Kubernetes を大規模に保護するための 3 つの重要なポイント

[51CTO.com クイック翻訳] Kubernetes コンテナはマルチクラウド環境で非常に人気があり、多くの業界で広く導入されています。オープンソースのコンテナオペレーティングシステムは「現代のアプリケーションスタックの未来を完全に作り変える」と、Sumo Logicの製品マーケティング担当副社長Kalyan Ramanathan氏は昨年書いている。

[[315061]]

しかし、2019 年に発生した一連のセキュリティ脆弱性からも明らかなように、採用の拡大はセキュリティ リスクをもたらしました。最初の脆弱性は 2018 年後半に発見され、Kubernetes アプリケーション プログラミング インターフェイス サーバーを介して、どのユーザーでもバックエンド サーバーへの接続を確立できるようになりました。

Platform9 のプロダクト マーケティング責任者である Kamesh Pemmaraju 氏は、使用されているクラスターとノードの数は増加していると述べています。回答者の中には、自社では 1 つまたは 2 つのクラスターで数百のノードを実行していると Platform9 に語った人もいました。多くの企業は、オンプレミスとパブリック クラウド インフラストラクチャの両方で Kubernetes を実行しています。

NeuVector の CTO である Gary Duan 氏と、Platform9 の共同設立者兼 CTO である Roopak Parikh 氏が、Kubernetes のセキュリティ機能を大規模に活用する 3 つの方法について講演しました。

「Kubernetes には、自身のインフラストラクチャのセキュリティに重点を置いた基本的なセキュリティ機能がいくつか備わっている」と Duan 氏は言う。 「これらには、ロールベースのアクセス制御 (RBAC)、シークレット管理、およびリソース管理に重点を置いたポッド セキュリティ ポリシーが含まれます。」

「ただし、Kubernetes は、ビジネス クリティカルな環境や、専用のコンテナ セキュリティ ツールなしで機密データを管理するアプリケーションには導入しないでください。重要な API サーバーなどの Kubernetes システムのコンテナ自体に脆弱性があり、攻撃者がオーケストレーション インフラストラクチャ自体を侵害する可能性があります。」

1. ロールベースのアクセス制御

昨年と比べて、本番環境レベルのソフトウェア アプリケーションが大幅に増加し、Kubernetes 上にデプロイされるデータやその他のアプリケーションも大幅に増加しました。企業は、Kubernetes を、本番環境に導入されたら各レイヤーで保護する必要がある複数のコンポーネントで構成された複雑な分散システムとして捉える必要があります。

アプリケーション層では、ネットワーク ポリシーを実装し、Kubernetes クラスターを内部認証プロバイダーに接続することを強くお勧めします。多くの場合、すべてのシステムを保護できますが、誰かが簡単に侵入できないように、キーを保護し、多要素認証と証明書を使用することも重要です。

Kubernetes オペレーターは、ユーザーが正しいロールを持っていることを確認し、特定のユーザーが特定のアプリケーションに関連付けられるように、ユーザーをさまざまなスペースに割り当てる必要があります。これらの役割は、システムの導入やアップグレードに合わせて拡張することもできます。

クラスター内の各アプリケーションは分離または区分化されている必要があります。これにより、責任者はどのユーザーがシステムのさまざまな部分を表示できるかを決定できます。

階層化されたセキュリティ アプローチは、多層防御に最適です。従来のセキュリティ ツールは Kubernetes 環境では効果がないた め、CI/CD パイプラインからランタイム環境までのライフサイクル全体を保護するために、クラウドネイティブ セキュリティ ツールを導入する必要があります。

これは、ビルド プロセス中の脆弱性スキャンから始まり、本番環境まで継続されます。レイヤー 7 コンテナ ファイアウォールなどの詳細なネットワーク可視性と保護がなければ、真の多層防御は実現できません。このコンテナに重点を置いたファイアウォールは、コンテナのマイクロセグメンテーション技術を使用して、ネットワークベースの攻撃、プローブ、スキャン、トリアージ、コンテナ間の横方向の移動を検出して防止できます。企業が導入を拡大するにつれ、パブリック クラウドとプライベート クラウドにまたがる数十、数百の Kubernetes クラスターを管理および保護するという管理上の課題に直面します。

集中的に適用されるフェデレーション グローバル セキュリティ ポリシーによるグローバル マルチ クラスター管理が重要な課題になります。

Kubernetes 上に Istio や Linkerd などのサービス メッシュを追加すると、ポッド間の通信が暗号化され、セキュリティも向上します。サービス メッシュには、DevOps チームが喜ぶその他の利点もあります。しかし、これにより、保護する必要があるインフラストラクチャに追加の攻撃ベクトルが導入されることになります。

2. 安全でないコードの検査

大規模な Kubernetes のセキュリティを確保するには、コードを監視することが重要です。会社でサードパーティのアプリケーションや社内アプリケーションを実行している場合、それらのコードが安全かどうかをどのように確認しますか?システム オペレーターは、実行しているバージョンと、どのような種類のセキュリティ脆弱性が存在するかを自問する必要があります。

安全でないコードがあるかどうか、または古いバージョンの Python ライブラリが使用されているかどうかを確認するには、スキャンが必要です。こうした詳細を見つけてレポートを生成するのに役立つツールが存在します。これに基づいて、これらのアプリケーションの実行を拒否または許可することができます。

多くの企業は、セキュリティ ポリシーをコードとして宣言することができ、デプロイされた新しいサービスのアプリケーション動作は標準の YAML ファイルに記録され、Kubernetes によってカスタム リソース定義として直接デプロイされます。セキュリティ チームは、すべてのパッチが最新であることも確認します。

実行しているサーバーとオペレーティング システムについては、パッチが適用されていること、およびオペレーティング システム自体に関連する脆弱性がないことを確認してください。 App Armor などのテクノロジーを使用したり、Kubernetes の内外で実行されているコンポーネントに最小限の権限が付与されるようにしたりできます。

3. 開いているポートを確認する

パイプライン全体で自動的に保護する必要があるすべての統合ポイントを明確に定義し、完全なセキュリティ自動化のロードマップを作成することが重要です。最初は、脆弱性スキャンのトリガーや疑わしいネットワーク アクティビティに関するアラートなど、いくつかの手順を自動化できます。

セキュリティ チームは、ロード バランサーを使用して外部に接続する可能性のあるアプリケーションや、Kubernetes クラスターで開いている可能性のあるポートを保護する必要があります。チームは、正しく構成されているかどうか、およびポートが開いているかどうかを確認する必要があります。

これは、外部向けの API サーバーにとって特に重要です。

誰かが、別の会社によってインターネットに公開されたシステムを発見し、それらのポートが開いているかどうかを確認するためにサーバーを調査しようとしている人々がログに記録されていました。 Kubernetes 自体には API サーバーがあり、過去にはポートが開いているのを確認したことがあります。

適切なファイアウォールが確実に設置されるようにホスト ポリシーを保護していますか?パブリック クラウドで実行している場合は、適切なセキュリティ グループを使用して、実際に実行する必要があるアクションのみを許可するようにしてください。また、特定のユーザーのみがログインできるように、Kubernetes コンポーネントに適切なタイプの認証または承認メカニズムが実装されていることを確認してください。

元のタイトル: Kubernetes を大規模に安全に保つための 3 つのヒント、著者: Jonathan Greig

[51CTOによる翻訳。パートナーサイトに転載する場合は、元の翻訳者と出典を51CTO.comとして明記してください。