テスラがハッキングされた？ Kubernetes クラスターを保護し、ハッカーの侵入を防ぐにはどうすればよいでしょうか?

2018年、ハッカーがAmazon上のTeslaのKubernetesコンテナクラスターに侵入した。クラスターコンソールはパスワードで保護されていなかったため、ハッカーは Kubernetes ポッドのアクセス資格情報を取得し、それを使用してネットワークストレージバケット S3 にアクセスすることができました。 S3を通じてテレメトリ技術などの機密データが取得され、TeslaのKubernetesポッドでマイニングも実行されました。

ハッカーは、パスワードで保護されていない Kubernetes 制御コンソールに侵入しました。 Kubernetes ポッドでは、Tesla のパブリッククラウド環境へのアクセスが盗まれ、対応するパブリッククラウド環境にはテレメトリなどの機密データが保存されていました。

公開されたデータに加えて、RedLock はこの攻撃でさらに洗練された検出回避手法もいくつか発見しました。

まず、よく知られている公開の「マイニングプール」は使用されません。マイニングソフトウェアをインストールし、悪意のあるスクリプトを介して非公開/半公開のエンドポイントに接続します。第二に、ハッカーは無料の CDN サービスである CloudFlare を通じて、マイニングプールサーバーの実際の IP アドレスを隠しました。このサービスを通じて新しい IP アドレスを取得します。したがって、一般的な標準 IP またはドメインベースの検出を使用してこのような悪意のある動作を検出することは困難です。

マイニングソフトウェアは非標準ポートをリッスンするため、ポートベースの悪意のある検出が困難になります。ハッカーのマイニングソフトウェアは「目立たない」状態を保ち、CPU を過度に使用しないため、リソースの占有が発見されることは容易ではありません。

このインシデントは、Kubernetes の脆弱性を悪用した典型的な例にすぎません。

近年、Kubernetes に代表されるセキュリティオーケストレーションツールにより、企業はアプリケーションの展開を自動化できるようになり、企業に大きなビジネス上のメリットをもたらしています。ただし、従来の環境と同様に、これらのデプロイメントもハッカーや内部者による攻撃や悪用に対して脆弱であるため、Kubernetes のセキュリティはコンテナの使用における重要な保護対象となっています。

1. Kubernetes

1. Kubernetesとは

Kubernetes は、もともと Google によって設計され、インキュベーションのために Cloud Native Computing Foundation (CNCF) に寄贈されたオープンソースのコンテナオーケストレーションプラットフォームです。 Kubernetes は、コンテナ化されたアプリケーションを自動的にデプロイ、スケーリング、管理でき、サービス検出、負荷分散、自己修復などの多くの便利な機能を提供します。 Kubernetes の中心的な概念は、アプリケーションとインフラストラクチャを分離して、クラウドネイティブアプリケーションの開発と展開をより高速、安全、柔軟に行うことです。

Kubernetes のコンポーネントは、コントロールプレーンとデータプレーンの 2 つの主要なカテゴリに分けられます。コントロールプレーンには、Kubernetes API サーバー、etcd ストレージ、コントローラーマネージャー、スケジューラーなどが含まれます。etcd に保存されているクラスターの状態を管理し、実行環境におけるコンテナーの場所、タグ、制限を決定する役割を担います。データプレーンには、コンテナランタイム、kubelet デーモン、kube-proxy プロキシサーバーなどのさまざまなノードが含まれており、コンテナのライフサイクル、データトラフィック、負荷分散などの維持を担当します。

Kubernetes は、コンテナを簡単に作成およびデプロイする方法を提供し、その柔軟性と拡張性により、非常に人気のあるアプリケーションデプロイおよび管理プラットフォームとなっています。

2. Kubernetes にセキュリティが必要なのはなぜですか?

Kubernetes には多くの利点がありますが、慎重に考慮しなければならないセキュリティ上の考慮事項も数多くあります。 Kubernetes のセキュリティ脅威の例をいくつか示します。

（１）許可の問題

侵害されたコンテナは複数のポッドに拡散し、Kubernetes クラスターの全体的なセキュリティを危険にさらす可能性があります。 Kubernetes 内のユーザーとロールが適切に構成されていないと、攻撃者が必要以上の権限を持つ可能性があります。

