Kubernetes クラスターを保護するための 3 つの重要な要素

Kubernetes クラスターを保護するための 3 つの重要な要素

コンテナベースのテクノロジーが急速に採用されるにつれて、組織は Kubernetes クラスターのセキュリティについてますます懸念するようになっています。クラウドおよびエンタープライズ ディストリビューションは強力なセキュリティ機能を提供しますが、組織のセキュリティ要件に合わせて調整する必要があります。

この記事では、Kubernetes クラスターを保護する際に考慮すべき 3 つの重要な側面について説明します。

  • ロールベースのアクセス制御 (RBA)
  • オープン ポリシー エージェント (OPA)
  • ネットワークポリシー

ロールベースのアクセス制御

3 つのアプリケーション チーム (ブルー チーム、グリーン チーム、レッド チーム) を持つ組織を考えてみましょう。これらのチームは異なる製品を開発しているため、Kubernetes クラスターにアクセスするための異なる権限を付与する必要があります。たとえば、グリーン チームとレッド チームは、ブルー チームによってデプロイされたクラスターを表示、アクセス、または削除できないようにする必要があります。

RBAC は、ユーザーがアクセスできる Kubernetes リソースを制御する方法です。 RBAC はデフォルトで有効になっていますが、使用するには設定する必要があります。

RBAC には 5 つの重要な要素があります。

  • トピック - ユーザーとプロセス
  • リソース - アクセスを制限する必要があるオブジェクト
  • アクション - 実行できる操作の集合(アクションと呼ばれることが多い)
  • ロール - APIリソースをアクションに接続するオブジェクト
  • アクターバインディング - アクターをテーマに接続するオブジェクト

前の組織に戻り、ブルーチームだけがポッド、デプロイメント、サービスを作成、削除、一覧表示できるポリシーを定義しましょう。

まず、「role-blue」というロール オブジェクトを作成し、特定の Kubernetes リソースに対して実行できるアクションを定義します。この特定のケースでは、ロールにより、リソース(ポッド、デプロイメント、サービス)に対する作成、削除、一覧表示などのアクションが許可されます。

次に、「blue-rb」というキャラクターリグを作成します。このロール バインディングは「blue-ns」に属し、上記で作成したロール「role-blue」を「blue」という名前のブルー チームに関連付けます。

これらのリソースがクラスターで利用可能になると、「blue」チームのユーザーは「role-blue」で定義された操作を実行できるようになります。

オープンポリシーエージェント

Open Policy Agent (OPA) は、スタック全体にわたってポリシーの適用を統合するユニバーサル ポリシー エンジンです。高レベルの宣言型言語により、ポリシーをコードとして指定する柔軟性が提供されます。 OPA を使用して、Kubernetes、CI/CD パイプライン、または API ゲートウェイでポリシーを適用できます。 Kubernetes でこれをどのように使用し、実装するかを詳しく見てみましょう。

Kubernetes が OPA を実装するメカニズムは Gatekeeper と呼ばれます。これは、リクエストをインターセプトし、処理し、許可または拒否の応答を返すアドミッション コントローラとして設計および展開されます。

許可された場合、オブジェクトはクラスターにデプロイされます。それ以外の場合、リクエストは拒否され、ユーザーにフィードバックが提供されます。管理者は、コンテナまたは名前空間が消費できるメモリや CPU などのリソースを制限したり、特定のレジストリのイメージに基づいてコンテナのみを承認したり、NodePort サービスの作成を制限したり、標準の命名を強制したりするように Kubernetes に指示するポリシーを定義できます。

たとえば、名前空間で ResourceQuota が設定されている場合にのみ Pod の作成を許可するサンプル テンプレートと制約ポリシーを次に示します。


ネットワークポリシー

ネットワーク ポリシーは、アプリケーション中心であるという点を除いて、通常のファイアウォールと非常によく似ています。アプリケーションのネットワーク ポリシーを定義すると、コンテナは非常に動的な環境で継続的に作成および終了されるため、Kubernetes は関連するコンテナにそれらのルールを自動的に適用します。ネットワーク ポリシーは、これらのコンテナーに出入りするトラフィックを制御します。

デフォルトでは、Pod との間のネットワーク トラフィックは制限されません。まず、すべてのトラフィックを拒否し、必要なトラフィックのみを許可するルールを設定するのが良いでしょう。

