コンテナの包括的セキュリティ、マルウェア対策「Bitdefender GravityZone Security for Containers」

　これからのコンテナ、クラウドワークロードを保護するべく設計され、2020年より長期のユーザ参加テストが行われていたコンテナアドオン機能ですが、2021年７月末のアップデートで既存のGravityZoneにキーをアドオンするだけで利用可能となりました。

　コンテナセキュリティといえば、コンテナ専用製品で対応するベンダーが多いですが、Bitdefenderは王道、コンテナセキュリティでも他社では見送られがちな、最先端のAI機械学習、脆弱性対策、EDRなど、妥協ないフル対策を実装できるよう設計されています。

　合わせてアップデートされたLinux向けエージェントは、カーネルコンポーネントに依存しない設計のため、将来の新たなセキュリティプラットフォームへの移行を制約せず、DevOpsで求められる様々なハイブリッド環境、マルチクラウドにおいて、一貫した保護と可視性による管理運用を可能としています。

（図）Networksに「Container」が追加され、物理、仮想マシンと同じコンソールでコンテナリソースも一元可視化された

主な特徴：

• 動作するエージェントが最小負荷で高速に動作かつフルセキュリティ対策を実現することでクラウドのROIを改善します。
• 脆弱性対策モジュールがカーネル、アプリケーションのゼロディ攻撃、既知の攻撃をブロックします。
• Linuxおよびコンテナ向けに最適化されたEDRモジュール（Enterpriseの場合）が、リアルタイムに疑わしい動きを特定、迅速なレスポンスアクションをとります。
• SVA（中央セキュリティサーバ）を導入すれば、負荷の原因となるアップデートやスキャン検査をコンテナからSVAに委託して、さらに軽くすることができます。
• これまでのGravityZone管理コンソールに統合されているので、統一された視点でのインシデント管理、対応、レポートが得られます。そしてライセンスも統合されているので、無駄なく利用することができます。

（図）EDRがコンテナ内の疑わしい動きを検知して、MITREのカテゴリに分類して報告

（図）コンテナホストを含む複数エンドポイントのEDR情報を相関解析し、熟練の研究者にしかなしえない、エンドポイントにまたがって構築されていた分散攻撃網を明らかにした

サポートプラットフォーム：

ディストリビューション： Ubuntu 16.04 LTS以降, Red Hat Enterprise Linux 7以降, Oracle Linux 7以降, CentOS 7以降, SUSE Linux Enterprise Server 12 SP4以降, openSUSE Leap 15.2, Debian 9以降, Amazon Linux 2　（最新のサポートリスト）

コンテナインフラ: Amazon ECS, Amazon EKS, Google GKE, Docker, Podman, Kubernetes, Azure AKS

２つの展開モデル：

　コンテナ向けGravityZoneエージェントの展開には環境に合わせて２つのモデルがあります。

１　ホスト上のエージェントとして

　こちらはホストマシンにゲストアクセスを有するインフラ（IaaS）で選択できるモデルです。サーバエージェントとして動作して、動作しているコンテナ、ゲストOSを監視、保護します。OCI準拠のランタイムと互換性があります。（導入ガイド）

２　コンテナの一つとして

　ゲストアクセスをもたないPaaS型インフラへの展開モデルです。特権コンテナとして動作して、動作しているコンテ導入ガイドナ、ゲストOSを監視、保護します。OCI準拠のランタイム上で動作します。（オンラインヘルプ）

→LinuxのテクノロジーeBPFやKprobesとの関係について

具体的な導入の流れ：

ここでイメージを掴んで頂くために導入までの流れをご紹介いたします。

１　既存のGravityZoneのお客様

　この機能はアドオンキーを登録することで有効になります。Premium/Enterpriseエディションをご利用の場合に追加できます。ご希望の方はまずは無償評価からはじめてください。やりとりさせていただいる担当者またはWebサイトよりご連絡ください。その際、ライセンスに空きがあるかご確認ください。

２　新規のお客様

　クラウド管理コンソール上に、無償試用アカウントを作成しますのでこちらよりお申し込みください。AI機械学習防御をご希望のかたはPremium、さらにEDRもご希望の方はEnterpriseを指定してください。コンテナ機能ご希望の方はお手数ですが入力フォーム下部、詳細情報に「コンテナ希望」とご記入ください。

３　パッケージ（インストーラー）の作成

　これまでのWindowsやMac、Linuxと同様にエージェントのインストーラーを作成しますが、新しくModuleに追加された「Container Protection」を必ず有効にしてください。

４　ダウンロード

　通常はここで展開先のプラットフォームを選択すると、EXEなりtarといったインストーラーがダウンロードできるのですが、、、

　ホストにインストール（サーバエージェントモデル）の場合にはLinux kitを選択して新しいエージェントアーカイブをダウンロードして実行してください。

参考：簡易インストールガイドPDF

　デーモンセットモデルでインストールする場合には、Security Containerを選択すると、コンテナの管理プラットフォームでダウンロード実行するためのスクリプトが表示されますので、こちらをコピーアイコンで取得して実行してください。

参照：オンラインヘルプ(Install)　/ オンラインヘルプ(Uninstall)

参照：AWS ECS(EC2)への導入方法　※ECS(FARGATE)は動作対象外です

ライセンスの考え方：

　GravityZoneは防御力に応じた３つのコアとなるエディションと、必要に応じて追加するアドオンで構成されており、Linuxコンテナセキュリティはアドオンに該当します。

　最小ライセンスという視点でみるならば、次のような構成となります。

• Bitdefender GravityZone Security for Servers １コアライセンス
• Bitdefender GravityZone Security for Containers １アドオンライセンス

　また通常サーバとコンテナサーバとまとめて管理保護するケースを考えると、通常の15台の物理/仮想Linuxマシンの保護と、それとは別の10台のLinuxコンテナホスト/ノードの保護に必要なライセンスは以下のとおりとなります(コアの10ライセンスはコンテナのベースとして使用されます)。

• Bitdefender GravityZone Security for Servers 25コアライセンス
• Bitdefender GravityZone Security for Containers 10アドオンライセンス

価格：

　コンテナのアドオンライセンス価格は現在10コンテナまでのご注文で、１コンテナホスト/ノード1年あたり60,000円（税別）となります。コアライセンスは最小ライセンスの１の場合は１年あたり22,000円（税別）となり、1コンテナ保護とあわせると１年で82,000円（税別）となります。

続き：CentOSのDockerに本格コンテナセキュリティを導入する