コンテナの包括的セキュリティ、マルウェア対策「Bitdefender GravityZone Security for Containers」を追加

Bitdefender GravityZone Security for Containersは、これからのコンテナ、クラウドワークロードを保護するべく設計され、昨年より長期のユーザ参加テストが行われていましたが、7月末のアップデートで既存のGravityZoneにキーをアドオンするだけで利用可能となりました。

コンテナセキュリティといえば、コンテナ専用であったり、次世代をうたう製品、EDRで対策する製品などさまざまなアプローチがありますが、Bitdefenderは王道中の王道、コンテナセキュリティにもAI機械学習、脆弱性対策、EDRなど妥協ないフル対策を実装できるよう設計されました。

最新のLinux向けエージェントはカーネルコンポーネントに依存しない設計のため、組織の新たなセキュリティプラットフォームへの移行を制約せず、DevOpsで求められる様々なハイブリッド環境、マルチクラウドにおいて、一貫した保護と可視性による管理運用を可能としています。

(図)Networksに「Container」が追加され、物理、仮想マシンと同じコンソールでコンテナリソースも一元可視化された

主な特徴:

  • 動作するエージェントが最小負荷で高速に動作かつフルセキュリティ対策を実現することでクラウドのROIを改善します。
  • 脆弱性対策モジュールがカーネル、アプリケーションのゼロディ攻撃、既知の攻撃をブロックします。
  • Linuxおよびコンテナ向けに最適化されたEDRモジュール(Enterpriseの場合)が、リアルタイムに疑わしい動きを特定、迅速なレスポンスアクションをとります。
  • SVA(中央セキュリティサーバ)を導入すれば、負荷の原因となるアップデートやスキャン検査をコンテナからSVAに委託して、さらに軽くすることができます。
  • これまでのGravityZone管理コンソールに統合されているので、統一された視点でのインシデント管理、対応、レポートが得られます。そしてライセンスも統合されているので、無駄なく利用することができます。

(図)EDRがコンテナ内の疑わしい動きを検知して、MITREのカテゴリに分類して報告
(図)コンテナホストを含む複数エンドポイントのEDR情報を相関解析し、熟練の研究者にしかなしえない、エンドポイントにまたがって構築されていた分散攻撃網を明らかにした


サポートプラットフォーム:

ディストリビューション: Ubuntu 16.04 LTS以降, Red Hat Enterprise Linux 7以降, Oracle Linux 7以降, CentOS 7以降, SUSE Linux Enterprise Server 12 SP4以降, openSUSE Leap 15.2, Debian 9以降, Amazon Linux 2 (最新のサポートリスト

コンテナインフラ: Amazon ECS, Amazon EKS, Google GKE, Docker, Podman, Kubernetes, Azure AKS


2つの展開モデル:

コンテナ向けGravityZoneエージェントの展開には環境に合わせて2つのモデルがあります。

1 サーバエージェントとして

こちらはゲストアクセスを有するインフラ(IaaS)で選択できるモデルです。サーバエージェントとして動作して、動作しているコンテナ、ゲストOSを監視、保護します。OCI準拠のランタイムと互換性があります。

2 デーモンセットとして

ゲストアクセスをもたないPaaS型インフラへの展開モデルです。特権コンテナとして動作して、動作しているコンテナ、ゲストOSを監視、保護します。OCI準拠のランタイム上で動作します。



具体的な導入の流れ:

ここでイメージを掴んで頂くために導入までの流れをご紹介いたします。

1 既存のGravityZoneのお客様

この機能はアドオンキーを登録することで有効になります。Premium/Enterpriseエディションをご利用の場合に追加できます。ご希望の方はまずは無償評価からはじめてください。やりとりさせていただいる担当者またはWebサイトよりご連絡ください。その際、ライセンスに空きがあるかご確認ください。

