Kubernetes 制御プラットフォームを保護するための 10 のヒント

Kubernetes 制御プラットフォームを保護するための 10 のヒント

翻訳者 |李睿

レビュー |チョンロウ

51CTO 読者成長計画コミュニティ募集、コンサルティングアシスタント (WeChat ID: TTalkxiaozhuli)

調査機関が最近発表した調査レポートによると、回答者の 94% が Kubernetes に関連するセキュリティ インシデントを経験したことがあると回答しています。 Kubernetes の脆弱性で最も一般的なのは構成ミスであり、回答者の 70% が報告しました。では、サイバー犯罪者にとって魅力的なターゲットとは何でしょうか? Kubernetes 制御プラットフォーム。

チームは、ノード、マスター、コア コンポーネント、API、および公開ポッドの境界セキュリティを強化する必要があります。そうしないと、既存および潜在的な脆弱性からクラスターを保護できなくなります。ここでは、企業が Kubernetes コントロール プレーンを保護し、導入プロセスをスピードアップするのに役立つ 10 のベスト プラクティスを紹介します。

Kubernetes コントロール プレーンのセキュリティを確保するための 10 のヒント

1. Kubernetesのロールベースアクセス制御(RBAC)を使用する

ロールベースのアクセス制御 (RBAC) を使用して、Kubernetes API にアクセスできるユーザーの権限を設定します。 Kubernetes 1.6 以降では、RBAC がデフォルトで有効になっていることがわかります。 Kubernetes は認証コントローラーを集中管理するため、RBAC を有効にすると従来の属性ベースのアクセス制御 (ABAC) を無効にすることができます。

権限を設定するときは、クラスター全体の権限ではなく、名前空間固有の権限を選択します。チームメンバーがデバッグで忙しい場合でも、誰にもクラスター管理者権限を与えないでください。そうしないと、クラスターのセキュリティが侵害される可能性があります。

2. 検疫を実施する

Kubernetes ノードをパブリック インターネットに直接公開しないでください。代わりに、ノードに最適な場所は、企業ネットワークに直接接続されていない別のネットワーク上です。

もう 1 つの重要な分離のベスト プラクティスは、Kubernetes の制御トラフィックとデータ トラフィックを分離することです。データ プラットフォームへのオープン アクセスは制御プラットフォームへのオープン アクセスにつながるため、ユーザーはこれらが同じパイプラインを通過することを望んでいます。

3. デフォルトの名前空間にオブジェクトをデプロイしないようにする

Kubernetes では、名前空間はクラスター内のリソース グループを分離するメカニズムを提供します。したがって、複数のチームやプロジェクトにまたがる多数のユーザーが存在する環境に最適なユースケースです。

指定された名前空間を持たないすべてのオブジェクトは、デフォルトの名前空間を使用することになります。これにより、最も重要なワークロードの近くに悪意のあるコンテナを展開することが容易になります。したがって、デプロイメント内のオブジェクトの名前空間を作成することをお勧めします。

4. 禁止されているタイプを使用しない

NodePort や LoadBalancer などの禁止されたタイプの使用は避けてください。代わりに、サービスは ClusterIP 経由で公開する必要があります。このようにして、クラスター インフラストラクチャ コンポーネントが特定の悪意のある行為者によって検出されるのを防ぐことができます。

5. 機密データを暗号化する

Kubernetes の基本的な実装では、機密データはデフォルトでは暗号化されないことをご存知でしたか?ただし、ユーザーが GKE などの Kubernetes マネージド サービスを使用する場合、機密データは保存時に暗号化されます。

機密データを暗号化することが重要なのはなぜですか?キー値ストアを傍受する人は誰でも、クラスター内のすべてのものにアクセスできます。これには、すべてのプレーンテキストのクラスター シークレットが含まれます。したがって、クラスター状態ストレージを暗号化することが、クラスターを静的データの漏洩から保護する最善の方法です。

6. Etcdへの安全なアクセス

Etcd へのアクセスは root 権限と同等です。そのため、これは重要な制御プラットフォーム コンポーネントであり、制御プラットフォーム内で最も重要な安全コンポーネントです。

Etcd との通信が暗号化され、クライアントが証明書ベースの認証を使用していることを確認します。攻撃対象領域を制限するには、理想的には API サーバーのみが Etcd にアクセスできる必要があります。

7. コンテナランタイムソケットをコンテナ内にマウントしない

デプロイメントでコンテナーに Container Runtime (CRI) ソケットがマウントされているかどうかを気にする必要があるのはなぜでしょうか? docker.sock、container.sock、crio.sock を使用すると、ネットワーク攻撃者がホスト マシンおよび対応するコンテナー ランタイムへのルート アクセスを取得する可能性が高くなります。これを回避するには、/var/run/<CRI>.sock hostPath ボリュームを削除します。

8. 読み取り専用のルートファイルシステムなしでコンテナを実行しますか?行動する前に考えよう

コンテナは読み取り専用のルートファイルシステムなしで実行されますか?読み取り専用ファイルシステムを使用すると、悪意のあるバイナリがシステムに書き込まれたり、システムが乗っ取られたりするのを防ぐことができます。 Pod の securityContext 定義で readOnlyRootFilesystem を true に設定すると、コンテナーが読み取り専用ファイルシステムのみを使用するようにすることができます。