（２）ネットワークの問題

Kubernetes は高度に自動化されているため、権限の割り当てが分散化され、混乱が生じやすくなります。この場合、攻撃者は Kubernetes の脆弱性を悪用して横方向に移動して、クラスター内のアクセスレベルを拡大できます。さらに、サービス検出やコンテナネットワーク構成などのアプリケーションレベルでの安全なネットワークポリシーと保護により、アプリケーションとデータが攻撃に対して脆弱になり、侵害される可能性がなくなります。

（３）制御プレーン

Kubernetes API サーバーが攻撃活動にさらされると、クラスターの状態が変更、追加、または削除され、クラスター全体のセキュリティが侵害される可能性があります。さらに、侵害されたポッドは、トラフィックをスニッフィングしたり、攻撃対象領域を増やすためにポッドを変更しようとしたりするなど、他のポッドやホストに壊滅的な結果をもたらす可能性のある多くのアクティビティを実行する可能性があります。

（４）イメージセキュリティの問題

コンテナイメージはいつでも置き換えられる可能性があり、イメージの内容と整合性を検証する方法はありません。したがって、悪意のあるイメージが発生した場合、特定のコンテナ全体のデータとアプリケーションが深刻な危険にさらされる可能性があります。

3. Kubernetes セキュリティのヒントの紹介

Kubernetes クラスターのセキュリティを最大限に高めるには、セキュリティのベストプラクティスと原則を理解することが重要です。 Kubernetes のセキュリティに関する基本的なヒントをいくつか紹介します。

（1）KubernetesオブジェクトのRBACを構成する

Kubernetes クラスターを保護するには、Kubernetes で実行されているオブジェクト、ポッド、および状態オブジェクトを認証および承認する必要があります。 Kubernetes ロールベースアクセス制御 (RBAC) は、Kubernetes API オブジェクトにアクセスするための承認と権限を管理するために Kubernetes API オブジェクトに適用されるベストプラクティスの 1 つです。

（２）安全なコンテナベースイメージを使用する

セキュリティのベストプラクティスを使用することで、コンテナーのセキュリティを強化できます。適切なベースイメージを選択することは、この目標を達成するための重要な部分です。たとえば、信頼できるソースからのイメージのみを使用し、コンテナー内のクライアントライブラリの数を最小限に抑えます。

（3）Kubernetesネットワークとポリシーを構成する

安全なネットワークと保護戦略により、Kubernetes クラスターを脅威から保護できます。ネットワークプラグインを構成してネットワーク分離を実装し、ポッドとサービス間のネットワークポリシーを設定してセキュリティを強化します。

（4）セキュリティ監査にKubernetesセキュリティスキャナを使用する

Kubernetes セキュリティスキャナーを使用すると、コンテナイメージ内の潜在的な脆弱性を見つけ、各大規模コンテナイメージにタイムリーに修正する必要があるセキュリティ脆弱性がないことを確認できます。

2. Kubernetes クラスターを構成する

1. Minikubeのインストール

Minikube は Kubernetes の軽量実装です。テスト、開発、学習のために、ローカルエリアネットワーク内に Kubernetes クラスターを迅速に構築できます。

（1）Minikubeのインストール手順：

仮想マシンソフトウェアをインストールします。Minikube は仮想マシンで実行する必要があります。 VirtualBox または HyperKit を使用することをお勧めします。 VirtualBox はクロスプラットフォームの無料ソフトウェアであり、HyperKit は macOS で提供される軽量の仮想化ソリューションです。

kubectl をインストールします。kubectl は、Kubernetes クラスターを管理するために使用される Kubernetes のコマンドラインツールです。次のコマンドでインストールできます。

 curl -LO https://storage.googleapis.com/kubernetes-release/release/$(curl -s https://storage.googleapis.com/kubernetes-release/release/stable.txt)/bin/linux/amd64/kubectl chmod +x ./kubectl sudo mv ./kubectl /usr/local/bin/kubectl

macOS に kubectl をインストールするコマンドは次のとおりです。

 brew install kubectl

Minikube をインストールする: 次のコマンドで Minikube をインストールできます。

 curl -LO https://storage.googleapis.com/minikube/releases/latest/minikube-linux-amd64 sudo install minikube-linux-amd64 /usr/local/bin/minikube

macOS に Minikube をインストールするコマンドは次のとおりです。

 brew install minikube

Minikube クラスターを起動します。

 minikube start

サンプルアプリケーションを実行するには:

 kubectl run hello-minikube --image=k8s.gcr.io/echoserver:1.4 --port=8080 kubectl expose deployment hello-minikube --type=NodePort minikube service hello-minikube

