Kubernetes (K8s) が世界をリードするコンテナ オーケストレーション プラットフォームになったのには理由があります。調査によると、現在、IT 企業の 74% が本番環境でコンテナ化されたワークロードにこれを使用しています。多くの場合、これはコンテナの構成、展開、管理を大規模に処理する最も簡単な方法です。しかし、Kubernetes を使用するとコンテナの使用が容易になりますが、セキュリティに関しては複雑さも増します。 Kubernetes のデフォルト構成では、デプロイされたすべてのワークロードとマイクロサービスに対して最適なセキュリティが常に提供されるわけではありません。さらに、企業は現在、悪意のあるサイバー攻撃から運用環境を保護するだけでなく、さまざまなコンプライアンス要件を満たす責任も負っています。 コンプライアンスは、ビジネスの継続性を確保し、評判の失墜を防ぎ、各アプリケーションのリスク レベルを判断する上で重要な要素となっています。コンプライアンス フレームワークは、容易な監視、チーム レベルの説明責任、脆弱性評価を通じてセキュリティとプライバシーの懸念に対処するように設計されています。これらはすべて、Kubernetes 環境に固有の課題をもたらします。 Kubernetes を完全に保護するには、クリーンなコード、完全な可観測性、信頼できないサービスとの情報交換の防止、デジタル署名など、多面的なアプローチが必要です。ネットワーク、サプライ チェーン、継続的インテグレーション (CI)/継続的デリバリー (CD) パイプラインのセキュリティ、リソース保護、アーキテクチャのベスト プラクティス、シークレットの管理と保護、脆弱性スキャン、コンテナー ランタイム保護も考慮する必要があります。コンプライアンス フレームワークは、企業がこうした複雑さをすべて体系的に管理するのに役立ちます。 ここでは、5 つの主要なセキュリティ フレームワークと、それらが企業が Kubernetes をより安全に使用するのにどのように役立つかについて説明します。 1. インターネットセキュリティセンター (CIS) Kubernetes ベンチマーク長い歴史を持つ世界的なセキュリティ組織であるインターネット セキュリティ センター (CIS) は、クラスター コンポーネントの構成に関する業界標準の推奨事項を提供し、Kubernetes のセキュリティ体制を強化する「客観的でコンセンサス主導のセキュリティ ガイド」として Kubernetes ベンチマークを作成しました。レベル 1 の推奨事項は実装が比較的簡単であり、通常はビジネス機能に影響を与えることなく、大きなメリットをもたらします。レベル 2 または「多層防御」の推奨事項は、より包括的な戦略を必要とするミッションクリティカルな環境向けです。 CIS は、クラスター リソースがベースラインを満たしていることを確認し、準拠していないコンポーネントに対してアラートを生成するツールも提供します。 Center for Internet Security (CIS) フレームワークは、すべての Kubernetes ディストリビューションで利用できます。
2. Kubernetes 向け NIST アプリケーション コンテナ セキュリティ米国政府の国立標準技術研究所 (NIST) は、自主的なフレームワークの一環として、特定のアプリケーション コンテナ セキュリティ ガイダンスを提供しています。このガイドでは、イメージ、レジストリ、オーケストレーター、コンテナー、ホスト オペレーティング システムなどの Kubernetes 環境のセキュリティ上の課題に焦点を当て、ベスト プラクティスに基づいた対策を示します。 たとえば、NIST は、Kubernetes (またはその他のオーケストレーター) のネイティブ管理機能を活用して機密情報を提供し、実行時にこのデータを Web アプリケーション コンテナーに安全にプロビジョニングし、Web アプリケーション コンテナーのみが機密情報にアクセスできるようにし、データがディスクに保存されないようにすることを推奨しています。
3. NSA と CISA の Kubernetes 強化ガイド国家安全保障局 (NSA) とサイバーセキュリティおよびインフラストラクチャセキュリティ庁 (CISA) は最近、Kubernetes 強化ガイドをリリースしました。このガイドでは、Kubernetes クラスターに対する特定の脅威について説明および詳細に説明し、次の 5 つの主要領域における強化ガイダンスを提供しています。
このレポートでは、悪意のある行為者とインフラストラクチャレベルの内部脅威の両方によるサプライチェーンリスクの危険性を強調し、一般的な脆弱性を特定し、誤った構成を回避するためのベストプラクティスを推奨しています。
