Kubernetes (K8s) が世界をリードするコンテナ オーケストレーション プラットフォームであり、現在 IT 企業の 74% が本番環境でコンテナ化されたワークロードにこれを使用しているのには理由があります。多くの場合、これはコンテナの構成、展開、管理を大規模に処理する最も簡単な方法です。 しかし、Kubernetes を使用するとコンテナの操作が容易になりますが、セキュリティに関しては複雑さも増します。 Kubernetes のデフォルト構成では、デプロイされたすべてのワークロードとマイクロサービスに対して最適なセキュリティが常に提供されるわけではありません。さらに、今日では、悪意のあるサイバー攻撃から環境を保護するだけでなく、さまざまなコンプライアンス要件を満たす責任も負っています。 コンプライアンスは、ビジネスの継続性を確保し、評判の失墜を防ぎ、各アプリケーションのリスク レベルを判断するために重要になっています。コンプライアンス フレームワークは、制御の簡単な監視、チーム レベルの説明責任、脆弱性評価を通じて、セキュリティとプライバシーの懸念に対処するように設計されています。これらはすべて、K8s 環境に固有の課題をもたらします。 Kubernetes を完全に保護するには、クリーンなコード、完全な可観測性、信頼できないサービスとの情報交換の防止、デジタル署名など、多面的なアプローチが必要です。ネットワーク、サプライ チェーン、CI/CD パイプラインのセキュリティ、リソース保護、アーキテクチャのベスト プラクティス、シークレットの管理と保護、脆弱性スキャン、コンテナ ランタイム保護も考慮する必要があります。 コンプライアンス フレームワークは、こうした複雑さをすべて体系的に管理するのに役立ちます。 5 つの主要なフレームワークと、それらが企業で Kubernetes をより安全に使用するのにどのように役立つかを見てみましょう。 1. インターネットセキュリティセンター (CIS) Kubernetes ベンチマーク長い歴史を持つ世界的なセキュリティ組織であるインターネット セキュリティ センター (CIS) は、クラスター コンポーネントの構成に関する業界標準の推奨事項を提供し、Kubernetes のセキュリティ体制を強化する「客観的でコンセンサス主導のセキュリティ ガイド」として Kubernetes ベンチマークを作成しました。 レベル 1 の推奨事項は実装が比較的簡単であり、通常はビジネス機能に影響を与えることなく、大きなメリットをもたらします。レベル 2 または「多層防御」の推奨事項は、より包括的な戦略を必要とするミッションクリティカルな環境向けです。 CIS は、クラスター リソースがベースラインに準拠していることを確認し、準拠していないコンポーネントに対してアラートを生成するツールも提供します。 CIS フレームワークは、すべての Kubernetes ディストリビューションで動作します。
2. Kubernetes 向け NIST アプリケーション コンテナ セキュリティ米国政府の国立標準技術研究所 (NIST) は、自主的なフレームワークの一環として、特定のアプリケーション コンテナ セキュリティ ガイダンスを提供しています。このガイドでは、イメージ、レジストリ、オーケストレーター、コンテナー、ホスト オペレーティング システムなどの Kubernetes 環境のセキュリティ上の課題に焦点を当て、ベスト プラクティスに基づいた対策を示します。たとえば、NIST は、Kubernetes (またはその他のオーケストレーター) の機能を活用して機密情報をローカルで管理し、実行時にこのデータを Web アプリケーション コンテナーに安全にプロビジョニングし、Web アプリケーション コンテナーのみがこの機密データにアクセスでき、ディスクに保存されないようにすることを推奨しています。
3. NSA および CISA Kubernetes 強化ガイド国家安全保障局 (NSA) とサイバーセキュリティおよびインフラストラクチャセキュリティ庁 (CISA) は最近、Kubernetes 強化ガイドをリリースしました。このガイドでは、Kubernetes クラスターに対する特定の脅威について説明および詳細に説明し、次の 5 つの主要領域で緩和ガイダンスを提供しています。
このレポートでは、悪意のある行為者とインフラストラクチャ レベルの内部脅威の両方によるサプライ チェーン リスクの危険性を強調し、一般的な脆弱性を特定して、誤った構成を回避するためのベスト プラクティスを推奨しています。
Kubernetes 用 MITRE ATT&CK® マトリックスKubernetes 脅威マトリックスは、広く認知されている MITRE ATT&CK (敵対的戦術、手法、および共通知識) マトリックスから開発されました。このマトリックスは、今日の主要なサイバー脅威とハッカーの手法に基づいた異なるアプローチを採用しています。このマトリックスは、攻撃者の攻撃ライフサイクルと共通のターゲット プラットフォーム全体にわたる脅威をモデル化するために使用され、侵害の指標と攻撃の指標を提供します。敵対的アプローチにより、すべてのセキュリティおよび侵入チームが強力な脅威モデルとより包括的な攻撃対応を作成できます。
