29 の Docker セキュリティツールを比較

エコシステムには数多くの Docker セキュリティツールがあります。それらはどのように比較できるのでしょうか？

機能や使用例など、お客様のニーズに最も適したツールを評価していただけるよう、最も人気のある Docker セキュリティツールのリストをご用意しました。ここでは、オープンソースプロジェクト、Docker、Kubernetes セキュリティ商用ベンダーの両方をご紹介しています。適切な Docker セキュリティツールを選択するには、お客様の具体的なニーズ、環境、セキュリティ目標に応じて判断する必要があります。

オープンソースプロジェクトを選択する場合でも、商用ソリューションを選択する場合でも、各ツールの機能とユースケースを理解することで、情報に基づいた決定を下すことができます。安全なコンテナ化インフラストラクチャは、適切なツールから始まります。時間をかけて、ご自身の要件に最も適したツールを評価してください。

しかし、Docker は安全ではないのでしょうか？ まったくそうではありません。実際、ユーザーネームスペースによるプロセス分離や cgroups によるリソースカプセル化などの機能は、攻撃ベクトルを削減し、高い保護を実現しています。しかし、Docker に移行することで、セキュリティを大幅に強化する機会が得られます。既知の脆弱性を検出するための Docker イメージスキャン、本番環境での脅威を識別してブロックするランタイムセキュリティ、ネットワークセキュリティ、コンプライアンス、監査、フォレンジックなどは、以下の Docker セキュリティツールを使用してセキュリティを強化できる分野の一部です。

Docker セキュリティツールのアルファベット順インデックス

• Anchore Engine
• Aporeto
• AppArmor
• AquaSec
• BlackDuck Docker security
• Calico
• Capsule 8
• Cavirin
• Cilium
• CoreOS Clair
• Docker capabilities and resource quotas
• Docker-bench security
• Dockscan
• Falco
• Google Cloud Security Command Center
• HashiCorp Vault
• Layered Insight
• NeuVector
• Notary
• OpenSCAP
• Open Policy agent
• REMnux
• SELinux
• Seccomp
• StackRox
• Sysdig Secure
• Sysdig
• Tenable Flawcheck
• Twistlock

Anchore Engine

ライセンス：オープンソース。

使用例：生産前の脆弱性分析、ポリシーベースのセキュリティおよびコンプライアンスチェック。

Anchore Engine を使用すると、開発者はコンテナイメージの詳細な分析、クエリの実行、レポートの作成、CI/CD パイプラインで使用できるポリシーの定義を行うことができます。

開発者は、このツールを拡張して、新しいクエリ、新しいイメージ分析、新しいポリシーを追加する新しいプラグインを追加することができます。

Aporeto

ホームページ： https://www.aporeto.com/

ライセンス： 商用

使用例： プラットフォームに依存しないソフトウェアのアイデンティティとセキュリティの強制。

Aporeto は、スタックを構成するさまざまなソフトウェアに、暗号で認証された独自の ID を提供することに重点を置いています。このアプローチにより、Kubernetes、クラウドサービス、ベアメタルホスト、あるいはこれらの組み合わせなど、サービスの実行に使用する基盤プラットフォームを抽象化することができます。

例えば、DC/OS上でデータベースを実行し、複数のKubernetesクラスターで任意の数の消費者プロセスを実行している場合、Aporetoのアイデンティティサービスを使用することで、データベースはピアのアイデンティティに基づいて通信を許可または拒否でき、オペレーターは当該操作に関与したエージェントの完全なトレースを取得できます。

AppArmor

ライセンス：オープンソース。

使用例：ランタイム保護、強制アクセス制御 (MAC)。

AppArmor を使用すると、管理者はシステム内の各プログラムにセキュリティプロファイル (ファイルシステムアクセス、ネットワーク機能、リンクおよび実行ルールなど) を割り当てることができます。

これは強制アクセス制御（MAC）システムであり、禁止された動作を実行できないように防止しますが、プロファイル違反の試行を報告することもできます。

AppArmor は、SELinux のよりアクセスしやすく簡素化されたバージョンと見なされることがあります。両者は密接に関連しています。プロファイル言語の構文を学習し、お好みのエディタを起動するだけで、独自の AppArmor ルールを作成できます。

Docker コンテキスト: Docker は、docker-default という名前のコンテナ用にデフォルトの AppArmor プロファイルを自動的に生成して読み込むことができます。コンテナまたはその中のアプリケーション用に特定のセキュリティプロファイルを作成できます。