4. Kubernetes 用 MITRE ATT&CK® マトリックス広く認知されている MITRE ATT&CK (敵対的戦術、手法、および共通知識) マトリックスから開発された Kubernetes 脅威マトリックスは、今日の主要なサイバー脅威とハッカーの手法に基づいた異なるアプローチを採用しています。 このマトリックスは、攻撃者の攻撃ライフサイクル全体と共通のターゲット プラットフォーム上で脅威モデリングを実行するために使用され、侵害の指標と攻撃の指標の両方を提供します。敵対的アプローチにより、すべてのセキュリティおよび侵入チームは堅牢な脅威モデルを構築し、サイバー攻撃に対するより包括的な対応策を開発できるようになります。
5. Kubernetes の PCI DSS コンプライアンスペイメント カード業界データ セキュリティ標準 (PCI DSS) は、ペイメント カード データを保存、処理、または送信するすべての企業に要求される一連の必須の技術要件と運用要件です。その基本原則は、カード所有者のデータが保存および処理される環境をセグメント化することです。 Kubernetes では、論理レベル、ネットワーク レベル、およびサービス レベルのセグメンテーションを使用してこれが行われます。 コンテナとマイクロサービスはコア PCI DSS 標準では直接取り上げられていませんが、クラウド コンピューティング ガイドラインではコンテナ オーケストレーションに関するガイダンスが補足されています。 Kubernetes では、オープン ソース パッケージング、コンテナーの寿命、無秩序な広がり、接続性などの特定の属性により、PCI DSS コンプライアンスが複雑になります。さらに、コンテナはトランザクションを処理するときに、プラットフォーム上の他のいくつかのコンポーネントと通信します。 たとえば、企業が 1 つ以上の専用 Kubernetes サーバーで 1 つ以上のコンテナを実行している場合、スコープ設定、セグメンテーションと認証、および顧客データ間の分離が PCI DSS 要件を満たしていることを確認する責任があります。
要約するKubernetes は、速度や俊敏性など、大きなメリットをもたらします。ここで説明したフレームワークに従うことで、それに伴うリスクを最小限に抑えることができます。チームが業界のベスト プラクティスを採用するように導くことは非常に重要であり、これらのフレームワークの 1 つ以上を採用することが、脆弱性評価と継続的なセキュリティを標準化する最善の方法となることがよくあります。 コンプライアンスには事前の作業が必要になる場合がありますが、回復力と長期的な事業継続性という点で得られるメリットはそれだけの価値があります。多くの場合、企業は非効率的なプロセスやサービスの最適化や排除などの付随的なメリットも発見します。これにより、Kubernetes 環境を完全に保護し、ベスト プラクティスへの準拠を確保しながら、長期的にはコストを節約し、チームの管理負担を軽減できる可能性があります。 |
<<: クラウド自動化がサイバーセキュリティの未来にとって重要な理由
>>: Red Hat の Cao Hengkang: CentOS 以降の時代に、企業はどのように Linux プラットフォームを選択すべきでしょうか?
Solarvps は 2005 年に設立され運営されているブランドで、fortressitx (19...
ArmorSharkは、OpenStackクラウドプラットフォームを基盤レイヤーとしてKVMを使用し...
昨年の628から今年のGreen RadishとPomegranateアルゴリズムの数回のメジャーア...
クラウド コンピューティングの時代において、マネージド サービス プロバイダーが重要な位置を占めてい...
皆様、タイトルだけの投稿に30件のコメントがつくとは思っていませんでした。約1週間前、実家から突然、...
テンセントテクノロジーニュース(潮汇)北京時間9月8日、海外メディアの報道によると、アップルはノキア...
Henghost(Hengchuang Technology)は、香港クラウドサーバー、香港独立サー...
デジタル変革の波を受けて、企業や組織のデジタル構築の需要が急速に高まっています。ますます多くの企業や...
オンライン マーケティングの発展に伴い、オンライン マーケティングはもはや大企業だけの領域ではなくな...
毎日 SEO を行っている友人にとって、最大の悩みは、ウェブサイトのキーワードランキングが下がってい...
顧客のニーズ豊富な事業分野、多数の子会社を持ち、産業エコシステムの構築に取り組む大規模なグループ企業...
インターネットブランドは、オフラインで活動し、人々の空間に侵入し、現実世界で見られるようになることが...
テレビドラマの魔術師のように検索エンジンの今後の発展を予測できるわけではありませんが、近年の発展傾向...
4月6日、GEM上場企業であるSanwu.comが、政府機関の公印を偽造し、nanjing.cnを含...
テンセントテクノロジーニュース(楽天)7月4日のニュースによると、China.comは本日、「信頼で...