汎用目的のOS	イミュータブルなコンテナ用OS
BENEFITS	10年以上のエンタープライズ・ライフサイクル 業界標準のセキュリティ あらゆるインフラで高いパフォーマンスを発揮 カスタマイズと幅広い互換性 パートナーソリューションのエコシステム	OpenShift と一体化された管理。ネットワーク経由によるアップデート イミュータブルで自動化された Node 構築 OpenShift との緊密な統合 コンテナとホストのアイソレーションを実現 最適化されたパフォーマンス 最小化されたアタックサーフィス
WHEN TO USE	カスタマイズや追加ソリューションとの連携が必要な場合。	クラウドネイティブでハンズフリーな運用が最優先される場合

OpenShift での利用は RHCOSがデフォルトです。RHEL を使用した場合、RHEL Node の管理は個別に行う必要があります。 OpenShift での RHELサポートは、RHEL 7で終了する予定でしたが、要望が強かったため、OpenShift 4.9から RHEL 8.4 のサポートが追加されています[1]。

[1]

OpenShift Container Platform 4.9 release notes | Release notes | OpenShift Container Platform 4.9

OpenShift には CoreOS や、ミドルウェア・ライブラリのエンタイトルメントも含まれているため、UBIイメージを使用する事で OSレイヤーからミドルウェアまでの一括したサポートを受ける事ができます。

コンテナの RHELバージョンと Node の バージョンの組みあわせのサポートについて：Red Hat Enterprise Linux Container Compatibility Matrix - Red Hat Customer Portal

RHCOSにアンチウィルススキャナをインストールすることはできますか？

• アンチウィルス・スキャナなどのソリューションは、デーモンセットやコンテナ・イメージとして展開することができます。しかし、このような形態でソフトウェアを提供しているアンチウィルスベンダーはほとんどありません。
• RHCOSはコンテナ用のOSであり、ライブラリ等はコンテナ側が保持している事が前提です。また、ディレクトリ構造も通常の Linux とは異なるため、そのままではアプリケーションが動作しない可能性が高いです。
• RHCOSは「イミュータブル」に近い構成になっており、再起動やアップデートにより情報が失われる場合があります。標準 RHCOS イメージ以上の、追加構成、ソフトウェアのインストールは、MCO (Machine Config Operator) によって行われます。Worker Node の追加 (必要なネットワーク構成、Nodeの基本機能のインストール) が、自動でできるようになっているのはこの機能によるものです。
• ただし、Gartnerが2019年に発表したクラウドワークロード保護プラットフォームに関する論文では、クライアントに対して “アンチウイルス（AV）中心の戦略を、可能な限りワークロード保護に対する「ゼロ・トラスト」／デフォルト拒否／アプリケーション制御のアプローチに置き換えましょう"と勧告しています。[1]

  社内ネットワークなどの特定のネットワークを安全だと考えて、ネットワークの入り口だけに防御策を講じるのではなく、全てのネットワークを信頼できないものと考え、個別のサーバー(サービス)毎にアクセスできるユーザーと権限の制御と、ポートなどのネットワーク管理を厳密に制限する事が提案されている。一方で例えば、個別のサーバー毎に WAFを配備するなど、これまでのネットワーク管理の手法をそのままサーバー単位で適用するとコストが著しく増大するので、IAP:Identity Aware Proxy と呼ばれる、ユーザーや端末認証を行う Proxy を通してサーバーへのアクセスを制御するような方法が提唱されはじめている。

[1]

Gartner: Market Guide for Cloud Workload Protection Platforms, ID G00356240, April 8, 2019 https://blog.morphisec.com/client-grade-tech-cloud-workload-protection