AquaSec

ライセンス：商用。

使用例：プリプロダクション分析、実行時保護、コンプライアンスおよび監査など。

<div class="page" title="Page 6">
<div class="section">
<div class="layoutArea">
<div class="column">
<p><span>AquaSec is a commercial security suite designed for containers in mind. Security audit, container image verification, runtime protection, automated policy learning or intrusion prevention capabilities are some of the most relevant features. </span></p>
<p><span>The platform provides programmatic access to its API and can be deployed both locally or in the public cloud. </span></p>
</div>
</div>
</div>
</div>Code language: Perl (perl)

BlackDuck Docker Security

ライセンス： 商用

使用例： 生産前の分析、脆弱性ニュースフィード、ライセンス/法的評価。

Black Duck Hub は、コンテナのインベントリとイメージのインベントリ報告、既知のセキュリティ脆弱性をイメージインデックスにマッピング、プロジェクト間のリスクレポートの作成を専門としています。セキュリティリスクの原因となっている特定のライブラリ、ソフトウェアパッケージ、バイナリを簡単に特定することができ、アシスタントが既知の修正リストを自動的に提供します。

類似のソリューションとは異なり、Black Duck Hub は、コンテナ化された分散システムを展開するために現在バンドルしているさまざまなソフトウェアライセンスを考慮して「ライセンスリスク」も分析します。

<div class="page" title="Page 7">
<div class="section">
<div class="layoutArea">
<div class="column">
<p><span>BlackDuck focuses more on scanning and pre-production than run- time security and forensics. </span></p>
</div>
</div>
</div>
</div>Code language: HTML, XML (xml)

Cilium

ライセンス：オープンソース。

使用例：HTTP レイヤーのセキュリティ、ネットワークレイヤーのセキュリティ。

Cilium は、コンテナアプリケーション間の透過的なネットワークセキュリティを提供します。eBPF という新しい Linux カーネルテクノロジーに基づいており、コンテナ/ポッドの ID に基づいて、ネットワークレイヤーと HTTP レイヤーの両方のセキュリティポリシーを定義および実施することができます。

CiliumはBPFを活用して、コアデータパスのフィルタリング、マングリング、モニタリング、リダイレクトを実行します。これらのBPF機能は、Linuxカーネルバージョン4.8.0以降で利用可能です。

Calico

ホームページ： https://www.projectcalico.org/

ライセンス： オープンソース

使用例： コンテナの仮想ネットワークおよびネットワークセキュリティ。

Calico は、コンテナ間のネットワーク層を提供するために、Kubernetes クラスタの他のコンポーネントとともにインストール時に導入されることがよくあります。Calico は、ファイアウォール機能を定義するためのデフォルトの Kubernetes ネットワークポリシーインターフェースを実装し、ネームスペースの分離、高度なエンドポイント ACL、アノテーションベースのネットワークセキュリティ、およびアウトバウンド（エグレス）コンテナルールなどの機能を提供します。その機能の多くは Kubernetes との統合を目的として設計されていますが、Calico は Docker Swarm や単体の Docker コンテナとも使用可能です。

Capsule8

ホームページ：https://capsule8.com/

ライセンス： 商用

使用例： リアルタイムの脆弱性検知、ゼロデイ攻撃のライブ対応、侵入防止。

カプセル8センサーをクラウド、ベアメタル、仮想マシン、またはそれらの組み合わせを含むITインフラストラクチャ全体に展開すると、機械学習技術と専門家による分析を組み合わせたセキュリティフィルターが生成され、ゼロデイ脆弱性を含む最新の攻撃ベクトルを標的としたライブストリームが配信されます。これらのフィルターは、ソフトウェアとネットワークの活動を分析し、標的攻撃と一致するパターンを検出するほか、オペレーターへのアラート通知からネットワーク接続のブロック、影響を受けたコンテナの再起動まで、自動化された緩和措置を実行します。

Cavirin

ライセンス：商用。

使用例：ランタイム保護、生産前分析、コンプライアンスおよび監査

Cavirin は、CIS などの組織と協力して、他のツールも活用できるセキュリティ基準を共同で開発、維持しています。現在、CIS Docker Security Benchmark および CIS Kubernetes Security Benchmark を執筆しています。彼らは「DevSecOps」という用語を提唱し、セキュリティとDevOps/コンテナ分野の統合に焦点を当てています。DevOpsセキュリティプラットフォームとして期待できる機能（TwistlockやAquaSecの機能提案やアプローチと類似しているかもしれません）に加え、PCI、HIPAA、NIST、GDPRなどのセキュリティ基準に対応したコンプライアンスと監査ツールを強調できます。

