現代の IT 環境はますます動的になっています。たとえば、Kubernetes は多くの組織の可能性の境界を広げます。オープンソース テクノロジーは、コンテナ化されたアプリケーションの自動展開、スケーラビリティ、管理の面で多くの利点を提供します。特に、IT チームはそのパワー、有効性、柔軟性を活用して、最新のアプリケーションを迅速に開発し、大規模に提供することができます。 しかし、Kubernetes 環境でセキュリティ強化対策を確実に実施するプロセスはますます困難になっています。オンプレミスのデータセンター、複数のパブリック クラウド プロバイダー、エッジ ロケーションに分散された Kubernetes 開発および本番環境クラスターの数が増えるにつれて、この比較的新しい動的な運用モデルにより、アクセス制御が大幅に複雑化します。 ほとんどのチームでは、複数の場所で複数のクラスターが実行されており、多くの場合、異なる管理インターフェースを持つ異なるディストリビューションを使用しているため、企業の IT 部門は、開発、運用、請負業者、およびパートナー チームには異なるレベルのアクセスが必要であることを考慮する必要があります。 Kubernetes の分散性とスケーラビリティを考慮すると、IT 部門はアクセス セキュリティを確保し、発生しているミスを回避するためにあらゆる手段を講じる必要があります。以下では、Kubernetes ゼロ トラストの原則を適用して環境全体を保護し、コンテナにゼロ トラスト セキュリティを提供する方法について説明します。 Kubernetes クラスターへのゼロトラスト アクセスゼロ トラストは、ネットワーク内またはネットワーク全体で動作するすべての人、システム、およびサービスは信頼できないと自動的に想定するセキュリティ モデルです。ゼロ トラストは、悪意のある攻撃を防ぐための最良のテクノロジーとして浮上しています。ゼロ トラストは、認証、承認、暗号化テクノロジに基づいて、セキュリティ構成と態勢を継続的に検証し、環境全体が信頼できることを確認することを目的としています。 Kubernetes が基本的にどのように動作するかを簡単に説明します。
API サーバーにゼロ トラストを実装するためのベスト プラクティス:
Kubernetes 認証ゼロ トラストの原則では、Kubernetes クラスターに関連付けられているすべてのユーザー アカウントとサービス アカウントは、API 呼び出しを行う前に認証される必要があります。 Kubernetes プラットフォームがチームの優先認証システムで効果的に動作することを保証するために、さまざまなセキュリティ モジュールとプラグインが用意されています。
Kubernetes 認証認証されると、すべてのユーザー アカウントまたはサービス アカウントが Kubernetes クラスターにアクセスし、可能なすべての操作を実行できるようになるため、これを削減する必要があります。ゼロ トラストの考え方は、認証されたユーザーが要求されたアクションを完了するために必要な権限を持っている場合にのみ、リクエストが承認されるというものです。モデルでは、リクエストごとにユーザー名、アクション、影響を受ける Kubernetes クラスター オブジェクトを指定する必要があります。 Kubernetes は、次のような多くの認証方法をサポートしています。
ABAC はさらなる細分性を提供しますが、適切に定義および構成するには追加の時間とリソースも必要になります。ただし、ABAC アプローチのトラブルシューティングはより困難です。したがって、一般的な方法は、最小権限 RBAC を有効にすることです。 Kubernetes アドミッションコントロールアドミッション コントローラーは、Kubernetes のゼロ トラスト アプローチを改善するビジネス ロジックを実装する方法を提供します。その目的は、Kubernetes オブジェクトの作成、変更、削除、または接続の要求にシステムが自動的に応答できるようにすることです。場合によっては、組織のニーズを満たすために複数のアドミッション コントローラを有効にする必要があり、特定のリクエストがいずれかのアドミッション コントローラによって拒否された場合、システムも自動的にそのリクエストを拒否します。 現在、Kubernetes に組み込まれているさまざまなアドミッション コントローラーは、ポリシーを適用し、さまざまな操作を実装するための幅広いオプションをチームに提供しています。動的コントローラーは、定義されたルール セットの要件を満たすようにリクエストをすばやく変更できます。たとえば、ResourceQuota アドミッション コントローラは、受信要求を監視して、ResourceQuota オブジェクトにリストされている名前空間の制約に違反していないことを確認できます。詳細については、「アドミッション コントローラーの使用」ドキュメントを参照してください。 Kubernetes のログ記録と監査監査レベルには 4 つの種類があります。
