Kubernetes での IAST エージェントのデプロイ

AppScan は、Kubernetes クラスターへの IAST エージェントの自動インストールをサポートしています。MutatingAdmissionWebhook を使用すると、IAST エージェントはすべての開始ポッドに自動的にインストールされます。

このタスクについて

Kubernetes に IAST エージェントをインストールする手順の図 (Java、.Net、Node.js アプリケーションをサポート)

Kubernetes へのインストールを示す画像

手順

  1. こちらで説明されているように、ASoC Kubernetes IAST エージェントをダウンロードします。
  2. ZIP ファイルの中のファイルを抽出します。
  3. Kubernetes クラスターに IAST エージェントをインストールするには、次の手順を実行します。
    1. install-secagent-webhook.sh スクリプトを実行します。
      このスクリプトは、クラスターに MutatingAdmissionWebhook をインストールします。これにより、起動時に各ポッドに IAST エージェントが追加されます。
    2. IAST エージェントを適用するには、既存のポッドを再起動します。
  4. オプション: 特定のポッドをスキップしたり、エージェント検出用のポッドの言語を指定したりするように、IAST インストーラーを設定できます。install-secagent-webhook.sh スクリプトを実行する前に、config ファイルを config フォルダーにデプロイする必要があります。
    設定の例は、抽出した zip の「examples」フォルダーにあります。
    { 
                            // don't install IAST agent on service1. Default for ignore is false 
                            "name":"service1", 
                            "namespace":"default", 
                            "ignore":true 
                            }, 
                            { 
                            // hint IAST installer that service2 is Java. Possible values: java, net-core, nodejs 
                            "name":"service2", 
                            "namespace":"my-namespace", 
                            "agents":["java"] 
                            }, 
  5. 異なるポッドから報告された問題のポッド名を表示するには、「問題の詳細」タブの「追加情報」セクションを参照してください。
  6. Kubernetes クラスターで IAST エージェントをアンインストールするには、次の手順を実行します。
    1. uninstall-secagent-webhook.sh スクリプトを実行します。
    2. アンインストール・プロセスを完了するには、実行中のポッドを再起動する必要があります。これは、アンインストール中にエージェントが自動的にポッドから削除されることがないためです。