翻訳者 |李睿 レビュー |チョンロウ 51CTO 読者成長計画コミュニティ募集、コンサルティングアシスタント (WeChat ID: TTalkxiaozhuli) 調査機関が最近発表した調査レポートによると、回答者の 94% が Kubernetes に関連するセキュリティ インシデントを経験したことがあると回答しています。 Kubernetes の脆弱性で最も一般的なのは構成ミスであり、回答者の 70% が報告しました。では、サイバー犯罪者にとって魅力的なターゲットとは何でしょうか? Kubernetes 制御プラットフォーム。 チームは、ノード、マスター、コア コンポーネント、API、および公開ポッドの境界セキュリティを強化する必要があります。そうしないと、既存および潜在的な脆弱性からクラスターを保護できなくなります。ここでは、企業が Kubernetes コントロール プレーンを保護し、導入プロセスをスピードアップするのに役立つ 10 のベスト プラクティスを紹介します。 Kubernetes コントロール プレーンのセキュリティを確保するための 10 のヒント1. Kubernetesのロールベースアクセス制御(RBAC)を使用するロールベースのアクセス制御 (RBAC) を使用して、Kubernetes API にアクセスできるユーザーの権限を設定します。 Kubernetes 1.6 以降では、RBAC がデフォルトで有効になっていることがわかります。 Kubernetes は認証コントローラーを集中管理するため、RBAC を有効にすると従来の属性ベースのアクセス制御 (ABAC) を無効にすることができます。 権限を設定するときは、クラスター全体の権限ではなく、名前空間固有の権限を選択します。チームメンバーがデバッグで忙しい場合でも、誰にもクラスター管理者権限を与えないでください。そうしないと、クラスターのセキュリティが侵害される可能性があります。 2. 検疫を実施するKubernetes ノードをパブリック インターネットに直接公開しないでください。代わりに、ノードに最適な場所は、企業ネットワークに直接接続されていない別のネットワーク上です。 もう 1 つの重要な分離のベスト プラクティスは、Kubernetes の制御トラフィックとデータ トラフィックを分離することです。データ プラットフォームへのオープン アクセスは制御プラットフォームへのオープン アクセスにつながるため、ユーザーはこれらが同じパイプラインを通過することを望んでいます。 3. デフォルトの名前空間にオブジェクトをデプロイしないようにするKubernetes では、名前空間はクラスター内のリソース グループを分離するメカニズムを提供します。したがって、複数のチームやプロジェクトにまたがる多数のユーザーが存在する環境に最適なユースケースです。 指定された名前空間を持たないすべてのオブジェクトは、デフォルトの名前空間を使用することになります。これにより、最も重要なワークロードの近くに悪意のあるコンテナを展開することが容易になります。したがって、デプロイメント内のオブジェクトの名前空間を作成することをお勧めします。 4. 禁止されているタイプを使用しないNodePort や LoadBalancer などの禁止されたタイプの使用は避けてください。代わりに、サービスは ClusterIP 経由で公開する必要があります。このようにして、クラスター インフラストラクチャ コンポーネントが特定の悪意のある行為者によって検出されるのを防ぐことができます。 5. 機密データを暗号化するKubernetes の基本的な実装では、機密データはデフォルトでは暗号化されないことをご存知でしたか?ただし、ユーザーが GKE などの Kubernetes マネージド サービスを使用する場合、機密データは保存時に暗号化されます。 機密データを暗号化することが重要なのはなぜですか?キー値ストアを傍受する人は誰でも、クラスター内のすべてのものにアクセスできます。これには、すべてのプレーンテキストのクラスター シークレットが含まれます。したがって、クラスター状態ストレージを暗号化することが、クラスターを静的データの漏洩から保護する最善の方法です。 6. Etcdへの安全なアクセスEtcd へのアクセスは root 権限と同等です。そのため、これは重要な制御プラットフォーム コンポーネントであり、制御プラットフォーム内で最も重要な安全コンポーネントです。 Etcd との通信が暗号化され、クライアントが証明書ベースの認証を使用していることを確認します。攻撃対象領域を制限するには、理想的には API サーバーのみが Etcd にアクセスできる必要があります。 7. コンテナランタイムソケットをコンテナ内にマウントしないデプロイメントでコンテナーに Container Runtime (CRI) ソケットがマウントされているかどうかを気にする必要があるのはなぜでしょうか? docker.sock、container.sock、crio.sock を使用すると、ネットワーク攻撃者がホスト マシンおよび対応するコンテナー ランタイムへのルート アクセスを取得する可能性が高くなります。これを回避するには、/var/run/<CRI>.sock hostPath ボリュームを削除します。 