Kubernetes を大規模に保護するための 3 つの重要なポイント

Kubernetes を大規模に保護するための 3 つの重要なポイント

[51CTO.com クイック翻訳] Kubernetes コンテナはマルチクラウド環境で非常に人気があり、多くの業界で広く導入されています。オープンソースのコンテナオペレーティングシステムは「現代のアプリケーションスタックの未来を完全に作り変える」と、Sumo Logicの製品マーケティング担当副社長Kalyan Ramanathan氏は昨年書いている。

[[315061]]

しかし、2019 年に発生した一連のセキュリティ脆弱性からも明らかなように、採用の拡大はセキュリティ リスクをもたらしました。最初の脆弱性は 2018 年後半に発見され、Kubernetes アプリケーション プログラミング インターフェイス サーバーを介して、どのユーザーでもバックエンド サーバーへの接続を確立できるようになりました。

Platform9 のプロダクト マーケティング責任者である Kamesh Pemmaraju 氏は、使用されているクラスターとノードの数は増加していると述べています。回答者の中には、自社では 1 つまたは 2 つのクラスターで数百のノードを実行していると Platform9 に語った人もいました。多くの企業は、オンプレミスとパブリック クラウド インフラストラクチャの両方で Kubernetes を実行しています。

NeuVector の CTO である Gary Duan 氏と、Platform9 の共同設立者兼 CTO である Roopak Parikh 氏が、Kubernetes のセキュリティ機能を大規模に活用する 3 つの方法について講演しました。

「Kubernetes には、自身のインフラストラクチャのセキュリティに重点を置いた基本的なセキュリティ機能がいくつか備わっている」と Duan 氏は言う。 「これらには、ロールベースのアクセス制御 (RBAC)、シークレット管理、およびリソース管理に重点を置いたポッド セキュリティ ポリシーが含まれます。」

「ただし、Kubernetes は、ビジネス クリティカルな環境や、専用のコンテナ セキュリティ ツールなしで機密データを管理するアプリケーションには導入しないでください。重要な API サーバーなどの Kubernetes システムのコンテナ自体に脆弱性があり、攻撃者がオーケストレーション インフラストラクチャ自体を侵害する可能性があります。」

1. ロールベースのアクセス制御

昨年と比べて、本番環境レベルのソフトウェア アプリケーションが大幅に増加し、Kubernetes 上にデプロイされるデータやその他のアプリケーションも大幅に増加しました。企業は、Kubernetes を、本番環境に導入されたら各レイヤーで保護する必要がある複数のコンポーネントで構成された複雑な分散システムとして捉える必要があります。

アプリケーション層では、ネットワーク ポリシーを実装し、Kubernetes クラスターを内部認証プロバイダーに接続することを強くお勧めします。多くの場合、すべてのシステムを保護できますが、誰かが簡単に侵入できないように、キーを保護し、多要素認証と証明書を使用することも重要です。

Kubernetes オペレーターは、ユーザーが正しいロールを持っていることを確認し、特定のユーザーが特定のアプリケーションに関連付けられるように、ユーザーをさまざまなスペースに割り当てる必要があります。これらの役割は、システムの導入やアップグレードに合わせて拡張することもできます。

クラスター内の各アプリケーションは分離または区分化されている必要があります。これにより、責任者はどのユーザーがシステムのさまざまな部分を表示できるかを決定できます。

階層化されたセキュリティ アプローチは、多層防御に最適です。従来のセキュリティ ツールは Kubernetes 環境では効果がないた め、CI/CD パイプラインからランタイム環境までのライフサイクル全体を保護するために、クラウドネイティブ セキュリティ ツールを導入する必要があります。

これは、ビルド プロセス中の脆弱性スキャンから始まり、本番環境まで継続されます。レイヤー 7 コンテナ ファイアウォールなどの詳細なネットワーク可視性と保護がなければ、真の多層防御は実現できません。このコンテナに重点を置いたファイアウォールは、コンテナのマイクロセグメンテーション技術を使用して、ネットワークベースの攻撃、プローブ、スキャン、トリアージ、コンテナ間の横方向の移動を検出して防止できます。企業が導入を拡大するにつれ、パブリック クラウドとプライベート クラウドにまたがる数十、数百の Kubernetes クラスターを管理および保護するという管理上の課題に直面します。

集中的に適用されるフェデレーション グローバル セキュリティ ポリシーによるグローバル マルチ クラスター管理が重要な課題になります。

Kubernetes 上に Istio や Linkerd などのサービス メッシュを追加すると、ポッド間の通信が暗号化され、セキュリティも向上します。サービス メッシュには、DevOps チームが喜ぶその他の利点もあります。しかし、これにより、保護する必要があるインフラストラクチャに追加の攻撃ベクトルが導入されることになります。

2. 安全でないコードの検査

大規模な Kubernetes のセキュリティを確保するには、コードを監視することが重要です。会社でサードパーティのアプリケーションや社内アプリケーションを実行している場合、それらのコードが安全かどうかをどのように確認しますか?システム オペレーターは、実行しているバージョンと、どのような種類のセキュリティ脆弱性が存在するかを自問する必要があります。

安全でないコードがあるかどうか、または古いバージョンの Python ライブラリが使用されているかどうかを確認するには、スキャンが必要です。こうした詳細を見つけてレポートを生成するのに役立つツールが存在します。これに基づいて、これらのアプリケーションの実行を拒否または許可することができます。