上記は、Minikube をインストールして使用するための詳細な手順です。

2. Kubernetes RBACを構成する

Kubernetes RBAC (ロールベースのアクセス制御) は、ロール、ロールバインディング、クラスターロールバインディングのセットを定義して、Kubernetes クラスター内のユーザーとサービスアカウントの権限の範囲を制限するロールベースのアクセス制御です。

（1）Kubernetes RBACの設定手順：

ロールを作成します。

 apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: test-role rules: - apiGroups: [""] # "" 代表core API 组resources: ["pods", "pods/log", "services"] verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]

ここでは、Kubernetes クラスター内のポッドとサービスリソースへのアクセス権を持つ test-role という名前のロールが作成されます。

サービスアカウントを作成します。

 apiVersion: v1 kind: ServiceAccount metadata: name: test-account namespace: test-namespace

ここでは、test-account という名前のサービスアカウントが作成され、後で作成されるロールにバインドされます。

ロールバインディングを作成します。

 apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: test-role-binding namespace: test-namespace roleRef: apiGroup: rbac.authorization.k8s.io kind: Role name: test-role subjects: - kind: ServiceAccount name: test-account namespace: test-namespace

ここでは、test-role-binding という名前のロールバインディングが作成され、test-role が test-account にバインドされ、test-account にポッドとサービスリソースへのアクセスが許可されます。

名前空間を作成します。

 apiVersion: v1 kind: Namespace metadata: name: test-namespace

上記のロールおよびサービスアカウントのスコープを分離するために、test-namespace という名前の名前空間がここで作成されます。

上記は Kubernetes RBAC の設定手順です。ロール、サービスアカウント、ロールバインディング、名前空間を作成することで、ユーザーとサービスアカウントの権限の範囲を定義できます。

3. ネットワークポリシーを構成する

ネットワークポリシーは、Kubernetes 内のネットワークアクセス制御ポリシーを定義するためのメカニズムであり、特定の IP またはラベルからのトラフィックが Kubernetes 内の Pod にアクセスすることを制限できます。

（1）ネットワークポリシーの設定手順：

ネットワークポリシー機能が適切に機能するようにするには、Kubernetes で Calico や Cilium などのネットワークプラグインを実行します。

ネットワークポリシーを作成するには:

 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: test-network-policy namespace: test-namespace spec: podSelector: matchLabels: app: test-app policyTypes: - Ingress ingress: - from: - ipBlock: cidr: 10.0.0.0/24 - namespaceSelector: matchLabels: name: test-namespace ports: - protocol: TCP port: 8080

ここでは、test-network-policy という名前のネットワークポリシーが作成されます。このポリシーは、test-namespace 名前空間に属し、app=test-app ラベルを含む Pod にアクセスするときに、10.0.0.0/24 ネットワークセグメント IP または test-namespace 名前空間からの Pod のみが Pod の TCP ポート 8080 にアクセスできることを定義します。

上記はネットワークポリシーを構成する手順です。ネットワークポリシーを構成することで、Pod 間のネットワーク通信を制御できます。

4. Kubernetes APIアクセスを制限する

Kubernetes では、ネットワークポリシーを使用して、Pod 間および Pod とクラスター内の他のリソース間のネットワークトラフィックを制御できます。この記事では、Kubernetes API へのアクセスを制限するためにネットワークポリシーを構成する方法について説明します。

名前空間を作成します。

 kubectl create namespace example

ネットワークポリシーによって保護されるポッドをマークするために使用するラベルを作成します。

 kubectl label namespace example name=example

ポッドを作成する:

 apiVersion: v1 kind: Pod metadata: name: example-pod namespace: example labels: app: example spec: containers: - name: example-container image: nginx