CoreOS Clair

ライセンス：オープンソース。

使用例：生産前の分析、脆弱性ニュースフィード。

Clair は、コンテナ（現在は AppC および Docker をサポート）の脆弱性を静的に分析するためのオープンソースプロジェクトです。Clair は、設定された一連の CVE ソースから脆弱性データベースを定期的に更新し、利用可能なコンテナイメージをスクラブし、インストールされているソフトウェアパッケージをインデックス化します。安全でないソフトウェアが検出された場合、アラートを発したり、本番環境への導入をブロックしたりすることができます。

Clair のイメージ分析は静的であるため、コンテナを実際に実行する必要がないため、システムで実行される前にセキュリティの脅威を検出することができます。Clair は、CoreOS Quay レジストリが内部で使用しているセキュリティエンジンです。

Docker の機能とリソースクォータ

ライセンス： オープンソース。

使用例： ランタイム保護、リソース DoS 保護。

OS および Docker エンジンにすでに組み込まれている基本的なセキュリティ対策も忘れてはなりません。

リソースの乱用やサービス拒否は、膨大な数のソフトウェアエンティティがホストリソースを争うコンテナ化された環境では、見過ごされがちですが、非常に深刻なセキュリティ問題です。

コントロールグループ (cgroups) は、Linux カーネルの機能で、プロセスやコンテナが CPU、RAM、IOPS、ネットワークなどのシステムリソースにアクセスできる範囲を制限することができます。

機能を使用すると、ルート権限を複数の分割された権限に分割することができます。これにより、ルートアカウントから特定の機能を削除したり、ユーザーアカウントの機能をより詳細なレベルで拡張したりすることができます。

Docker-bench セキュリティ

ライセンス：オープンソース。

使用例：コンプライアンスおよびセキュリティ監査。

Docker Bench for Security は、本番環境での Docker コンテナのデプロイに関する数十の一般的なベストプラクティスをチェックするメタスクリプトです。

このスクリプトはDockerコンテナとして便利にパッケージ化されており、ホームページからdocker runのワンライナーをコピーして貼り付けるだけで、実行中のDockerコンテナとDockerエンジン（Docker CEまたはDocker Swarm）を実行しているホストに対して約250項目のチェック結果を即座に確認できます。Docker Benchのテストは、CIS Docker Community Edition Benchmark v1.1.0を参考にしています。

Dockscan

ライセンス：オープンソース。

使用例：コンプライアンスおよび監査。

ローカルおよびリモートのホストの Docker インストールと実行中のコンテナを分析するシンプルな Ruby スクリプトです。

インストールと実行は1つのコマンドで簡単に行え、HTMLレポートファイルを生成できます。Dockscanは、設定されたリソース制限、プロセスを過剰に生成するコンテナや変更されたファイル数が多くコンテナ、Dockerホストがコンテナからホストのゲートウェイへの直接トラフィック転送を許可している場合など、いくつかの例を挙げると、これらの情報を報告します。

Falco

ホームページ： https://sysdig.com/opensource/falco/

ライセンス： オープンソース。

使用例： 実行時アラート、フォレンジック。

Sysdig Falco は、Sysdig モニタリング技術に基づいて異常な活動を検出するように設計された、オープンソースの行動モニタリングソフトウェアです。Sysdig Falco は、あらゆる Linux ホストの侵入検知システムとしても機能します。

Falco は、Seccomp や AppArmor などの強制ツールとは対照的な監査ツールです。他の同様のツールがカーネルレベルでシステムコールのフィルタリング/モニタリングを行うのに対し、Falco はユーザー空間で動作し、カーネルモジュールを使用してシステムコールを取得します。ユーザー空間実装の利点の 1 つは、Docker、Docker Swarm、Kubernetes、Mesos などの外部システムと統合し、それらのメタデータやタグを組み込むことができることです。

Docker コンテキスト：Falco は、そのルールに対してコンテナ固有のコンテキストをサポートしています。このツールを使用すると、コンテナを計測したり変更したりすることなく、コンテナの動作を監視することができます。カスタムルールの作成は非常に簡単で、デフォルトのルールファイルには、適切なデフォルト値があらかじめ設定されています。

Google Cloud Security Command Center (Cloud SCC)

