5ライセンスの35%切り上げの2台まで、Linux/Windows Server/コンテナホスト/コンテナノードへ導入でき、コンテナ保護の場合には1または2コンテナホストorノード分のAdd-onライセンスを購入します。

また少し複雑なケースを考え、25台の物理/仮想Linuxマシンの保護と、10台のLinuxコンテナホスト/ノードの保護に必要なライセンスは以下のとおりとなります。

  • Bitdefender GravityZone ABS/Elite/Ultra 100ライセンス
  • Bitdefender GravityZone Security for Containers 10Add-onライセンス
25+10=35をカバーするGravityZone本体のライセンスは35(100ライセンスの35%)となり、あと10Add-onライセンスとなります。ライセンス数は契約期間中の任意のタイミングで追加可能です。

そして残り100-35=65ライセンス分は使わなくともいいですが、オフィスやVDIのデスクトップのWindows/Macへのインストールにも使用できますので、使用すればするほどLinux/ホストあたりのGravityZone本体ライセンス単価は小さくなっていき無駄なくお得になります。

Add-onライセンス価格は現在10コンテナまでのご注文で、1コンテナホスト/ノード1年あたり46,000円(税別)となります。価格は複数年や総ライセンス数のボリュームにより割引が行われます。

これとは別にGravityZone本体のライセンスが必要となります。こちらはエディションにより異なりますが、ABSであれば5ライセンスで約25,000円(税別)となりますので、上記の1コンテナ保護とあわせると1年で71,000円(税別)となります。

なお近日中に月額サブスクリプション(前月利用アクティブ分のみ翌月請求)でも利用可能になる予定です。最低ご利用数は引き続き150以上でUltraエディションの選択となります。

コメント