ネットワークポリシーを作成します。

 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: api-policy namespace: example spec: podSelector: matchLabels: app: example policyTypes: - Ingress ingress: - from: - podSelector: matchLabels: app: kubernetes

上記のポリシーは、トラフィックがラベル app=kubernetes の Pod から発信されない限り、ラベル app=example の Pod へのすべての受信トラフィックを許可しません。このルールはトラフィックを制限するだけなので、コンテナの実行状態には影響しないことに注意してください。

ポリシーが有効であることを確認します。

 kubectl run busybox --image=busybox -n example -- sleep 3600 kubectl exec -it busybox -n example -- wget -q -O - http://example-pod kubectl exec -it busybox -n example -- wget -q -O - kubernetes.default.svc.cluster.local

最初の行は、busybox イメージを使用して busybox という名前の Pod を作成し、長いスリープコマンドを実行します。 2 行目は wget コマンドを呼び出し、Pod example-pod を通じて HTTP GET リクエストを実行します。ネットワークポリシーを作成したため、要求はブロックされます。 3 行目は、Kubernetes API の DNS 名である kubernetes.default.svc.cluster.local にアクセスするために wget コマンドを呼び出します。ポリシーで Kubernetes コンポーネント Pod からのトラフィックを選択したので、リクエストには期待どおりの結果が表示されます。

Kubernetes ネットワークのセキュリティ保護

1. Kubernetesネットワークプラグインを構成する

Kubernetes ネットワークプラグインは、K8s クラスターに必要なコンポーネントの 1 つです。その主な目的は、コンテナへの IP アドレスの割り当て、コンテナ間の通信の有効化、ネットワークの分離の提供など、コンテナのネットワーク機能を実装することです。ネットワークプラグインごとに実装メカニズムが異なり、クラウドプラットフォームや展開環境ごとにネットワーク要件も異なります。そのため、実際の状況に応じて使用するネットワークプラグインを選択する必要があります。

一般的に使用される Kubernetes ネットワークプラグインは次のとおりです。

Flannel: Flannel は、オーバーレイネットワークに似たテクノロジーを使用し、各ノードに一意の IP アドレスを割り当て、VXLAN または UDP カプセル化を使用してコンテナー間の通信を可能にする、シンプルで効率的なコンテナーネットワークソリューションです。
Calico: Calico は、効率的なコンテナ間ネットワーク通信とネットワークセキュリティを実現する高性能なコンテナネットワークソリューションです。 BGP プロトコルを使用してルーティングを実装し、ネットワークポリシーを通じてコンテナアクセス制御を実装します。
Cilium: Cilium は、コンテナ間の効率的で安全かつ信頼性の高い通信を提供できる、eBPF (Extended Berkeley Packet Filter) テクノロジーに基づくコンテナネットワークソリューションです。ネットワーク分離、ネットワークポリシー、トラフィック監査などの機能を実装できます。

ネットワークプラグインを選択する際には、考慮すべき点がいくつかあります。

パフォーマンス: ネットワークプラグインによってパフォーマンスが異なるため、実際のアプリケーションシナリオに基づいて選択する必要があります。
範囲: 一部のネットワークプラグインはアプリケーションコンテナーの内部ネットワークのみを提供できますが、他のネットワークプラグインは外部サービスにネットワークサービスを提供できます。
セキュリティ: 一部のネットワークプラグインには、コンテナーとクラウドインフラストラクチャを保護するための組み込みのセキュリティ機能が備わっています。
使いやすさ: 一部のネットワークプラグインは、ユーザーの展開と管理を容易にするために、グラフィカルインターフェイスと使いやすい API を提供します。

2. Kubernetes Ingress Controllerを構成する

Kubernetes では、Ingress コントローラーは、K8s クラスターに入る外部トラフィックの管理を担当するコンポーネントです。さまざまな負荷分散アルゴリズムを使用して、外部トラフィックをさまざまなバックエンドサービスにルーティングできます。イングレスコントローラは、Web アプリケーションなどのシナリオで負荷分散とトラフィック制御を実装するためによく使用されます。