ホームページ： https://cloud.google.com/security-command-center/

ライセンス： 商用

使用例： Google Cloud Platform (GCP) 用の標準的なセキュリティおよびデータリスクデータベース。複数のサードパーティオペレータのセキュリティフィードで拡張可能です。

Google Cloud Security Command Center を使用すると、Google Cloud インフラストラクチャのセキュリティを管理できます。クラウド資産のインベントリを閲覧し、ストレージシステムをスキャンして機密データを検出し、一般的な Web の脆弱性を検出し、重要なリソースへのアクセス権を確認できます。Google Cloud SCC を使用すると、たとえば、機密データのボリュームを特定して保護し、XSS や SQL インジェクションなどの広範な脆弱性を検出し、ボットネットや暗号通貨のマイニングなどの脅威を特定し、予期しないネットワークトラフィックを追跡するなど、さまざまなことができます。SCC は、Sysdig Secure – クラウドネイティブアプリケーション用のコンテナセキュリティやFalco オープンソースランタイムセキュリティエンジンなど、さまざまなソースからのセキュリティイベントを集約することができます。

HashiCorp Vault

ライセンス: エンタープライズ版は無料です。

使用例: コンテナ対応のセキュアな認証情報ストレージ、信頼管理。

HashicorpのVaultは、パスワード、SSL/TLS証明書、APIキー、アクセストークン、SSH認証情報など、シークレットを管理するための高度なスイートです。時間ベースのシークレットリース、詳細なシークレットアクセス制御、オンザフライでの新しいシークレットの生成、キーローリング（古いキーで生成されたシークレットへのアクセスを維持したままキーを更新する機能）など、多くの機能をサポートしています。

Vault は、すべてのシークレット、および各ユーザー/エンティティによるアクセスと操作を追跡するための詳細な監査ログを保持するため、オペレーターは不審なやり取りを簡単に追跡することができます。

Docker コンテキスト：シークレットの安全な配布とトレーサビリティは、ソフトウェアエンティティが絶えず生成および削除される新しいマイクロサービスおよびコンテナ化された環境では、重要な課題です。Vault 自体は、Docker コンテナとしてデプロイすることができます。

Layered Insight

ホームページ： https://layeredinsight.com/

ライセンス： 商用

使用例： 静的イメージスキャン、コンテナセキュリティコンプライアンス、ランタイムおよびネットワーク分析。

Layered Insight は、イメージの脆弱性スキャンとコンプライアンス検証を行うコンテナセキュリティソリューションです。コンテナが検証されると、最終イメージの一部として Layered バイナリプローブを注入して、コンテナを計測可能にする必要があります。この計測用コンテナが導入されると、Layered Insight は、ユーザー定義の静的ポリシーと自動行動学習を組み合わせて、「期待される」行動プロファイルを作成します。このプロファイルは、このイメージのあらゆるインスタンスに関連付けられた一連のセキュリティルールとして注入されます。これらのコンテナは、実行時に監視され、注入されたセキュリティルールに準拠していないコードやネットワーク活動を検出し、通知やアラートを発します。

NeuVector

ライセンス：商用。

使用例：実行時保護、コンプライアンス、監査。

<div class="page" title="Page 16">
<div class="section">
<div class="layoutArea">
<div class="column">
<p><span>NeuVector focuses on real-time security protection at runtime. Automatically discovers behavior of applications, containers, and services, detects security escalations and other related threats in a similar fashion to other Linux IDS. NeuVector privileged ‘enforcer’ containers are deployed on each physical host, with full access to the local Docker daemon, apart from that, the internal technology used by NeuVector is not thoroughly detailed in the publicly accessible documentation. </span></p>
<p><span>NeuVector aims to be a non-intrusive, plug&amp;play security suite, performing automatic discovery of running containers and their default behavior to assist and counsel the operators in the design of their infrastructure security profiles. NueVector focuses on container network security rather than the underlying system like many of the other run-time players. </span></p>
</div>
</div>
</div>
</div>Code language: HTML, XML (xml)

Notary

ライセンス：オープンソース

使用例：信頼できるイメージリポジトリ、信頼管理、検証可能性。

イメージの偽造や改ざんは、Docker ベースのデプロイメントにおける大きなセキュリティ上の懸念事項のひとつです。Notary は、信頼できるコンテンツのコレクションを公開および管理するためのツールです。最新の Linux システムに搭載されているソフトウェアリポジトリ管理ツールと同様に、信頼できる公開コンテンツを承認し、署名付きコレクションを作成することができますが、これは Docker イメージ向けです。