8. 読み取り専用のルートファイルシステムなしでコンテナを実行しますか?行動する前に考えようコンテナは読み取り専用のルートファイルシステムなしで実行されますか?読み取り専用ファイルシステムを使用すると、悪意のあるバイナリがシステムに書き込まれたり、システムが乗っ取られたりするのを防ぐことができます。 Pod の securityContext 定義で readOnlyRootFilesystem を true に設定すると、コンテナーが読み取り専用ファイルシステムのみを使用するようにすることができます。 9. セキュリティを確保し、Kubernetesコントロールプレーンにアクセスする多要素認証などの追加のセキュリティ機能については、サードパーティの認証プロバイダーの支援を受けることができます。 Kubernetes コントロール プレーン アクセスを完全に保護するには、API サーバー レベルでユーザーを管理しないようにします。代わりに、AWS ID およびアクセス管理 (IAM) など、クラウド プロバイダーが提供するソリューションを使用してください。クラウド ベンダーの IAM にアクセスできない場合は、OpenID Connect (OIDC) と使い慣れたシングル サインオン (SSO) プロバイダーを選択できます。 10. ローリングアップデート戦略を作成するEKS のセキュリティを確保するには、ローリング アップデート戦略を導入する必要があります。一方、ローリング アップデートでは、増分ポッド アップデートにより、アプリケーションのダウンタイムを最小限に抑えてアップデートを展開できます。 もう 1 つのポイントは、実行時に脆弱性スキャンを実行することです。クラスターはサプライ チェーン攻撃のリスクにさらされています。これらに対処するには、継続的インテグレーション (CI)/継続的デリバリー (CD) 中にすべてのデプロイメント成果物をスキャンする場合でも、実際にクラスターに何が入力されるかを理解する必要があります。ここでは、エージェントベースのセキュリティ ソリューションが「エージェントレス」よりも効果的に機能します。 2. Kubernetesコントロールポイントのセキュリティを実現するためのツールを使用するKubernetes エコシステムが進化するにつれて、セキュリティ上の懸念も高まります。残念ながら、変更に対応するには時間がかかり、脆弱性が蓄積されると、企業のセキュリティ スタッフは一度に多くのプロジェクトに優先順位を付ける必要があります。 Kubernetes セキュリティ ツールは、業界のベスト プラクティス、Kubernetes の推奨事項、CIS Kubernetes ベンチマークに照らしてクラスターをチェックし、ユーザーが最初から正しい方向に進むように自動的に優先順位を付けます。 ユーザーは、構成とセキュリティのベスト プラクティスに基づいて Kubernetes クラスターをスキャンし、セキュリティを最適化する方法を学ぶことができます。 記事のリンク: https://dzone.com/articles/kubernetes-control-plane-10-tips-for-airtight-k8s |
<<: クラウドガバナンスのベストプラクティスについてお話ししましょう
>>: シングルクラウドとマルチクラウド: 7 つの主な違い
SEOに携わっている友人は、ウェブサイトを宣伝する方法がたくさんあることを知っています。一般的なSE...
Ramnodeは、まもなく発表されるLEBQ2ランキングで、ほぼ1位を獲得しました。ワンマンからここ...
2か月の最適化を経て、東莞ウェブサイト構築の公式ウェブサイトでは、すでに複数のキーワードがBaidu...
>過去6か月間、私は頻繁に広東省を訪れ、毎日さまざまな起業家と議論してきました。理解が深まるに...
Sina Technology News: 北京時間 4 月 26 日早朝のニュース、Baidu (...
SEO に最適化されたウェブサイトについて言えば、まず頭に浮かぶのは「1 つの中心、2 つの基本ポイ...
近年、疫病やモバイルインターネットの影響により、消費市場は数え切れないほど多くの消費者の消費行動を変...
はじめに:アメリカのオンライン雑誌「Slate」は本日、Farhad Manjoo 氏による記事を掲...
ソルトレイクシティのクラウド サーバー (VPS) オペレーターである 1qcloud は、年末 (...
2006 年に設立されたキルギスタンのホスティング会社 Prohost は、主にドメイン名、仮想ホス...
テンセントの新メディアは私の生活を完全に占領していると言わざるを得ません。何もすることがないときは、...
クラウド コンピューティングはデジタル変革の推奨モデルとなり、CIO はアプリケーションをパブリック...
[[340900]]この記事はWeChatの公開アカウント「小蔡良基」から転載したもので、著者は蔡歩...
安全を保つため、あるいは一時的に妥協するため、選択肢は異なりますが、目的は同じです。すべては発展のた...
2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますバーチャル...