翻訳者 |李睿 レビュー |チョンロウ 51CTO 読者成長計画コミュニティ募集、コンサルティングアシスタント (WeChat ID: TTalkxiaozhuli) 調査機関が最近発表した調査レポートによると、回答者の 94% が Kubernetes に関連するセキュリティ インシデントを経験したことがあると回答しています。 Kubernetes の脆弱性で最も一般的なのは構成ミスであり、回答者の 70% が報告しました。では、サイバー犯罪者にとって魅力的なターゲットとは何でしょうか? Kubernetes 制御プラットフォーム。 チームは、ノード、マスター、コア コンポーネント、API、および公開ポッドの境界セキュリティを強化する必要があります。そうしないと、既存および潜在的な脆弱性からクラスターを保護できなくなります。ここでは、企業が Kubernetes コントロール プレーンを保護し、導入プロセスをスピードアップするのに役立つ 10 のベスト プラクティスを紹介します。 Kubernetes コントロール プレーンのセキュリティを確保するための 10 のヒント1. Kubernetesのロールベースアクセス制御(RBAC)を使用するロールベースのアクセス制御 (RBAC) を使用して、Kubernetes API にアクセスできるユーザーの権限を設定します。 Kubernetes 1.6 以降では、RBAC がデフォルトで有効になっていることがわかります。 Kubernetes は認証コントローラーを集中管理するため、RBAC を有効にすると従来の属性ベースのアクセス制御 (ABAC) を無効にすることができます。 権限を設定するときは、クラスター全体の権限ではなく、名前空間固有の権限を選択します。チームメンバーがデバッグで忙しい場合でも、誰にもクラスター管理者権限を与えないでください。そうしないと、クラスターのセキュリティが侵害される可能性があります。 2. 検疫を実施するKubernetes ノードをパブリック インターネットに直接公開しないでください。代わりに、ノードに最適な場所は、企業ネットワークに直接接続されていない別のネットワーク上です。 もう 1 つの重要な分離のベスト プラクティスは、Kubernetes の制御トラフィックとデータ トラフィックを分離することです。データ プラットフォームへのオープン アクセスは制御プラットフォームへのオープン アクセスにつながるため、ユーザーはこれらが同じパイプラインを通過することを望んでいます。 3. デフォルトの名前空間にオブジェクトをデプロイしないようにするKubernetes では、名前空間はクラスター内のリソース グループを分離するメカニズムを提供します。したがって、複数のチームやプロジェクトにまたがる多数のユーザーが存在する環境に最適なユースケースです。 指定された名前空間を持たないすべてのオブジェクトは、デフォルトの名前空間を使用することになります。これにより、最も重要なワークロードの近くに悪意のあるコンテナを展開することが容易になります。したがって、デプロイメント内のオブジェクトの名前空間を作成することをお勧めします。 4. 禁止されているタイプを使用しないNodePort や LoadBalancer などの禁止されたタイプの使用は避けてください。代わりに、サービスは ClusterIP 経由で公開する必要があります。このようにして、クラスター インフラストラクチャ コンポーネントが特定の悪意のある行為者によって検出されるのを防ぐことができます。 5. 機密データを暗号化するKubernetes の基本的な実装では、機密データはデフォルトでは暗号化されないことをご存知でしたか?ただし、ユーザーが GKE などの Kubernetes マネージド サービスを使用する場合、機密データは保存時に暗号化されます。 機密データを暗号化することが重要なのはなぜですか?キー値ストアを傍受する人は誰でも、クラスター内のすべてのものにアクセスできます。これには、すべてのプレーンテキストのクラスター シークレットが含まれます。したがって、クラスター状態ストレージを暗号化することが、クラスターを静的データの漏洩から保護する最善の方法です。 6. Etcdへの安全なアクセスEtcd へのアクセスは root 権限と同等です。そのため、これは重要な制御プラットフォーム コンポーネントであり、制御プラットフォーム内で最も重要な安全コンポーネントです。 Etcd との通信が暗号化され、クライアントが証明書ベースの認証を使用していることを確認します。攻撃対象領域を制限するには、理想的には API サーバーのみが Etcd にアクセスできる必要があります。 7. コンテナランタイムソケットをコンテナ内にマウントしないデプロイメントでコンテナーに Container Runtime (CRI) ソケットがマウントされているかどうかを気にする必要があるのはなぜでしょうか? docker.sock、container.sock、crio.sock を使用すると、ネットワーク攻撃者がホスト マシンおよび対応するコンテナー ランタイムへのルート アクセスを取得する可能性が高くなります。これを回避するには、/var/run/<CRI>.sock hostPath ボリュームを削除します。 