第3章 Red Hat Advanced Cluster Security Cloud Service のアーキテクチャー

Red Hat Advanced Cluster Security Cloud Service (RHACS Cloud Service) は、Red Hat 管理の Software-as-a-Service (SaaS) プラットフォームです。Kubernetes および OpenShift Container Platform のクラスターとアプリケーションを、ビルド、デプロイ、ランタイムのライフサイクル全体にわたって保護できます。

RHACS Cloud Service には、Center for Internet Security (CIS) ベンチマークや National Institute of Standards Technology (NIST) ガイドラインなどの業界標準に基づいた、多くの組み込みの DevOps 強制制御とセキュリティーに重点を置いたベストプラクティスが含まれています。また、既存の DevOps ツールおよびワークフローと統合して、セキュリティーとコンプライアンスを向上させることもできます。

Central サービスには、ユーザーインターフェイス (UI)、データストレージ、RHACS アプリケーションプログラミングインターフェイス (API)、およびイメージスキャン機能が含まれます。Central サービスは Red Hat Hybrid Cloud Console を通じてデプロイします。新しい ACS インスタンスを作成すると、RHACS 用の個別のコントロールプレーンが作成されます。

RHACS Cloud Service を使用すると、Central インスタンスと通信する自己管理型クラスターを保護できます。保護対象のクラスターは、セキュアクラスターと呼ばれ、Red Hat ではなくお客様が管理します。セキュアクラスターサービスには、オプションの脆弱性スキャンサービス、アドミッションコントロールサービス、実行時の監視とコンプライアンスに使用されるデータ収集サービスが含まれます。セキュアクラスターサービスは、保護対象の OpenShift または Kubernetes クラスターにインストールします。

RHACS Operator を使用して OpenShift Container Platform に RHACS をインストールする場合、または secured-cluster-services Helm チャートと Helm を使用して OpenShift Container Platform やサポート対象の任意の Kubernetes システムに RHACS をインストールする場合、RHACS はすべてのセキュアなクラスターに StackRox Scanner および Scanner V4 コンポーネントをインストールします。これにより、統合された OpenShift イメージレジストリー内のイメージ、または委任スキャンが有効になっている場合に RHACS が統合する任意のレジストリー内のイメージのスキャンが可能になります。StackRox Scanner または Scanner V4 をセキュアなクラスターにインストールするのではなく、Central がインストールされているクラスターのみにインストールするよう選択できます。詳細は、「Scanner V4 の有効化」を参照してください。