ゼロトラストアーキテクチャの拡張上記の方法と実践によりゼロ トラスト環境を作成できますが、管理する Kubernetes クラスターが多数ある場合、これらすべての要素を適切に構成および調整することはより困難になります。複数のワークロードと Kubernetes ディストリビューションが関係する場合、状況は特に複雑になります。これは新しい課題ではなく、今日多くの企業が直面している課題です。 例えば、このような状況を考えてみましょう。同社は、開発から QA、ステージング、そして本番環境まで、100 個の Kubernetes クラスターを管理しており、アプリケーションがリアルタイムのビデオおよびオーディオ データ ストリームを処理できるように、これらのクラスターは世界中の顧客ベースに地理的に近い場所に配置する必要がありました。 Kubernetes クラスターへの安全なユーザー アクセスを確保するには、企業は次の 3 つの問題に対処する必要があります。
プラットフォームチーム向けの注意事項エンタープライズ プラットフォーム チームの多くの目標の 1 つは、世界中に分散した IT チームがすべてのクラスターへのユーザー アクセスを一元的に管理できるようにすることです。目標は、Kubernetes インフラストラクチャへのアクセスを効果的に保護および管理すると同時に、監査ログとコンプライアンス レポートを大幅に簡素化することです。 プラットフォーム チームは、Kubernetes のゼロ トラスト アクセスの実装を検討し、Kubernetes 環境全体のセキュリティを確保するために、前述のベスト プラクティスを適用および実施する必要があります。すべてのクラスターにベスト プラクティスを手動で適用する必要がなくなるため、Kubernetes を大規模に運用する場合の IT 組織のリスクを大幅に軽減できます。 プラットフォーム チームは、Kubernetes のゼロ トラスト アクセスを設計する際に、次の 3 つの利点を考慮する必要があります。 1. RBAC を非常に柔軟にする: チーム メンバーの役割が変更された場合、アクセス権限は自動的に更新され、どのメンバーも自分の役割よりも多くの権限または少ない権限を持つことはありません。 2. アクセスを高速かつシンプルにする: 安全なシングル サインオンを通じて承認されたユーザーにシームレスなアクセスを提供し、クラスターへのアクセスの遅延を排除します。 3. インスタント シナリオ資格情報: 承認されたユーザーのサービス アカウントは、ユーザーがアクセスするとすぐにリモート クラスター上に作成され、証明書の有効期限が切れないように、ユーザーがログアウトすると自動的に削除されます。 Kubernetes クラスターとコンテナ化されたアプリケーションが拡大するにつれて、組織は 1 つまたは 2 つのクラスターを運用しているときには明らかではなかったセキュリティ リスクにますますさらされるようになります。したがって、プラットフォーム チームは、Kubernetes インフラストラクチャ全体のクラスターとアプリケーションに対して、集中型のエンタープライズ レベルのセキュリティと制御を実装する必要があります。 |
<<: IaC に関しては、Terraform と CloudFormation のどちらが優れていますか?
>>: YAML を記述せずに Kubernetes アプリケーションを管理するにはどうすればよいでしょうか?
皆さんと一緒にウェブサイトのランキングを分析してから、長い時間が経ちました。Baidu アルゴリズム...
モバイル写真共有アプリ「Picplz」の発表(写真提供:テンセントテクノロジー)テンセントテクノロジ...
2017年ハルビンで高等教育情報化発展セミナー開催【中国ハルビン、2017年11月24日】11月、「...
ウェブサイトや製品の運用については、孤立した状態や紙の上だけで議論することはできず、実際のデータに基...
少し前に、Tencent Cloud は 180 元 / 3 年の軽量クラウド サーバー アクティビ...
環境: SpringBoot2.7.12この記事では、Spring Integrationが提供する...
スピンサーバーの主な製品は、スタンドアロン サーバーと半仮想化サーバーの 2 つだけです。今回は、ウ...
Spring Cloud Config は、分散システムのインフラストラクチャおよびマイクロサービス...
多くの人が、なぜチャネル運営に多額の費用をかけているのに、結局効果がないのかと疑問に思うでしょう。広...
インターネットが富を生み出す奇跡は、数え切れないほどの人々をウェブマスターの仲間入りに駆り立てました...
エッジコンピューティング2.0の新時代へようこそ。2020年エッジコンピューティング業界サミットが間...
tmhhostの独立サーバーに台湾サーバーが追加されました。従来の香港CN2、米国CN2、米国高防、...
friendhosting は、デフォルトで KVM 仮想化、HDD raid10 アレイ、1Gbp...
COVID-19 パンデミックの間、企業の働き方は根本的に変化し、パブリック クラウド環境とプライベ...
私たちが知っている JVM メモリ領域は、ヒープとスタックです。これは一般的な区分であり、実行領域に...