現在、多くの組織がアプリケーションの実行に Kubernetes を採用しています。そのため、Kubernetes を新しいデータセンター オペレーティング システムと呼ぶ人もいます。その結果、組織は Kubernetes (多くの場合、k8s と略される) を、サイバーセキュリティを含む成熟したビジネス プロセスを必要とするミッション クリティカルなプラットフォームとして認識し始めています。
この新しいプラットフォームの保護を任されているサイバーセキュリティ チームは、それが驚くほど異なることに気付くかもしれません。たとえば、デフォルトの Kubernetes ポリシーでは、すべての接続が許可されます。 この記事では、Kubernetes ネットワーク ポリシーの仕組み、従来のファイアウォール ポリシーとの比較、Kubernetes アプリケーションのセキュリティ保護に役立つ注意点とベスト プラクティスについて説明します。 Kubernetes ネットワークポリシー Kubernetes は、プラットフォームにデプロイされたアプリケーションに対してレイヤー 3 セグメンテーションを適用するために使用できるネットワーク ポリシーと呼ばれるメカニズムを提供します。ネットワーク ポリシーには、レイヤー 7 制御や脅威検出などの最新のファイアウォールの高度な機能はありませんが、出発点として適切な基本的なネットワーク セキュリティを提供します。 ネットワークポリシーはポッド通信を制御する Kubernetes ワークロードは、一緒にデプロイされた 1 つ以上のコンテナーで構成されるポッド内で実行されます。 Kubernetes は、各ポッドに、基盤となるサーバー間でも他のすべてのポッドからルーティング可能な IP アドレスを割り当てます。 Kubernetes ネットワーク ポリシーは、仮想マシン インスタンスへのアクセスを制御するために使用されるクラウド サービスのセキュリティ グループと同様に、ポッド グループのアクセス権限を指定します。 ネットワークポリシーの作成 他の Kubernetes リソースと同様に、ネットワーク ポリシーは YAML と呼ばれる言語を使用して定義できます。以下は、ロードバランサーから postgres へのアクセスを許可する簡単な例です。
独自のネットワーク ポリシーを記述するには、YAML の基本を理解している必要があります。 YAML はインデント (タブではなくスペースを使用) に基づいています。インデントされた項目は、その上にある最も近いインデントされた項目に属します。ハイフン (ダッシュ) は新しいリスト項目を開始します。その他の項目はすべてマップエントリです。 YAML に関する大量の情報はインターネット上で見つかります。 ポリシー YAML ファイルを書き込んだ後、kubectl を使用してポリシーを作成します。
ネットワークポリシー定義 ネットワーク ポリシー定義は、次の 4 つの要素で構成されます。 podSelector: このポリシーの対象となるポッド (ポリシー ターゲット)。必須 policyType: このポリシーに含まれるポリシーの種類 (ingress または egress) を指定します。このオプションはオプションですが、常に明示的に指定することをお勧めします。オプション ingress: ターゲット ポッドへのトラフィックを許可します。オプション 出力: ターゲット ポッドからの送信トラフィックを許可します。オプション 次の例は、Kubernetes Web サイトから改変したもので (「role」を「app」に置き換えています)、4 つの要素を指定しています。
4 つの要素をすべて含める必要はないことに注意してください。 podSelector は必須ですが、他の 3 つはオプションです。 policyType を省略すると、次のように推論されます。
エラーを回避するには、常に policyType を明示的に指定することをお勧めします。 イングレスまたはエグレス定義が提供されていない場合、上記のロジックに基づいてそれらが存在すると想定すると、ポリシーはそれらを「許可されていないトラフィック」と見なします。 デフォルトのポリシーでは、 ポリシーが定義されていない場合、Kubernetes はすべての通信を許可します。すべてのポッドは互いに自由に通信できます。これはセキュリティの観点からは直感に反するように聞こえるかもしれませんが、Kubernetes はアプリケーションの通信を望む開発者によって設計されたことを覚えておいてください。ネットワーク ポリシーは、後から機能強化として追加されました。 名前空間 名前空間は、名前空間環境を相互に分離するように設計された Kubernetes のマルチテナント メカニズムですが、名前空間間の通信はデフォルトで許可されています。 ほとんどの Kubernetes エンティティと同様に、ネットワーク ポリシーは特定の名前空間に存在します。メタデータ ヘッダーは、ポリシーがどの名前空間に属しているかを Kubernetes に伝えます。
メタデータの名前空間を明示的に指定しない場合は、kubectl によって提供される名前空間が適用されます (デフォルトは namespace=default)。