多くの企業は、セキュリティ ポリシーをコードとして宣言することができ、デプロイされた新しいサービスのアプリケーション動作は標準の YAML ファイルに記録され、Kubernetes によってカスタム リソース定義として直接デプロイされます。セキュリティ チームは、すべてのパッチが最新であることも確認します。

実行しているサーバーとオペレーティング システムについては、パッチが適用されていること、およびオペレーティング システム自体に関連する脆弱性がないことを確認してください。 App Armor などのテクノロジーを使用したり、Kubernetes の内外で実行されているコンポーネントに最小限の権限が付与されるようにしたりできます。

3. 開いているポートを確認する

パイプライン全体で自動的に保護する必要があるすべての統合ポイントを明確に定義し、完全なセキュリティ自動化のロードマップを作成することが重要です。最初は、脆弱性スキャンのトリガーや疑わしいネットワーク アクティビティに関するアラートなど、いくつかの手順を自動化できます。

セキュリティ チームは、ロード バランサーを使用して外部に接続する可能性のあるアプリケーションや、Kubernetes クラスターで開いている可能性のあるポートを保護する必要があります。チームは、正しく構成されているかどうか、およびポートが開いているかどうかを確認する必要があります。

これは、外部向けの API サーバーにとって特に重要です。

誰かが、別の会社によってインターネットに公開されたシステムを発見し、それらのポートが開いているかどうかを確認するためにサーバーを調査しようとしている人々がログに記録されていました。 Kubernetes 自体には API サーバーがあり、過去にはポートが開いているのを確認したことがあります。

適切なファイアウォールが確実に設置されるようにホスト ポリシーを保護していますか?パブリック クラウドで実行している場合は、適切なセキュリティ グループを使用して、実際に実行する必要があるアクションのみを許可するようにしてください。また、特定のユーザーのみがログインできるように、Kubernetes コンポーネントに適切なタイプの認証または承認メカニズムが実装されていることを確認してください。

元のタイトル: Kubernetes を大規模に安全に保つための 3 つのヒント、著者: Jonathan Greig

[51CTOによる翻訳。パートナーサイトに転載する場合は、元の翻訳者と出典を51CTO.comとして明記してください。

<<:  画像とテキスト |あなたのガールフレンドでも Kubernetes を理解できます!

>>:  テンセントカンファレンスの拡大の裏側:100万コアのコンピューティングリソースはすべて自社開発のサーバー星星海によって支えられている

推薦する

2021年4月のシャイニングスタープログラムの最新進捗:あらゆるシナリオにおけるデジタルサービスのイノベーションを継続的に推進

最近、ファーウェイは「スタープロジェクト」の最新の進捗状況を発表しました。 2021年4月現在、「ス...

#著作権なしの VPS# VM を購入 - 3.5USD/1G RAM/20gSSD/Windows/無制限トラフィック/DMCA なし

ここでは、BuyVM のルクセンブルク KVM 仮想 VPS を特別価格で紹介します。理由はただ 1...

ウェブサイトのコンテンツを集約する方法: トラフィック用かユーザー用か?

ウェブサイトのコンテンツ集約とは何ですか? ウェブサイトの元のコンテンツを特定のテーマやキーワードに...

電子商取引事業は機会を捉えるためにさらに深く掘り下げる必要がある

電子商取引は飛躍的に発展し、人々はインターネットでの買い物や取引にますます慣れてきています。その結果...

ホームページがないのに、Baidu 検索エンジンからの何十万ものトラフィックはどこから来るのでしょうか?

「10日間で体重7を減らす神話を解読する」という記事を読みました。記事で言及されているウェブサイトに...

Apple、スマートウォッチとiPhone 6を発売

北京時間9月10日の早朝、Appleは米国カリフォルニア州クパチーノのフリントセンターで記者会見を開...

yalo-$5/1g メモリ/200g ハードディスク/10T トラフィック/ノースカロライナ

yaloがホストキャットに登場するのは2回目。昨年設立され、openvz仮想化をベースにしている。最...

ジャン・ワン3の継続的な成功から生まれた新しいマーケティングアイデア

5月22日、タッチテクノロジーのCEOである陳浩志氏は、「いつでも軌道に戻れるよう準備を整えている」...

Rushmailは、メールマーケティング費用を無駄にすることなく、大量のメールを正確に送信する方法を教えます

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています電子メール...

Qunar.comの声明: 3億5000万元の融資を受けたという報道は事実ではない

網易科技ニュース、4月15日。本日、「中国商務日報」は、Qunar.comがBaidu、Hillho...

最も詳細なロングテールキーワード最適化体験

キーワードはウェブサイトの SEO 最適化にとって非常に重要であり、ウェブサイトのトラフィックとコン...

テンセントクラウドは、企業向けのデジタル「夢の工場」を構築するために、4つの新しいスマートエネルギー製品をリリースしました。

9月10日、テンセントの2020年グローバルデジタルエコシステムカンファレンスのスマートエネルギーセ...

競合他社を分析し理解することがSEOの第一歩です

さまざまなユーザーと向き合うとき、彼らのニーズを理解し、彼らの好みに応える方法に加えて、私たちが最も...

#ブラックウィーク5#: virpus-サイト全体(VPSとサーバーを含む)が50%オフ/Xen/512Mメモリ、年間支払い12.5ドル

Virpus のブラックフライデー プロモーションが始まりました。これは素晴らしいです。サイト全体の...

新華社はチケット奪取プラグインの停止について次のようにコメントした。「あなたは愚かで、他人が賢すぎると責めている。」

原題: 新華社、チケット奪取プラグインの停止についてコメント: 自分が愚かなら、他人が賢すぎると責め...