9. セキュリティを確保し、Kubernetesコントロールプレーンにアクセスする

多要素認証などの追加のセキュリティ機能については、サードパーティの認証プロバイダーの支援を受けることができます。 Kubernetes コントロール プレーン アクセスを完全に保護するには、API サーバー レベルでユーザーを管理しないようにします。代わりに、AWS ID およびアクセス管理 (IAM) など、クラウド プロバイダーが提供するソリューションを使用してください。クラウド ベンダーの IAM にアクセスできない場合は、OpenID Connect (OIDC) と使い慣れたシングル サインオン (SSO) プロバイダーを選択できます。

10. ローリングアップデート戦略を作成する

EKS のセキュリティを確保するには、ローリング アップデート戦略を導入する必要があります。一方、ローリング アップデートでは、増分ポッド アップデートにより、アプリケーションのダウンタイムを最小限に抑えてアップデートを展開できます。

もう 1 つのポイントは、実行時に脆弱性スキャンを実行することです。クラスターはサプライ チェーン攻撃のリスクにさらされています。これらに対処するには、継続的インテグレーション (CI)/継続的デリバリー (CD) 中にすべてのデプロイメント成果物をスキャンする場合でも、実際にクラスターに何が入力されるかを理解する必要があります。ここでは、エージェントベースのセキュリティ ソリューションが「エージェントレス」よりも効果的に機能します。

2. Kubernetesコントロールポイントのセキュリティを実現するためのツールを使用する

Kubernetes エコシステムが進化するにつれて、セキュリティ上の懸念も高まります。残念ながら、変更に対応するには時間がかかり、脆弱性が蓄積されると、企業のセキュリティ スタッフは一度に多くのプロジェクトに優先順位を付ける必要があります。

Kubernetes セキュリティ ツールは、業界のベスト プラクティス、Kubernetes の推奨事項、CIS Kubernetes ベンチマークに照らしてクラスターをチェックし、ユーザーが最初から正しい方向に進むように自動的に優先順位を付けます。

ユーザーは、構成とセキュリティのベスト プラクティスに基づいて Kubernetes クラスターをスキャンし、セキュリティを最適化する方法を学ぶことができます。

記事のリンク: https://dzone.com/articles/kubernetes-control-plane-10-tips-for-airtight-k8s

<<:  クラウドガバナンスのベストプラクティスについてお話ししましょう

>>:  シングルクラウドとマルチクラウド: 7 つの主な違い

推薦する

SEOの「地方から都市を包囲する」戦略がポータルサイトに一気に反撃

「都市を囲む農村」ここで説明する必要はないと思います。どうしても分からない場合は百度で検索してくださ...

2018年グローバルモバイルインターネット市場レポート1

統計によると、2018年末現在、世界のインターネットユーザー数は43億人に達し、世界人口の約57%を...

一般的な 128M の小メモリ KVMVPS の概要投稿

KVM ベースの VPS は常に皆に人気があります。その理由は一概には言えません。とにかく、open...

SEO トレーニングでよく使われる 6 つのレトリックを覚えていますか?

需要があるところに市場がある。ウェブマスター業界に加わる仲間が増えるにつれて、SEOトレーニング市場...

ウェブサイトのSEOを行う初心者ウェブマスターのフラストレーションと苦しみ

SEO は長くて退屈な作業であり、多くの初心者ウェブマスターにとっては非常にイライラさせ、面倒で、不...

ジャック・マーは社内文書でCEO辞任を発表「若者にもっと大きな舞台を与えよう」

1月15日午後、アリババのジャック・マー会長は社内文書を発表し、5月10日からアリババグループのCE...

クラウドコンピューティングコアテクノロジーDockerチュートリアル:Docker構成ネットワークの概要

[[395208]] Docker コンテナとサービスが非常に強力である理由の 1 つは、それらを相...

従来のビジネスをパブリック クラウドに移行する際の落とし穴を回避するためのガイド

[[396459]]この記事はWeChatの公開アカウント「New Titanium Cloud S...

雷山魚醤:ヒット商品から地域電子商取引の転換点へ

「一口中国1」に登場する冬のタケノコが遂昌の電子商取引の急速な発展の起爆剤だとしたら、雷山魚醤は貴州...

オンプレミスの導入からより持続可能なクラウドの未来へ

クラウド コンピューティングは、オンプレミスの IT インフラストラクチャよりも持続可能なソリューシ...

デル、クラウドコンピューティング事業Boomiの売却を検討中と報道

[[395826]]デル・テクノロジーズは、同社のクラウド・コンピューティング事業であるブーミについ...

データレポート | 2019年ソーシャルトレンド分析レポート!

サブセクターが成長ポイント: 2019年2月、ソーシャルネットワーク業界のユーザー規模は9億7,30...

天猫のダブル11の2時間での売上高は33.7億に達し、昨年の1日全体の売上高を上回った。

ダブル11の夜、アリペイの杭州オフィスビルは明るく照らされていた。新浪科技は11月11日早朝、アリバ...

formohost: アジア、アメリカ、ヨーロッパ、オセアニアの36の国と地域でVPSと専用サーバーを運営しています

米国デラウェア州に登録されているホスティング会社であるformohostは、世界36か所以上のデータ...

「Sheep a Sheep」はByteDanceのゲーム化の夢を活かす

「羊伝説」はWeChatとDouyinプラットフォームでオンラインになり、1か月近く人気が続いていま...