現代の IT 環境はますます動的になっています。たとえば、Kubernetes は多くの組織の可能性の境界を広げます。オープンソース テクノロジーは、コンテナ化されたアプリケーションの自動展開、スケーラビリティ、管理の面で多くの利点を提供します。特に、IT チームはそのパワー、有効性、柔軟性を活用して、最新のアプリケーションを迅速に開発し、大規模に提供することができます。 しかし、Kubernetes 環境でセキュリティ強化対策を確実に実施するプロセスはますます困難になっています。オンプレミスのデータセンター、複数のパブリック クラウド プロバイダー、エッジ ロケーションに分散された Kubernetes 開発および本番環境クラスターの数が増えるにつれて、この比較的新しい動的な運用モデルにより、アクセス制御が大幅に複雑化します。 ほとんどのチームでは、複数の場所で複数のクラスターが実行されており、多くの場合、異なる管理インターフェースを持つ異なるディストリビューションを使用しているため、企業の IT 部門は、開発、運用、請負業者、およびパートナー チームには異なるレベルのアクセスが必要であることを考慮する必要があります。 Kubernetes の分散性とスケーラビリティを考慮すると、IT 部門はアクセス セキュリティを確保し、発生しているミスを回避するためにあらゆる手段を講じる必要があります。以下では、Kubernetes ゼロ トラストの原則を適用して環境全体を保護し、コンテナにゼロ トラスト セキュリティを提供する方法について説明します。 Kubernetes クラスターへのゼロトラスト アクセスゼロ トラストは、ネットワーク内またはネットワーク全体で動作するすべての人、システム、およびサービスは信頼できないと自動的に想定するセキュリティ モデルです。ゼロ トラストは、悪意のある攻撃を防ぐための最良のテクノロジーとして浮上しています。ゼロ トラストは、認証、承認、暗号化テクノロジに基づいて、セキュリティ構成と態勢を継続的に検証し、環境全体が信頼できることを確認することを目的としています。 Kubernetes が基本的にどのように動作するかを簡単に説明します。
API サーバーにゼロ トラストを実装するためのベスト プラクティス:
Kubernetes 認証ゼロ トラストの原則では、Kubernetes クラスターに関連付けられているすべてのユーザー アカウントとサービス アカウントは、API 呼び出しを行う前に認証される必要があります。 Kubernetes プラットフォームがチームの優先認証システムで効果的に動作することを保証するために、さまざまなセキュリティ モジュールとプラグインが用意されています。
Kubernetes 認証認証されると、すべてのユーザー アカウントまたはサービス アカウントが Kubernetes クラスターにアクセスし、可能なすべての操作を実行できるようになるため、これを削減する必要があります。ゼロ トラストの考え方は、認証されたユーザーが要求されたアクションを完了するために必要な権限を持っている場合にのみ、リクエストが承認されるというものです。モデルでは、リクエストごとにユーザー名、アクション、影響を受ける Kubernetes クラスター オブジェクトを指定する必要があります。 Kubernetes は、次のような多くの認証方法をサポートしています。
ABAC はさらなる細分性を提供しますが、適切に定義および構成するには追加の時間とリソースも必要になります。ただし、ABAC アプローチのトラブルシューティングはより困難です。したがって、一般的な方法は、最小権限 RBAC を有効にすることです。 Kubernetes アドミッションコントロールアドミッション コントローラーは、Kubernetes のゼロ トラスト アプローチを改善するビジネス ロジックを実装する方法を提供します。その目的は、Kubernetes オブジェクトの作成、変更、削除、または接続の要求にシステムが自動的に応答できるようにすることです。場合によっては、組織のニーズを満たすために複数のアドミッション コントローラを有効にする必要があり、特定のリクエストがいずれかのアドミッション コントローラによって拒否された場合、システムも自動的にそのリクエストを拒否します。 現在、Kubernetes に組み込まれているさまざまなアドミッション コントローラーは、ポリシーを適用し、さまざまな操作を実装するための幅広いオプションをチームに提供しています。動的コントローラーは、定義されたルール セットの要件を満たすようにリクエストをすばやく変更できます。たとえば、ResourceQuota アドミッション コントローラは、受信要求を監視して、ResourceQuota オブジェクトにリストされている名前空間の制約に違反していないことを確認できます。詳細については、「アドミッション コントローラーの使用」ドキュメントを参照してください。 Kubernetes のログ記録と監査監査レベルには 4 つの種類があります。