複数の名前空間に均一に適用されるポリシーを記述する場合を除き、名前空間を明示的に指定することをお勧めします。 ポリシー内の podSelector 要素は、ポリシーが属する名前空間からポッドを選択します (別の名前空間からポッドを選択することはできません)。 ingress 要素と egress 要素の podSelector は、namespaceSelector と一緒に使用しない限り、同じ名前空間内のポッドも選択します。 ポリシーの命名規則 ポリシーの名前は名前空間内で一意です。名前空間内に同じ名前のポリシーが 2 つ存在することはできませんが、異なる名前空間に同じ名前のポリシーが存在することは可能です。これは、複数の名前空間にポリシーを再適用する場合に非常に便利です。 私が気に入っている戦略的な命名方法の 1 つは、名前空間とポッドを組み合わせることです。次に例を示します。
ラベル ポッドや名前空間などの Kubernetes オブジェクトには、ユーザー定義のラベルを添付できます。 Kubernetes ネットワーク ポリシーは、ラベルを使用して適用するポッドを選択します。
または、それらが適用される名前空間。次の例では、ラベルに一致する名前空間内のすべてのポッドを選択します。
注意すべき点が 1 つあります。namespaceSelector を使用する場合は、選択した名前空間に実際に使用しているタグが含まれていることを確認してください。 default や kube-system などの組み込み名前空間には、すぐに使用できるラベルがないことに注意してください。次のようにして名前空間にラベルを追加できます。
メタデータ内の名前空間は、ラベルではなく、名前空間の実際の名前です。
送信元と送信先 ファイアウォール ポリシーは、ソースとエンドポイントを含むルールで構成されます。 Kubernetes ネットワーク ポリシーはターゲット (ポリシーが適用されるポッドのセット) に対して定義され、ターゲットの受信トラフィックまたは送信トラフィックが指定されます。同じ例をもう一度使用すると、ポリシーがデフォルトの名前空間内のラベル「db:app」を持つすべてのポッドを対象としていることがわかります。
このポリシーの Ingress 項目は、ターゲット ポッドへの着信トラフィックを許可します。したがって、入力は「送信元」として解釈され、宛先はそれぞれの「エンドポイント」として解釈されます。同様に、egress は「宛先」として解釈され、target はそれぞれの「ソース」として解釈されます。 出力とDNS 出力を実行するときは、Kubernetes がサービスの名前を IP アドレスに解決するために使用する DNS をブロックしないように注意する必要があります。そうでない場合、balance に DNS ルックアップの実行を許可していないため、このポリシーは機能しません。
これを修正するには、DNS サービスへのアクセスを許可する必要があります。
「to」要素は空で、すべての名前空間内のすべてのポッドが暗黙的に選択され、balance が Kubernetes の DNS サービス (通常は kube-system 名前空間に配置) を介して DNS ルックアップを実行できるようになります。 これは機能しますが、許可が多すぎて安全ではありません。クラスター外部の DNS ルックアップを許可してしまうからです。 段階的にロックすることができます: 1. namespaceSelector を追加して、クラスター内でのみ DNS ルックアップを許可します。
2. kube-system名前空間でのみDNSを許可する これを行うには、kube-system 名前空間にラベルを追加する必要があります。
次に、namespaceSelector を使用してポリシーで指定します。
3. 心配性な人は、さらに一歩進んで、DNS を kube-system 名前空間内の特定の DNS サービスに制限したいかもしれません。以下の「名前空間とポッドによるフィルタリング」セクションを参照してください。 もう 1 つのオプションは、名前空間レベルで DNS を許可することです。これにより、各サービスに対して DNS を指定する必要がなくなります。
空の podSelector は、名前空間内のすべてのポッドを選択します。 最初のマッチとルールの順序 ファイアウォール管理者は、パケットに対して実行されるアクション (許可または拒否) は、それに一致する最初のルールによって決定されることを知っています。しかし、Kubernetes では、ポリシーの順序は重要ではありません。ポリシーが定義されていない場合のデフォルトの動作では、すべての通信が許可され、すべてのポッドが相互に通信できるようになります。ポリシーが定義されると、少なくとも 1 つのポリシーによって選択された各ポッドは、それを選択したポリシーの結合 (論理 OR) に従って分離されます。 どのポリシーでも選択されていないポッドは開いたままになります。クリーンアップ ルールを定義することで、この動作を変更できます。 クリーンアップルール(拒否) ファイアウォール ポリシーでは通常、any-any-any-deny ルールを使用して、明示的に許可されていないすべてのトラフィックをドロップします。 Kubernetes には拒否アクションはありませんが、policyTypes=Ingress を指定して実際のイングレスの定義を省略し、「イングレスを許可しない」と解釈される通常のルールを使用することで、同じ効果を実現できます。
