SPLXのDocker コンテナ上で利用できるかという情報になります。最近はコンテナでシステムを運用しているケースが増えていると思いますが、その場合に、セキュリティ対策が課題になります。
情報元はこちら。
https://success.trendmicro.com/jp/solution/1118626
SPLXをDocker上の各コンテナにインストールする事は可能ですが推奨していないそうです。
以下は推奨されない理由になります。
リアルタイム検索について
リアルタイム検索を実現するためには、カーネルドライバであるKHM(Kernel Hooking Module)の導入が必須となります。
Docker上の各コンテナは、ホストOSとカーネル領域を共有しているため、コンテナ単位で個別にリアルタイム検索を設定する事は不可能です。
ホストOS上にSPLXを導入し、リアルタイム検索を有効化していれば、自動的に各コンテナ上でもリアルタイム検索が機能しますが、ウイルス検出時のファイルパスが(unreachable)//[コンテナ上のファイルパス]と言った形で出力されるため、どのコンテナから検出されたのかを識別する手段がありません。また、各コンテナ上の特定フォルダを検索除外に登録する事もできません。
管理コンソールについて
各コンテナ上にSPLXをインストールすれば、個々のコンテナ上で手動・予約検索は実現可能であり、各コンテナ上のファイルパスでログも記録されます。
しかし、コンテナ毎にWebコンソールを保持する形となりますので、外部コンピュータから各コンテナのWebコンソールにアクセスしたい場合、各コンテナのTCPポート14942,14943をホストマシンの任意のポートへフォワードする設定が必要となり、コンテナ数に応じてホストマシンの待受けポートが倍増する形になります。
続いて、推奨製品ですが、Deep Security 11.0 ならびに Deep Security 10.1、10.2、10.3では、Dockerホスト上にインストールされたAgentによって、ウイルス検索ログからどのコンテナ上の検出かを特定可能とのことです。
Dockerでセキュリティ対策するならDeep Securityということになりそうですね。その他、セキュリティメーカーの製品でコンテナで使える製品があるかは調べて別途、紹介します。
 |