ゼロトラストアーキテクチャの拡張上記の方法と実践によりゼロ トラスト環境を作成できますが、管理する Kubernetes クラスターが多数ある場合、これらすべての要素を適切に構成および調整することはより困難になります。複数のワークロードと Kubernetes ディストリビューションが関係する場合、状況は特に複雑になります。これは新しい課題ではなく、今日多くの企業が直面している課題です。 例えば、このような状況を考えてみましょう。同社は、開発から QA、ステージング、そして本番環境まで、100 個の Kubernetes クラスターを管理しており、アプリケーションがリアルタイムのビデオおよびオーディオ データ ストリームを処理できるように、これらのクラスターは世界中の顧客ベースに地理的に近い場所に配置する必要がありました。 Kubernetes クラスターへの安全なユーザー アクセスを確保するには、企業は次の 3 つの問題に対処する必要があります。
プラットフォームチーム向けの注意事項エンタープライズ プラットフォーム チームの多くの目標の 1 つは、世界中に分散した IT チームがすべてのクラスターへのユーザー アクセスを一元的に管理できるようにすることです。目標は、Kubernetes インフラストラクチャへのアクセスを効果的に保護および管理すると同時に、監査ログとコンプライアンス レポートを大幅に簡素化することです。 プラットフォーム チームは、Kubernetes のゼロ トラスト アクセスの実装を検討し、Kubernetes 環境全体のセキュリティを確保するために、前述のベスト プラクティスを適用および実施する必要があります。すべてのクラスターにベスト プラクティスを手動で適用する必要がなくなるため、Kubernetes を大規模に運用する場合の IT 組織のリスクを大幅に軽減できます。 プラットフォーム チームは、Kubernetes のゼロ トラスト アクセスを設計する際に、次の 3 つの利点を考慮する必要があります。 1. RBAC を非常に柔軟にする: チーム メンバーの役割が変更された場合、アクセス権限は自動的に更新され、どのメンバーも自分の役割よりも多くの権限または少ない権限を持つことはありません。 2. アクセスを高速かつシンプルにする: 安全なシングル サインオンを通じて承認されたユーザーにシームレスなアクセスを提供し、クラスターへのアクセスの遅延を排除します。 3. インスタント シナリオ資格情報: 承認されたユーザーのサービス アカウントは、ユーザーがアクセスするとすぐにリモート クラスター上に作成され、証明書の有効期限が切れないように、ユーザーがログアウトすると自動的に削除されます。 Kubernetes クラスターとコンテナ化されたアプリケーションが拡大するにつれて、組織は 1 つまたは 2 つのクラスターを運用しているときには明らかではなかったセキュリティ リスクにますますさらされるようになります。したがって、プラットフォーム チームは、Kubernetes インフラストラクチャ全体のクラスターとアプリケーションに対して、集中型のエンタープライズ レベルのセキュリティと制御を実装する必要があります。 |
<<: IaC に関しては、Terraform と CloudFormation のどちらが優れていますか?
>>: YAML を記述せずに Kubernetes アプリケーションを管理するにはどうすればよいでしょうか?
Enzu の BudgetVM は 10 年以上前から存在しており、多くの人がよく知っていると思いま...
我が国では10年ごとに国勢調査が行われており、今年もまた新たな国勢調査が始まろうとしています。これは...
優れた Taobao アフィリエイト プログラムは、ウェブマスターが Taobao コミッションの夢...
51CTOウェブサイトコンテンツ調査に参加するにはクリックしてくださいkubectl には rest...
ここ二日間、杭州は曇りと雨が続いています。灰色の雲奇会議会場で最も目を引くのは、赤く塗られたこの大き...
locvps は国慶節イベントを開催しました。ヨーロッパ地域の VPS は直接 40% 割引されます...
半世紀にわたって続いたムーアの法則により、必然的に多くの人々は、常に同じコストでより強力なコンピュー...
国内VPS事業者のMagic Cube Cloudは、Alipayなどの決済方法に対応しており、現在...
検索エンジンマーケティングは、その名前が示すように、インターネットユーザーに検索を促し、それが今日の...
SEO の初心者レベルの人を、私たちは通常「新人」と呼びます。もちろん、これが悪い言葉だとも、初心者...
状況の展開から判断すると、Gome が Gome Mall と Kuba.com を統合するのは時間...
最近、Baidu は頻繁にアップデートされており、多数の医療サイトや Taobao アフィリエイトサ...
食べること、飲むこと、排便、排尿、性行為など、禁止できないものもあります。また、需要があるところには...
外食産業は2020年上半期に厳しい冬期に入った。国家統計局が発表した最新データによると、今年1月と2...
いわゆるロングテール理論とは、商品の保管と流通経路が十分に大きい限り、需要の低い商品や売れ行きの悪い...