このポリシーは、名前空間内のすべてのポッドをソースとして選択し、イングレス (つまり、トラフィックが許可されない) を定義しません。 同様に、名前空間からのすべての送信トラフィックを拒否することもできます。
名前空間内のポッドへのアクセスを許可するその他のポリシーは、この拒否ポリシーよりも優先されることに注意してください。これは、ファイアウォールの拒否ポリシーの上に許可ポリシーを追加するのと同じです。 任意任意許可 上記の deny-all ポリシーを空の ingress 要素で変更することで、allow-all ポリシーを作成できます。
これにより、すべての名前空間内のすべてのポッド (および IP) からデフォルトの名前空間内の任意のポッドへの通信が可能になります。これはデフォルトの動作なので、通常は必要ありません。ただし、問題を特定するには、他のすべてのルールを一時的に無効にすると役立つ場合があります。 このスコープを狭めて、デフォルトの名前空間内の特定のポッド セットへのアクセスのみを許可することができます。
次のポリシーは、すべての受信トラフィックと送信トラフィック (クラスター外部の IP へのアクセスを含む) を許可します。
複数の戦略を組み合わせる 戦略は、3 つのレベルで論理 OR を使用して結合されます。各ポッドは、適用されているすべてのポリシーの組み合わせに基づいて、通信を許可するかどうかを決定します。 1. 「from」および「to」項目では、「or」で結合される 3 種類の項目を定義できます。
from/to の下に任意の数の項目を定義できます (同じタイプの複数の項目も可)。それらは論理 OR を使用して結合されます。
2. ポリシーでは、イングレス ポリシーに複数の「from」項目を含めることができ、それらは論理 OR によって結合されます。同様に、出力ポリシーには複数の「to」項目を含めることができ、これらも論理 OR によって結合されます。
3. 複数の戦略も論理 OR を通じて組み合わせられます。 ただし、ポリシーを組み合わせる場合、いくつかの制限があります。Kubernetes は、異なる policyType (ingress または egress) のポリシーのみを組み合わせることができ、ingress (または egress) を指定する複数のポリシーは互いに上書きされます。 名前空間間の通信 デフォルトでは、名前空間間の通信が許可されます。これを変更するために、すべて拒否ポリシーを使用して、その名前空間との間の通信をブロックすることができます。 名前空間へのアクセスをブロックする場合は、namespaceSelector を使用して特定の名前空間からのアクセスを許可できます。
これにより、デフォルトの名前空間内のすべてのポッドがデータベース名前空間の postgres ポッドにアクセスできるようになります。しかし、デフォルトの名前空間内の特定のポッドのみが postgres にアクセスできるようにしたい場合はどうすればよいでしょうか? 名前空間とポッドの組み合わせでフィルタリング Kubernetes 1.11 以降では、論理 AND を使用して namespaceSelector と podSelector を組み合わせることができます。
なぜこれは「または」ではなく「かつ」と解釈されるのでしょうか? podSelector はダッシュで始まっていないことに注意してください。これは、yaml では podSelector が前の namespaceSelector と同じリスト項目に属していることを意味するため、それらは論理 AND で結合されます。 podSelector の前にダッシュを追加すると、前の namespaceSelector と論理的に OR される新しいリスト項目が作成されます。すべての名前空間で特定のラベルを持つポッドを選択するには、空の namespaceSelector を指定します。
複数のタグは論理積を介して結合されます 複数のオブジェクト (ホスト、ネットワーク、グループなど) を含むファイアウォール ルールは、論理 OR として解釈されます。たとえば、パケットの送信元が HOST_1 または HOST_2 と一致する場合、次のルールが適用されます。 対照的に、Kubernetes では、podSelector と namespaceSelector 内の複数のラベルは論理 AND を使用して結合されます。たとえば、これは role=db と version=v2 の両方のラベルを持つポッドを選択します。
同じロジックが、ポリシー ターゲット セレクター、ポッド セレクター、名前空間セレクターなど、すべてのタイプのセレクターに適用されます。 サブネットと IP アドレス (ipBlock) ファイアウォールは、VLAN、IP、サブネットを使用してネットワークをセグメント化します。 Kubernetes では、ポッド IP は自動的に割り当てられ、頻繁に変更される可能性があるため、ネットワーク ポリシーではラベルを使用してポッドと名前空間を選択します。サブネット (ipBlock) は、入力または出力接続 (南北) に使用されます。たとえば、次のポリシーでは、デフォルトの名前空間内のすべてのポッドが Google の DNS サービスにアクセスできるようになります。