デフォルトでは、Kubernetes はフラットなネットワーク構造を使用し、任意の Pod がクラスター内の他の Pod またはサービスと通信できるようにします。複数のアプリケーションまたは多層アプリケーションを含むクラスターでは、多層防御が通信層の保護に重要な役割を果たします。ネットワーク戦略によりこれが可能になります。

これは、「blue」名前空間のラベル「role=db」を持つポッドに次のルールを適用する「app1-network-policy」です。

  • [Ingress] ポート 6379 経由で ipBlock 172.17.0.0/24 からの接続を許可します。
  • [Ingress] 「role=frontend」のタグが付けられており、ポート 6379 でラベル「project=myproject」を持つ名前空間に属している場合、他のポッドからの接続を許可します。
  • [出力] ポッドはポート 5978 を介して IP 範囲 10.0.0.0/24 内の他のポッドと通信できます。

原題: Kubernetes クラスターを保護するための 3 つの重要な要素、著者: Avinash Desireddy

<<:  エンタープライズレベルのオープンソースは止められない、そしてRed Hatは新しいIT標準をリードする

>>:  Kubernetes ログ収集の一般的なルーチン。これを使えば間違いはありません。

推薦する

究極の予測: 2018 年にウェブサイトはどの程度の収益を上げるでしょうか?

編集者注: Murthy Nukala 氏は、多くの有名ブランドに広告テクノロジーを提供する企業、A...

簡潔な分析:垂直産業フォーラム運営の欠点が明らかに

時の流れは早く、あっという間に2013年は水の流れのように人々の前から消え去り、新しい年2014年が...

4つの主流ソフトウェアアーキテクチャについて語る: サーバーレス、マイクロサービス、分散、モノリシック

ソフトウェア開発者がソフトウェアアーキテクチャの進化を理解していない場合、技術の選択と開発者の生存お...

クラウド移行を止めないでください

アプリケーションまたはクラウドの移行を早期に停止すると、まったく移行しない場合よりも大きな損害が発生...

このウェブサイトは、ユーザーの個人情報を閲覧する「盗撮」サービスを22元で販売している。

「友達追加を強制」「フォトアルバムやログを閲覧可能」...新快報:「友達追加を強制」、「写真アルバム...

エッジコンピューティングは5Gの真の可能性を引き出す鍵

[[434589]] 5G に対する期待は長年にわたってますます高まっており、業界全体でそれがもたら...

通信事業者はクラウド主権を強化し、もはや舞台裏で大物でありたくないと考えている

中国電信や中国移動に代表される「キャリアクラウド」は、デジタル市場において見過ごされつつある新たな変...

SEO 診断ノート: マニュライフ バイブレーション エンタープライズ ウェブサイトの分析 (パート 2)

前回の記事「SEO診断ノート:Manulife Vibration Enterpriseウェブサイト...

ウェブサイトのキーワードタグは役に立ちますか?

以前の多くのウェブサイト プログラムでは、キーワード タグがデフォルトで設定されていました。その後、...

#推奨 VPS# vpsnet-5USD/Xen/1GB RAM/40GB SSD/1TB トラフィック

理由は不明ですが、UK2 グループの VPS ブランドである vps.net が、英国ロンドンと米国...

pqhosting: 年間 30 ユーロ、1Gbps 帯域幅、無制限トラフィック、2G メモリ/2 コア/30g SSD、香港/米国/オランダ/モルドバ/ウクライナ/ラトビア

pqhosting はモルドバで設立されたホスティング会社です。主に VPS と専用サーバーを運営し...

マネージド Kubernetes サービス: 最新のクラウド インフラストラクチャのアップグレードを加速

コストの削減と効率性の向上は、イノベーションと開発における永遠のテーマです。過去10年間、開発者はコ...

#黑5# raksmart: VPS半額、無制限のCN2サーバー、10Gbpsの帯域幅 Du Fu

Raksmart データセンターは、感謝祭とブラックフライデーに以下のプロモーションを実施しています...

hostvdsはどうですか?米国ダラスデータセンターの評価

Hostvds は、OpenStack クラウド アーキテクチャに基づくクラウド サーバー、NVMe...