Notary の目標には、イメージの最新性（既知の脆弱性を回避するための最新コンテンツ）の保証、ユーザー間の信頼の委譲、信頼できないミラーや転送チャネルを介した信頼できる配信などが含まれます。

OpenSCAP

ライセンス：オープンソース。

使用例：コンプライアンスおよび監査、認証

OpenSCAP は、NIST 認定のセキュリティコンテンツ自動化プロトコル (SCAP) に準拠して、ソフトウェアの構成および既知の脆弱性を検査する一連の自動監査ツールを提供します。

独自の主張とルールを作成し、組織に展開されたすべてのソフトウェアが厳格に準拠していることを定期的に確認できます。

これらのツールは、セキュリティ自体に焦点を当てているだけでなく、公式のセキュリティ基準を満たすために必要な正式なテストとレポートの提供にも重点を置いています。

Dockerコンテキスト: OpenSCAPスイートはDocker-specific tool oscap-docker to audit your images, assessing both running containers and cold images.

Open Policy Agent

ホームページ：https://www.openpolicyagent.org

ライセンス：オープンソース

使用例：プラグイン可能でプラットフォームに依存しないポリシー定義、拡張およびカスタマイズが容易なルールエンジンおよび言語。

Open Policy Agent は、セキュリティポリシーおよびセキュリティのベストプラクティスを、ランタイムプラットフォーム（Kubernetes、Docker）およびサービス（Kafka など）から切り離すことができます。セキュリティポリシーは、OPAの専用宣言型言語であるRegoで記述されます。ソフトウェアはセキュリティ決定をOPAエンジンにオフロードできるため、ポリシーの更新や新しいポリシーのライブでの読み込みを、運用に影響を与えることなく実行できます。OPAを使用すると、例えばコンテナの命名規則を強制したり、特定のタグ（例:「latest」）のダウンロードを回避したりできます。

REMnux

ライセンス：オープンソース。

使用例：フォレンジック。

Ubuntu ベースのセキュリティ重視のディストリビューション。REMnux は、マルウェアアナリストが、フォレンジックとして知られる悪意のあるソフトウェアのリバースエンジニアリングを支援するための無料の Linux ツールキットです。ご想像のとおり、このシステムには、Wireshark、ClamAV、tcpextract、 Rhino debugger、Sysdig、vivisect など、その一部を挙げただけでもかなりの数になります。

REMnux は、システムのセキュリティが侵害されている疑いがある場合に、USB メモリに入れて持ち歩くスイスアーミーナイフのようなものを目指しています。

Docker コンテキスト： REMnux プロジェクトでは、統合されたセキュリティツールのいくつかを Docker コンテナとして提供しているため、インストールが難しいセキュリティアプリケーションも、必要なときにすぐに起動することができます。

SELinux

ライセンス：オープンソース。

使用例：ランタイム保護、強制アクセス制御 (MAC)。

セキュリティ強化型 Linux (SELinux) は、Linux カーネルのセキュリティモジュールです。AppArmor とよく比較され、これも強制アクセス制御システムです。SELinux は、強制アクセス制御から強制整合性制御、役割ベースのアクセス制御 (RBAC)、タイプ強制アーキテクチャに至るまで、幅広いセキュリティ機能を提供します。

SELinux は、特に複雑ですが、強力で、きめ細かくて柔軟性があることで知られています。

Docker コンテキスト: AppArmor と同様に、SELinux は、ホストとコンテナ化されたアプリケーションの間に、追加のアクセスポリシーと分離を提供します。

Seccomp

ライセンス：オープンソース。

使用例：実行時保護、強制アクセス制御（MAC）。

Seccomp は、ツールというよりも、Linux カーネルのサンドボックス機能です。システムコール用の iptables ルールベースのファイアウォールと考えてください。新しいバージョンでは、Berkeley Packet Filter（BPF）ルールを使用して、システムコールをフィルタリングし、その処理方法を制御します。

Seccomp を使用すると、各コンテナで禁止/許可するシステムコールを選択的に選択できます。たとえば、コンテナ内のファイル権限の操作を禁止することができます。

Falco との類似点に気づいた方もいらっしゃるかもしれません。どちらも Linux Syscall API と密接に関連しています。この記事では、この 2 つのソリューション（AppArmor および SELinux を含む）を比較しています。TL;DR: 他のソリューションとは異なり、Falco は、ルールを構築するために、コンテナ固有の豊富な高レベルコンテキストを統合しています。