この場合、空の podSelector は「この名前空間内のすべてのポッドを選択する」ことを意味します。このポリシーは 8.8.8.8 へのアクセスのみを許可し、他の IP へのアクセスは拒否します。つまり、実際には、Kubernetes 内部 DNS サービスへのアクセスがブロックされていることになります。それでも許可したい場合は、明示的に指定する必要があります。 通常、ipBlock と podSelector は相互に排他的です。これは、通常、ipBlock では内部ポッド IP を使用しないためです。内部ポッド IP で ipBlock を指定すると、実際にはそれらの IP を持つポッドとの通信が許可されます。しかし、実際にはどの IP を使用するかは不明であるため、ポッドの選択に IP を使用しないでください。 次のポリシーにはすべての IP が含まれており、他のすべてのポッドへのアクセスが許可されます。
内部 IP を除外することで、外部 IP のみへのアクセスを許可できます。たとえば、ポッドのサブネットが 10.16.0.0/14 の場合:
ポートとプロトコル 通常、ポッドは 1 つのポートのみをリッスンするため、ポリシーでポートを省略して、デフォルトで任意のポートを許可することができます。ただし、明示的に指定された限定されたポートにポリシーを設定することをお勧めします。
ポートは、それが出現する「to」または「from」句内のすべての項目に適用されることに注意してください。異なるアイテムに異なるポートを指定する場合は、イングレスまたはエグレスを複数の「to」または「from」エントリに分割し、それぞれに独自のポートを設定できます。
ポートのデフォルトの動作:
ベスト プラクティス: デフォルトの動作に依存せず、明示的に指定します。 サービスのポートではなく、ポッドのポートを使用する必要があることに注意してください。 ポリシーはポッドまたはサービスに対して定義されていますか? Kubernetes 内のポッドが別のポッドにアクセスする場合、通常はサービス (サービスを実装するポッドにトラフィックを転送する仮想ロード バランサー) を経由します。ネットワーク ポリシーがサービスへのアクセスを制御すると思われるかもしれませんが、そうではありません。 Kubernetes ネットワーク ポリシーは、サービス ポートではなくポッド ポートに適用されます。 たとえば、サービスがポート 80 でリッスンしているが、ポート 8080 でリッスンしているポッドにトラフィックを転送する場合は、ネットワーク ポリシーでポート 8080 を指定する必要があります。 この設計は最適ではありません。サービスの内部動作 (ポッドがリッスンしているポートなど) が変更されると、ネットワーク ポリシーを更新する必要があるためです。 どうやらこの問題には解決策があり、それはハードコードされた数値ポートの代わりに名前付きポートを使用することです。
ポッド定義でこのポートの名前を指定する必要があります。
これにより、ネットワーク ポリシーがポッドから切り離されます。 イングレス Kubernetes では、「ingress」という用語には 2 つの意味があります。
Kubernetes イングレスからのアクセスを制限するために k8s ネットワーク ポリシーを記述することもできますが、これはロード バランサーの内部 IP のみを制御するため、ほとんどの場合あまり役に立ちません。どの外部サブネットがクラスターにアクセスできるかを制御するには、外部の適用ポイント (ロード バランサー自体やロード バランサーの前にあるファイアウォールなど) でアクセス制御を構成する必要があります。 イングレスとエグレスの両方を定義する必要がありますか? 簡単に答えると、はいです。ポッド A がポッド B にアクセスできるようにするには、ポッド A が出力ポリシーを介して送信接続を作成できるようにし、ポッド B が入力ポリシーを介して受信接続を受け入れるようにする必要があります。 ただし、実際には、2 つの方向のいずれかにデフォルトの許可ポリシーを使用する場合があります。 ソース ポッドが 1 つ以上の出力ポリシーによって選択された場合、ポリシーの結合に基づいて制限されるため、宛先ポッドへの接続を明示的に許可する必要があります。ポッドがどのポリシーでも選択されていない場合は、デフォルトですべての送信トラフィックが許可されます。 同様に、1 つ以上のイングレス ポリシーによって選択されたターゲット ポッドも、ポリシーの組み合わせによる制限の対象となり、その場合は、ソース ポッドからのトラフィックを受け入れることを明示的に許可する必要があります。ポッドがどのポリシーでも選択されていない場合は、デフォルトですべての受信トラフィックが許可されます。 ホストネットワークトラップ Kubernetes は通常、独自の分離されたネットワーク内でポッドを実行します。ただし、ホスト上でポッドを実行するように Kubernetes に指示することはできます。