8. 読み取り専用のルートファイルシステムなしでコンテナを実行しますか?行動する前に考えようコンテナは読み取り専用のルートファイルシステムなしで実行されますか?読み取り専用ファイルシステムを使用すると、悪意のあるバイナリがシステムに書き込まれたり、システムが乗っ取られたりするのを防ぐことができます。 Pod の securityContext 定義で readOnlyRootFilesystem を true に設定すると、コンテナーが読み取り専用ファイルシステムのみを使用するようにすることができます。 9. セキュリティを確保し、Kubernetesコントロールプレーンにアクセスする多要素認証などの追加のセキュリティ機能については、サードパーティの認証プロバイダーの支援を受けることができます。 Kubernetes コントロール プレーン アクセスを完全に保護するには、API サーバー レベルでユーザーを管理しないようにします。代わりに、AWS ID およびアクセス管理 (IAM) など、クラウド プロバイダーが提供するソリューションを使用してください。クラウド ベンダーの IAM にアクセスできない場合は、OpenID Connect (OIDC) と使い慣れたシングル サインオン (SSO) プロバイダーを選択できます。 10. ローリングアップデート戦略を作成するEKS のセキュリティを確保するには、ローリング アップデート戦略を導入する必要があります。一方、ローリング アップデートでは、増分ポッド アップデートにより、アプリケーションのダウンタイムを最小限に抑えてアップデートを展開できます。 もう 1 つのポイントは、実行時に脆弱性スキャンを実行することです。クラスターはサプライ チェーン攻撃のリスクにさらされています。これらに対処するには、継続的インテグレーション (CI)/継続的デリバリー (CD) 中にすべてのデプロイメント成果物をスキャンする場合でも、実際にクラスターに何が入力されるかを理解する必要があります。ここでは、エージェントベースのセキュリティ ソリューションが「エージェントレス」よりも効果的に機能します。 2. Kubernetesコントロールポイントのセキュリティを実現するためのツールを使用するKubernetes エコシステムが進化するにつれて、セキュリティ上の懸念も高まります。残念ながら、変更に対応するには時間がかかり、脆弱性が蓄積されると、企業のセキュリティ スタッフは一度に多くのプロジェクトに優先順位を付ける必要があります。 Kubernetes セキュリティ ツールは、業界のベスト プラクティス、Kubernetes の推奨事項、CIS Kubernetes ベンチマークに照らしてクラスターをチェックし、ユーザーが最初から正しい方向に進むように自動的に優先順位を付けます。 ユーザーは、構成とセキュリティのベスト プラクティスに基づいて Kubernetes クラスターをスキャンし、セキュリティを最適化する方法を学ぶことができます。 記事のリンク: https://dzone.com/articles/kubernetes-control-plane-10-tips-for-airtight-k8s |
<<: クラウドガバナンスのベストプラクティスについてお話ししましょう
>>: シングルクラウドとマルチクラウド: 7 つの主な違い
「都市を囲む農村」ここで説明する必要はないと思います。どうしても分からない場合は百度で検索してくださ...
統計によると、2018年末現在、世界のインターネットユーザー数は43億人に達し、世界人口の約57%を...
KVM ベースの VPS は常に皆に人気があります。その理由は一概には言えません。とにかく、open...
需要があるところに市場がある。ウェブマスター業界に加わる仲間が増えるにつれて、SEOトレーニング市場...
SEO は長くて退屈な作業であり、多くの初心者ウェブマスターにとっては非常にイライラさせ、面倒で、不...
1月15日午後、アリババのジャック・マー会長は社内文書を発表し、5月10日からアリババグループのCE...
[[395208]] Docker コンテナとサービスが非常に強力である理由の 1 つは、それらを相...
[[396459]]この記事はWeChatの公開アカウント「New Titanium Cloud S...
「一口中国1」に登場する冬のタケノコが遂昌の電子商取引の急速な発展の起爆剤だとしたら、雷山魚醤は貴州...
クラウド コンピューティングは、オンプレミスの IT インフラストラクチャよりも持続可能なソリューシ...
[[395826]]デル・テクノロジーズは、同社のクラウド・コンピューティング事業であるブーミについ...
サブセクターが成長ポイント: 2019年2月、ソーシャルネットワーク業界のユーザー規模は9億7,30...
ダブル11の夜、アリペイの杭州オフィスビルは明るく照らされていた。新浪科技は11月11日早朝、アリバ...
米国デラウェア州に登録されているホスティング会社であるformohostは、世界36か所以上のデータ...
「羊伝説」はWeChatとDouyinプラットフォームでオンラインになり、1か月近く人気が続いていま...