Ingress コントローラーを使用する場合は、クラスターを悪意のある攻撃から保護するために、いくつかのセキュリティルールを設定する必要があります。例えば：

写真

アクセス制御: 特定のサービスへの外部アクセスを制御するネットワークポリシーを定義して、許可されたユーザーとアプリケーションのみがサービスにアクセスできるようにすることができます。
SSL/TLS 暗号化: SSL/TLS 暗号化を使用して、送信されるデータを保護できます。 Ingress コントローラーの自己署名証明書を構成するか、権限のある証明書を購入することができます。
レート制限: レート制限を使用してトラフィックを制御し、DDoS 攻撃を防ぐことができます。
アクセスログ: アクセスログを有効にすると、セキュリティ監査と調査のためにすべてのトラフィックを記録できます。

3. Kubernetes サービスを安全に使用する

Kubernetes サービスは、コンテナが相互に通信できるようにする抽象的なメカニズムです。コンテナの安定した IP アドレスを動的に生成し、負荷分散などの重要な機能を提供できます。

Kubernetes サービスを使用する場合は、次の点に注意する必要があります。

アクセス制御: Kubernetes の組み込み機能を使用して、ネットワークポリシーを設定し、サービスへのアクセスを制御できます。たとえば、外部サービスによる重要なサービスへのアクセスを禁止できます。
セキュリティ設定: サービスへのアクセス権限を制御するには、セキュリティ設定が必要です。たとえば、サービスに対して TLS 証明書を構成できます。
ログ記録: 監査と追跡の目的でサービスをログに記録する必要があります。
データ保護: サービスデータの整合性を保護するには、バックアップおよびリカバリ戦略を設定する必要があります。

4. Kubernetesワークロードを安全に実行する

1. Kubernetes Podをより安全にする方法

Kubernetes では、「Pod」は最小の環境単位であり、1 つ以上のコンテナの集合です。安全なポッドを作成するには、次の点を考慮する必要があります。

（１）資源の制限

Kubernetes では、PodLevel で LimitRange と resourceQuotas を使用してリソース制限を実装し、Pod が使用可能なリソースを超えないようにすることができます。リソース制限を設定することで、コンテナーが必要以上のリソースを取得しないようにすることができます。

（２）セキュリティコンテキストの使用

セキュリティコンテキストを使用すると、特定のコンテナーのユーザー ID (UID) とグループ ID (GID) を設定できます。これにより、攻撃者がシステムレベルのファイルやプロセスにアクセスするのを防ぎ、コンテナの機能を制限します。

Kubernetes では、コンテナ内のセキュリティ制限を無効にする特権コンテキストメカニズムを構成することもできますが、これは注意して使用し、可能であれば避ける必要があります。

（3）Kubernetesポッドセキュリティポリシーを有効にする

Kubernetes Pod セキュリティポリシー (PodSecurityPolicy) は、管理者が Pod 下のコンテナアプリケーションにセキュリティ対策を適用するのに役立ちます。 PodSecurityPolicy を使用すると、コンテナがコンテナ内からホストを攻撃するのを防ぐことができ、コンテナ間の攻撃も防ぐことができます。

（4）ネットワーク分離を使用する

Kubernetes ネットワークプラグインやその他のリンク層分離テクノロジを使用すると、Pod のネットワーク分離とセキュリティを強化できます。トラフィックの分離により、コンテナが他のコンテナやストレージボリュームなどの機密リソースにアクセスすることを制限し、ネットワーク攻撃の発生を減らすことができます。

2. Kubernetesコンテナセキュリティのベストプラクティス

コンテナのセキュリティ保護は、Kubernetes クラスターを保護するための鍵となります。コンテナのセキュリティ向上に役立つ Kubernetes コンテナのセキュリティプラクティスをいくつか紹介します。

（1）適切なコンテナベースイメージを選択する

Docker コンテナイメージを適切に選択します。標準イメージについては、公式イメージリポジトリを使用することをお勧めします。 Docker のセキュリティコンポーネントを使用して、コンテナベースイメージを検証することもできます。