これにより、ネットワーク ポリシーが完全にバイパスされ、ポッドはホスト上で実行されている他のプロセスと同じように通信します。 トラフィックログ Kubernetes ネットワーク ポリシーではトラフィック ログを生成できません。これにより、戦略が期待どおりに機能しているかどうかを知ることが難しくなります。これは、セキュリティ分析の観点からも大きな制限となります。 外部サービスへのトラフィックの制御 Kubernetes ネットワーク ポリシーでは、出力用の完全修飾ドメイン名 (DNS) を指定することはできません。これは、aws.com など、固定 IP を持たない外部サイトへのトラフィックを制御する場合の制限です。 ポリシー検証 ファイアウォールは無効なポリシーに対して警告を発したり、無効なポリシーの受け入れを拒否したりします。 Kubernetes でも検証が行われました。 kubectl を使用してネットワーク ポリシーを定義すると、Kubernetes によってポリシーが無効であると通知され、受け入れを拒否される場合があります。それ以外の場合、Kubernetes はポリシーを取得し、不足している詳細を変更します。これは次のコマンドで確認できます。 kubernetes ネットワークポリシーを取得する Kubernetes の検証は絶対確実ではなく、ポリシーで特定の種類のエラーが許容される可能性があることに注意してください。 埋め込む Kubernetes 自体はネットワーク ポリシーを強制するものではなく、コンテナ ネットワーク インターフェイス (CNI) と呼ばれる基盤となるシステムに強制のハードワークを渡すだけの API ゲートウェイです。適切な CNI なしで Kubernetes クラスターでポリシーを定義することは、ファイアウォールがインストールされていないサーバー上でファイアウォール ルールを定義するようなものです。セキュリティ対応の CNI があることを確認するか、マネージド Kubernetes プラットフォームの場合は、CNI をインストールするネットワーク ポリシーを明示的に有効にする必要があります。 CNI でサポートされていないネットワーク ポリシーを定義した場合、Kubernetes は警告を発しないことに注意してください。 ステートフルかステートレスか? 現在、すべての Kubernetes CNI はステートフルであるため、ポッドは応答用に高ポートを開かなくても、開始した TCP 接続で応答を受信できます。ステートフル性を保証する Kubernetes 標準は知りません。 高度なセキュリティポリシー管理 Kubernetes のより高度なネットワーク ポリシーを実装する方法をいくつか紹介します。
要約する Kubernetes ネットワーク ポリシーはクラスターをセグメント化する優れた方法を提供しますが、直感的ではなく、多くの注意点があります。この複雑さのため、戦略に「バグ」を持つクラスターが多数存在するはずだと私は考えています。考えられる解決策としては、自動化されたポリシー定義やその他のセグメンテーション方法があります。その間、この記事が皆さんが抱えている問題の解明と解決に役立つことを願っています。 |
<<: Nutanixは、COVID-19の課題を乗り越えるパートナーとその顧客を支援するために特別な財政支援プログラムを提供しています。
>>: Spring BootでマルチテナントSaaSプラットフォームを構築するコア技術についてお話しします
Catalyst、この製品は5年前から存在しており(ドメイン名の更新は2017年に終了しました)、パ...
現在、ウェブサイトのユーザー エクスペリエンスの向上は、多くのウェブマスターの注目の的となっています...
昨年3月に、Alexaランキング1万位以下の国内ウェブマスターサイトを初めてまとめました。その時は合...
1. OICQ.comが14,000ドルで売却され、テンセントはお気に入りの古いドメイン名を放棄した...
ウェブサイトの SEO 診断は SEO サービスの一分野です。これまで具体的に言及されていませんでし...
最近、国際データコーポレーション(IDC)は最新の「中国クラウド専門サービス市場(2020年下半期)...
SEMプロモーションは今や企業からますます注目を集めています。限られたスペースでより重要な情報を表示...
今年、徐々に成熟し、導入に向けて順調に進んでいるように見えるクラウドコンピューティングも、実は内部的...
SEOはキーワードがすべて私は「do」という形容詞を使うのが本当に嫌いです。検索エンジンを圧倒しよう...
現代社会では、インターネットの急速な発展により、オンラインマーケティングはもはや目新しいものではなく...
5月28日、メディアはテンセントのユーザーに対して大きなジョークを飛ばした。このジョークの背後にある...
Budgetvmのカスタマーサービスから、中国の顧客向けに特別なウェブサイトを開発し、2つの特別割引...
エッジ コンピューティングは、データ転送コストと損失を削減することで、企業が効率的で信頼性の高いスト...
コスト効率の高いアメリカの VPS、皆さんが言いたいのは、コスト効率の高いアメリカの VPS、または...
2018 年 7 月 10 日、清華紫光集団は清華パブリッククラウドの商用試験利用を開始したことを発...