5. Kubernetes の PCI DSS コンプライアンスペイメント カード業界データ セキュリティ標準 (PCI DSS) は、ペイメント カード データを保存、処理、または送信するすべての組織に必須の技術要件と運用要件のセットです。その基本原則は、カード所有者のデータが保存および処理される環境をセグメント化することです。 Kubernetes では、論理レベル、ネットワーク レベル、およびサービス レベルのセグメンテーションを使用してこれが行われます。コンテナとマイクロサービスはコア PCI DSS 標準では直接取り上げられていませんが、クラウド コンピューティング ガイドラインではコンテナ オーケストレーションに関するガイダンスが補足されています。 Kubernetes では、オープン ソース パッケージ、コンテナーの寿命、スケーラビリティ、接続性の特定の属性により、PCI DSS コンプライアンスが複雑になります。さらに、コンテナはトランザクションを処理するときに、プラットフォーム上の他のいくつかのコンポーネントと通信します。 たとえば、1 つ以上の専用 Kubernetes サーバーで 1 つ以上のコンテナが実行されている場合、スコープ設定、セグメンテーション、検証、および顧客データ間の分離が PCI DSS 要件を満たしていることを確認する責任があります。
まとめ: Kubernetes は、速度や俊敏性など、大きなメリットをもたらします。ここで説明したフレームワークに従うことで、付随するリスクを最小限に抑えることができます。業界のベスト プラクティスを採用するようにチームを導くことは非常に重要であり、これらのフレームワークの 1 つ以上を採用することが、脆弱性評価と継続的なセキュリティを標準化する最善の方法となることがよくあります。 コンプライアンスには事前の作業が必要になる場合がありますが、回復力と長期的なビジネス継続性というメリットはそれだけの価値があります。多くの場合、組織は非効率的なプロセスやサービスの最適化や排除などの追加の利点も発見します。長期的には、Kubernetes 環境を完全に保護し、ベスト プラクティスのコンプライアンスを確保しながら、クラウド コンピューティングを節約し、チームの管理負担を軽減できる可能性があります。 *オリジナル記事: https://dzone.com/articles/the-shifting-cloud-native-landscape-understanding |
<<: 調査によると、ITプロフェッショナルのうちクラウドネイティブセキュリティを理解しているのはわずか13.5%
>>: IDC:2021年後半、中国のクラウドプロフェッショナルサービス市場規模は118億人民元に達する
序文一般的な作業でよく使用される分散ロックは、Redis と ZooKeeper に基づいています。...
5月12日、Amazon Web Servicesと51CTOが共同で開始した毎週のライブ放送シリー...
[51CTO.com からのオリジナル記事] 7 年間の努力と見事な変貌。 2012年以降、6年連続...
Contabo はこれまでも VDS を公式に販売してきましたが、開始価格が高すぎるため、多くの人が...
ウェブマスターネットワークは10月30日、百度ウェブマスタープラットフォームが本日、外部リンクツール...
中国の自動運転市場が年々熱を帯び、産業政策の支援が継続的に増加し、インフラ建設が継続的に改善され、新...
yyyhostは中国人が運営する3年間のクラウドサーバーブランドです。主に米国、香港、韓国のデータセ...
李佳奇の「美独り占め」99日目、アクセス数と取引量が爆発的に増加した。 27日、天猫3.8ガールズデ...
馬華騰新浪科技は9月11日午前、2012年中国インターネット大会が北京で開催されたと報じた。テンセン...
LetBox はプロモーション用に特別価格の KVM 仮想 VPS をいくつかリリースしました。これ...
2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています人工知能の...
【IT Times 週刊深層観察】WeChatはこれまで悲惨な運命を辿ってきた。サービス開始直後から...
最近、業界ではSogouと360が合併するかどうかに注目が集まっています。明らかに、他の種類のウェブ...
はじめに: 雷軍はインターネットの考え方を「集中、極限、口コミ、高速」という 7 つの単語に凝縮しま...
ほとんどのオンライン マーケターは、有料メディア キャンペーンの分析という観点からランディング ペー...