（２）コンテナイメージコードがウイルススキャンおよび脆弱性スキャンされていることを確認する

コンテナイメージスキャナーを使用して、コンテナコードにウイルスや脆弱性がないことを確認します。スキャン後、表示されたコードや脆弱性が修復され、安全なイメージを使用できるようになります。

（3）コンテナセキュリティポリシーの設定

Kubernetes の PodSecurityPolicy を通じてコンテナのセキュリティポリシーを構成します。 Pod 内の特権コンテナの使用と安全でないコンテナのアクセス権を制限するには、runtimeClass ポリシーを使用することをお勧めします。

（4）コンテナログを使用する

コンテナログを使用すると、管理者はコンテナアクティビティの診断と調整が容易になります。標準出力を使用してコンテナログを最適化し、セキュリティセンターまたは外部ストレージに収集します。

（５）アプリケーションの複数インスタンスの実行

コンテナランタイムはアプリケーションの可用性を保証し、コンテナに障害が発生してもアプリケーションの残りの部分に影響が及ばないように回復力を提供します。複数のインスタンスを実行する場合は、セキュリティ保護を強化するために、非常に安全なチャネルを介してトラフィックをルーティングするロードバランサーを必ず使用してください。

（6）ネットワークセキュリティを構成する

Kubernetes クラスターはネットワークセキュリティ保護を使用して構成する必要があり、各コンテナーには独自の IP とポートがあり、コンテナー間のトラフィックを制限するようにネットワークポリシーを構成できます。

3. Kubernetes OSのセキュリティパッチを使用する

コンテナのセキュリティに加えて、Kubernetes ワーカーノード自体も保護する必要があります。特に、オペレーティングシステムのセキュリティパッチ、Kubernetes コンポーネントなどを定期的に更新します。さらに、Kubernetes ワーカーノードは、不要なアクセスを制限し、不正アクセスや攻撃からクラスターを保護するために、安全なアクセスで構成する必要があります。さまざまな Kubernetes セキュリティコンポーネントを使用して、セキュリティイベントを監視および警告したり、Kubernetes クラスターの信頼性とセキュリティを確保するために必要なアクションと修正を実行したりできます。

5. 監視とログ管理

1. Kubernetesセキュリティスキャナを使用する

Kubernetes セキュリティスキャナーを使用して、Kubernetes クラスター内のコンテナーイメージとリソース構成を自動的にスキャンし、潜在的なセキュリティの脆弱性とリスクを検出します。一般的なセキュリティスキャナーをいくつか紹介します。

Aqua Security: コンテナのセキュリティとポリシー管理を提供する企業。 Aqua Security Scanner は、アプリケーションコンテナイメージをスキャンし、脆弱性分析、リスク評価、推奨事項を提供できます。
Clair: CoreOS、Docker、Kubernetes などのプラットフォームと互換性のあるオープンソースのコンテナ脆弱性スキャナー。
Anchore: イメージのセキュリティ、構成、パフォーマンスなどを評価し、アラートと推奨事項を提供するオープンソースのコンテナイメージ分析ツールです。
Sysdig Secure: Kubernetes でランタイムスキャン、攻撃検出、一貫性、コンプライアンス監査を提供する包括的なセキュリティソリューション。

2. Kubernetesでログを有効にする

セキュリティとトラブルシューティング機能を強化するには、Kubernetes でログ記録を有効にすることが重要です。一般的なログ記録ソリューションを次に示します。

Fluentd: 複数の Kubernetes クラスターからのログを集中管理し、対応するバックエンドストレージ、分析、または視覚化ツールに送信できるオープンソースのログコレクターおよびディストリビューター。
Elasticsearch-Fluentd-Kibana (EFK) スタック: Elasticsearch、Fluentd、Kibana を組み合わせて、ログの集中管理、検索、視覚化を可能にする人気のログソリューションです。
Loki: Kubernetes およびコンテナ環境向けに最適化されたオープンソースのログアグリゲータで、非常にスケーラブルで効率的なログ収集およびクエリ機能を提供します。

3. Kubernetesで監視を追加する

Kubernetes クラスターとアプリケーションの状態を監視すると、問題をタイムリーに検出して解決し、信頼性と可用性を向上させることができます。一般的な監視ソリューションは次のとおりです。