Docker コンテキスト: Docker は、Docker Engine バージョン 1.10 以降で Seccomp を使用しています。Docker には、seccomp フィルタにコンパイルされるプロファイルを定義できる、独自の JSON ベースの DSL があります。

StackRox

ライセンス：商用。

使用例：ランタイム保護、機械学習、生産前分析。

StackRox の機能提案は、「適応型セキュリティ」とコンポーネントおよび動作の自動検出という概念を中心に展開されています。機械学習に重点を置いた StackRox は、お客様のプラットフォームとともに進化するセキュリティの提供を目指しています。

StackRox は、コールドイメージスキャンや SELinux のようなデフォルトのセキュリティプロファイルなど、商用セキュリティプラットフォームの一般的な機能を提供しています。

StackRox は、コンテナおよびお客様の環境内のイメージを理解しますが、オーケストレーターによって決定されたポリシーベースのサービスを強制することはできません。フォレンジックやインシデント対応よりも、プレプロダクションおよび実行時のワークロードに重点を置いています。

Sysdig Secure

ライセンス：商用

使用例：エンドツーエンドの Kubernetes セキュリティ、コンテナセキュリティコンプライアンス基準、イメージスキャンおよび脆弱性管理、クラウドネイティブアプリケーションのランタイムセキュリティ、フォレンジックおよび監査。

Sysdig Secure は、Kubernetes およびコンテナのライフサイクル全体を通じてアプリケーションを保護し、CICD パイプラインと本番環境の両方をセキュリティで保護します。イメージスキャン、ML ベースのランタイム保護、フォレンジック機能により、マイクロサービス全体の脆弱性を特定し、コンプライアンスを強制し、脅威をブロックします。

Sysdig

ホームページ： https://sysdig.jp/

ライセンス： オープンソース、無料のテクノロジーをベースにした商用製品。

使用例： 異常な動作のデバッグ、フォレンジック。

Sysdig は、Linux システム用のフルシステム探索、トラブルシューティング、およびデバッグツールです。あらゆるプロセスによるすべてのシステムコールを記録し、システム管理者がオペレーティングシステムまたはその上で実行されているプロセスをデバッグできるようにします。

Sysdig は、tcpdump と類似の構文を持つコマンドラインインターフェースと、htop や wireshark と同様の方法でイベントを視覚的にナビゲートおよびフィルタリングするための ncurses インターフェースを備えています。システムコールキャプチャファイルを使用すると、コンテナがすでに削除されている場合でも、そのフォレンジックを行うことができます。

Tenable Flawcheck

ライセンス：商用。

使用例：プレプロダクション分析、脆弱性ニュースフィード。

セキュリティスキャナー「Nessus」で知られる Tenable は、コンテナに特化したセキュリティソリューション「Flawcheck」を買収しました。

FlawCheck は、このリストにある他の商用ツールと同様、コンテナイメージを保存し、本番環境に到達する前に、構築時にそれらをスキャンします。FlawCheck は、Tenable/Nessus のノウハウと、脆弱性、マルウェア、侵入ベクトルに関するデータベースを活用し、コンテナ化されたアジャイルな CI/CD 環境に適応させます。

Twistlock

ライセンス：商用。

使用例： 生産前の分析、ランタイム保護、コンプライアンスおよび監査など。

Twistlock は、クラウドファースト、コンテナファーストのプラットフォームとして、クラウドプロバイダー（AWS、Azure、GCP）、コンテナオーケストレーター（Kubernetes、Mesospehere、Openshift、Docker）、サーバーレスランタイム、メッシュフレームワーク（Istio など）、CI/CD ツールとの具体的な統合を提供しています。

CI/CD パイプラインの統合、コンテナセキュリティプロトコルのコンプライアンス、イメージスキャンなどの通常のコンテナセキュリティ機能とは別に、Twistlock は機械学習技術を使用して、行動パターンとコンテナ認識ネットワークルールを生成します。

---

結論

適切な Docker セキュリティツールを選択するには、お客様の具体的なニーズ、環境、セキュリティ目標に応じて決定する必要があります。オープンソースプロジェクトまたは商用ソリューションのどちらを選択する場合でも、各ツールの機能と使用例を理解することで、情報に基づいた決定を下すことができます。安全なコンテナ化インフラストラクチャは、適切なツールから始まります。時間をかけて、お客様の要件に最も適したツールを評価してください。