Runtime Threat Defense
Calico Runtime Threat Defense は、Kubernetes上のアプリケーションに対するネットワーク、コンテナベースの脅威に対する最も包括的なプラグ アンド プレイの脅威防御ソリューションである。
既知の脅威、ゼロデイ脅威を検出するシグネチャ ベース、動作ベースの手法を組み合わせることで、コンテナ、ネットワーク ベースの攻撃に対する最も一般的な MITRE 攻撃手法をカバーする。
ネットワーク、コンテナの動作を継続的に監視、分析し、攻撃の痕跡 (IOA) を検出する。複雑なルールを作成する必要はなく、セキュリティルールの作成、維持に費やされる貴重なリソースを解放する。
リアルタイムアラートは、潜在的な脅威に関する豊富なコンテキスト、推奨される緩和手順を提供する。これらの手順には、感染したポッドの隔離等、ポリシーの推奨事項が含まれる。これは、セキュリティデータを個別に解釈するためにより多くのリソースを必要とする組織にとって。特に役立つ。明確で実用的なガイダンスを通じて、組織がセキュリティの脅威にタイムリーかつ効果的に対応するのに役立つ。
セキュリティチームがデジタル競争の場を公平にし、侵害を効果的、効率的に防止する防御体制を確保するために必要なインテリジェンス、自動化、継続的な保護をもたらす。
次の 2 種類の検出を使用する。
■ 動作ベースの検出
eBPF を使用して、プロセス、ファイルシステムアクティビティ、システムコール全体のコンテナアクティビティデータを監視する。
このデータは、新しいゼロデイ脅威を検出するために、Tigera の脅威研究チームによって作成された、事前にプログラムされたさまざまな検出器によって使用される。
絶え間なく変化する動的な脅威の状況を常に把握するために、新しい検出機能が継続的に追加されている。
また、ネットワークトラフィックログを使用して、クラスターノード、ポッド、サービスの動作をベースライン化し、機械学習アルゴリズムを適用して、ポートスキャン、IPスイープ、ドメイン生成アルゴリズム (DGA) のインジケーターを決定する。
■ シグネチャベースの検出
侵入検知と防止: Calicoのグローバルな脅威インテリジェンスフィードは、AlienVault,
その他の脅威インテリジェンスプロバイダと統合され、悪意のある IP から保護する。
ワークロード中心の WAF: HTTP通信を監視して、OWASP10攻撃を検出する。
マルウェア検出: 脅威インテリジェンスライブラリの一部として、マルウェアファイルハッシュのデータベースを維持し、既知のマルウェアをアクティブにブロックする。
ハニーポッド: おとり、ハニーポッドをデプロイして、Kubernetesクラスタ内の疑わしいアクティビティを監視、検出する。
ディープパケットインスペクション (DPI) 、SNORT による脅威検出: ネットワークデータを詳細に検査し、SNORT ルールを使用して潜在的な脅威のシグネチャベースの検出を実行する。
Calico Cloud/Enterprise