Prometheus: Kubernetes 内のさまざまなメトリックとイベントを監視し、柔軟なアラート機能とクエリ機能を提供するオープンソースの時系列データベースおよび監視システム。また、Grafana などの視覚化ツールと組み合わせて使用すると、システム全体で何が起こっているかを理解しやすくなります。
Datadog: Kubernetes、コンテナなどの複数のテクノロジースタックをサポートし、リアルタイムのメトリック、ログ、トレースデータの視覚化とアラート機能を提供する統合監視および分析プラットフォームです。
Sysdig Monitor: Kubernetes、Docker、Mesos、Amazon Web Services などのプラットフォームに対して、リアルタイムのコンテナ監視、セキュリティ、パフォーマンス、信頼性のメトリクスを提供するソリューション。

6. Kubernetes クラスターの更新とバックアップ

1. Kubernetesのローリングアップグレードを使用する

Kubernetes は、クラスターをアップグレードするためのローリングアップグレードアプローチを提供します。ローリングアップグレードでは、クラスター内の各ノードを段階的にアップグレードし、アップグレードの進行中もクラスターが引き続き使用可能であることを保証します。ローリングアップグレードを使用すると、アップグレードの速度と範囲を制御して、各ノードが正常にアップグレードされ、クラスターの安定性が維持されるようにすることができます。 Kubernetes ローリングアップグレードを実行するには、次の手順に従います。

kubectl のdrain コマンドを使用して、クラスターからノードをドレインし、その実稼働負荷を他のノードに移動します。
kubectl upgrade コマンドを実行して、ノードを新しいバージョンにアップグレードします。
kubectl uncordon コマンドを使用して、ノードをクラスターに再参加させ、本番環境の負荷を再び引き受けられるようにします。
すべてのノードが正常にアップグレードされるまで、上記の手順を繰り返します。

2. 自動バックアップと復元を実行する

Kubernetes のバックアップと復元 (Velero) プラグインを使用すると、自動化されたバックアップと復元の操作を実行して、アプリケーションとデータを保護できます。 Velero は、Kubernetes アプリケーションの状態とその依存関係 (ストレージ、構成、シークレットなど) をバックアップし、必要に応じて以前の状態に復元できます。 Velero を使用して Kubernetes のバックアップと復元を実行するには、次の手順に従います。

Velero プラグインをインストールし、バックアップストレージとキーを構成します。
velero backup create コマンドを実行してバックアップを作成します。
velero restore create コマンドを実行して、バックアップを現在の Kubernetes 環境に復元します。
velero backup get コマンドで取得したバックアップ履歴を表示します。

7. 安全なKubernetesのベストプラクティス

1. 継続的な脆弱性管理と修復

継続的な脆弱性管理と修復は、Kubernetes を安全に保つための鍵となります。以下に実用的な提案をいくつか示します。

脆弱性のスキャンと修復には自動化ツールを使用し、スキャン操作が定期的に実行されるようにします。
既知の脆弱性とセキュリティ問題を修正するために、Kubernetes のバージョンとコンテナイメージをタイムリーにアップグレードします。
最小権限の原則を使用して、コンテナーとノードに必要な権限とアクセスレベルのみを付与します。
ネットワークおよびセキュリティポリシーを使用して、コンテナーとノード間の通信を制限し、外部アプリケーションとの安全な通信を確保します。

2. Kubernetes APIオブジェクトの安全な使用

Kubernetes API オブジェクトは Kubernetes の中核要素であるため、安全に使用することが重要です。 Kubernetes API オブジェクトを安全に使用するベストプラクティスをいくつか紹介します。

RBAC またはその他のアクセス制御ツールを使用してアクセス制御を実装し、API オブジェクトを使用するユーザーとサービスアカウントの権限を制限します。
TLS 暗号化を設定します。 Kubernetes API は通信を保護するために TLS を使用するため、不正アクセスや攻撃を防ぐために TLS 暗号化が有効になっていて適切に構成されていることを確認してください。
一般のアクセスを制限します。 Kubernetes API をパブリックインターネットに公開しないでください。代わりに、安全な内部ネットワークに制限してください。
Kubernetes API の使用状況を監査および監視し、不正アクセスや異常なアクティビティを検出します。