2 新規のお客様

クラウド管理コンソール上に、無償試用アカウントを作成しますのでこちらよりお申し込みください。AI機械学習エンジンをご希望のかたはPremium、さらにEDRをご希望の方はEnterpriseを指定してください。コンテナ機能もご希望の方はお手数ですが入力フォーム下部、詳細情報に「コンテナ希望」とご記入ください。

3 パッケージ(インストーラー)の作成

これまでのWindowsやMac、Linuxと同様にエージェントのインストーラーを作成しますが、新しくModuleに追加された「Container Protection」を必ず有効にしてください。


4 ダウンロード

通常はここで展開先のプラットフォームを選択すると、EXEなりtarといったインストーラーがダウンロードできるのですが、、、

ホストにインストール(サーバエージェントモデル)の場合にはLinux kitを選択して新しいエージェントアーカイブをダウンロードして実行してください。


デーモンセットモデルでインストールする場合には、Security Containerを選択すると、コンテナの管理プラットフォームでダウンロード実行するためのスクリプトが表示されますので、こちらをコピーアイコンで取得して実行してください。
Dockerで導入する場合にはオンラインヘルプの「For Linux hosts」のスクリプトをご使用ください。

参照:オンラインヘルプ(Install)

参照:オンラインヘルプ(Uninstall)

ライセンスの考え方:

GravityZoneはデスクトップやサーバ、物理や仮想などを問わず1つのキーでライセンス管理をしています。このときLinuxとWindows Serverは、総ライセンス数の35%までインストール可能という条件があり、今回のLinuxコンテナセキュリティもこれに該当します。

例えば、100ライセンスでは最大35台までLinuxホストにインストールすることができます(なおライセンス上は残りの65台分WindowsかMacに使用することができます)。

また機能を有効するにはGravityZoneでの暗号化やパッチ管理のようなアドオンと同じように、追加する分のアドオンライセンス「Bitdefender GravityZone Security for Containers」を購入して管理コンソールでの登録が必要です。その際の必要数の単位はコンテナのホスト数またはノードの数です。

例えば必要最低ライセンスという視点でみるならば、GravityZone本体の最低ライセンスは5なので次のようになります。

  • Bitdefender GravityZone Premium/Enterprise 5ライセンス
  • Bitdefender GravityZone Security for Containers 1アドオンライセンス
このコア5ライセンスでは2台までのLinuxへ導入できますが、コンテナ用のアドオンライセンスが1つでは1つのコンテナホスト/ノードに導入できます。そして2アドオンでは2コンテナまで導入できますが、3つ以上に導入する場合には、コアライセンスを増やす必要があります。

また通常サーバとコンテナサーバの組み合わせを考えると、通常の25台の物理/仮想Linuxマシンの保護と、それとは別の10台のLinuxコンテナホスト/ノードの保護に必要なライセンスは以下のとおりとなります。

  • Bitdefender GravityZone Premium/Enterprise 100ライセンス
  • Bitdefender GravityZone Security for Containers 10アドンライセンス
まず合計したライセンス数は25+10=35となります。この場合必要なコアライセンス数は100(100ライセンスの35%が35のため)となります。

残りの100-35=65ライセンス分はオフィスやVDIのデスクトップのWindows/Macへのインストールにも使用できますので、使用すればするほどLinux/コンテナあたりのライセンス単価は小さくなっていき無駄なくお得になります。

コンテナアドンライセンス価格は現在10コンテナまでのご注文で、1コンテナホスト/ノード1年あたり60,000円(税別)となります。価格は複数年や総ライセンス数のボリュームにより割引が行われます。

これとは別にGravityZone本体のコアライセンスが必要となります。こちらはエディションにより異なりますが、Premiumであれば5ライセンスで約45,000円(税別)となりますので、上記の1コンテナ保護とあわせると1年で105,000円(税別)となります。

なお近日中に月額サブスクリプション(前月利用アクティブ分のみ翌月請求)でも利用可能になる予定です。最低ご利用数は150以上のEnterpriseエディションの選択となります。