VMware は、企業がクラウドとデータセンターで Kubernetes 構成を安全に保護できるよう支援します。

Amazon EKS、Azure Kubernetes Service、Google Kubernetes Engineをサポート

VMware Tanzu Kubernetes Grid、Red Hat OpenShift、Rancher、その他のセルフマネージドKubernetes

Kubernetes リソースはクラウド アカウント管理者ロールに間接的にアクセスできる必要がありますか?答えは「いいえ」ですが、最小権限の原則に違反する構成は非常に一般的であり、壊滅的なクラウド アカウントの乗っ取りにつながることがよくあります。

最近の VMware^の調査1によると、企業の 97% が Kubernetes のセキュリティ問題を抱えています (図 1)。セキュリティとコンプライアンスの要件を満たすことが、Kubernetes の導入 (回答者の 59%) と管理 (回答者の 47%) の両方において最大の課題として浮上しています。 Kubernetes のベスト プラクティスの理解不足と、その結果生じる誤った構成は、クラウド ネイティブ アプリケーションのセキュリティに大きな脅威をもたらします。

図 1. Kubernetes の最大の課題: セキュリティとコンプライアンスの要件を満たすこと

マルチクラウドによりKubernetesのセキュリティリスクが増大

現在、Kubernetes ワークロードを本番環境で実行している企業は、オンプレミス (47%) や単一のパブリック クラウド (42%) よりも、複数のパブリック クラウド サービス プロバイダー (52%) を選択してクラウド ネイティブ アプリケーションを実行する傾向が高まっています。さらに、各クラウド サービス プロバイダーは独自の方法でマネージド Kubernetes サービスを展開するため、開発者はマネージド Kubernetes クラスターでデータベース、サーバーレス コンピューティング、ロード バランサーなどの基本的なクラウド サービスを簡単に使用できます。そのため、Kubernetes とクラウド リソースの関係を含むアプリケーション インフラストラクチャ全体の可視性が、セキュリティ リスクを理解する上で最も重要になります。さらに、開発者や IT チームにとって、すべてのクラウド サービス プロバイダーとデータ センターにわたるセキュリティ体制を管理するための統一されたアプローチを確立することは容易ではありません。

Kubernetes とクラウド セキュリティ態勢管理

CloudHealth Secure State は、Kubernetes とクラウド セキュリティ ポスチャ管理 (KSPM) の統合機能を提供し、パブリック クラウドまたはデータ センター内のマネージドおよびセルフマネージド Kubernetes クラスターを含む 500 種類のサービスとリソース タイプにわたる構成ミスのリスクを顧客に詳細に可視化します。

図 2 違反: EKS ServiceAccount には特権 IAM ロールが付与されない

セキュリティ リスクに関するより深い洞察を得る:ユーザーは、マルチクラウド検索を活用して Kubernetes リソース構成を検査し、クラスター内外の他のリソースとの関係を視覚化できるようになりました。 1,000 のセキュリティ ベスト プラクティスと 20 のコンプライアンス フレームワークをサポートしているため、ユーザーは Kubernetes ServiceAccount ロールとクラウド アカウント管理者の IAM ロール間の接続など、高度なリスクをプロアクティブに特定してクラウド ハイジャックを防ぐことができます (図 2)。 Amazon EKS、Azure Kubernetes Service、Google Kubernetes Engine、Tanzu Kubernetes Grid、Red Hat OpenShift、Rancher などのサポートにより、Kubernetes 開発チームはインフラストラクチャのセキュリティとコンプライアンスを向上させ、パブリック クラウドまたはデータ センターで最新のアプリケーションをサポートできます。

予防対応の迅速化: CloudHealth Secure State は、構成変更通知から 6 秒以内にセキュリティおよびコンプライアンス違反の 95% を検出し、拡散半径に基づいて各違反にリスク スコアを割り当てるイベント駆動型のマイクロ インベントリ アーキテクチャを開発しました。これにより、ユーザーは最もリスクの高い違反を簡単に区別して優先順位を付けることができます。当社のローコード アプローチを使用すると、ユーザーは数分でカスタム セキュリティおよびコンプライアンス ルールとフレームワークを作成し、ガバナンス標準をさらに強化し、他の方法では検出できない誤った構成を発見できます。私たちの使命は、犯罪者がビジネスに侵入する前に、チームがセキュリティの問題を積極的に特定して解決できるように支援することです。

図3: 開発者がテストのために1か月のセキュリティ例外を要求する

セキュリティ対策の実装が容易: 大規模企業では、クラウド セキュリティを実現するための鍵は、分散したチームにアラートを効率的に配信し、誤検知を減らすことです。 CloudHealth Secure State は、管理者がアラート メッセージをカスタマイズし、会社のセキュリティ ポリシーと修復手順に関するガイダンスを提供できる高度なアラート フレームワークを提供します。自動化により、開発者はセキュリティ ポリシー、リスク、リソース タグなどの定義済みの基準に基づいてセキュリティ ポリシーの例外を要求し、アラートの数を減らすことができます。管理者は、無効なリクエストを拒否したり、特定の期間にセキュリティ例外を一括で承認したりすることができます (図 3)。インタラクティブなワークフローにより、セキュリティ管理者と開発者間の効率的なコラボレーションが確保され、リスクが最小限に抑えられます。

^1出典：Kubernetesの現状 2022、VMware