Kubernetes を大規模に保護するための 3 つの重要なポイント

Kubernetes を大規模に保護するための 3 つの重要なポイント

[51CTO.com クイック翻訳] Kubernetes コンテナはマルチクラウド環境で非常に人気があり、多くの業界で広く導入されています。オープンソースのコンテナオペレーティングシステムは「現代のアプリケーションスタックの未来を完全に作り変える」と、Sumo Logicの製品マーケティング担当副社長Kalyan Ramanathan氏は昨年書いている。

[[315061]]

しかし、2019 年に発生した一連のセキュリティ脆弱性からも明らかなように、採用の拡大はセキュリティ リスクをもたらしました。最初の脆弱性は 2018 年後半に発見され、Kubernetes アプリケーション プログラミング インターフェイス サーバーを介して、どのユーザーでもバックエンド サーバーへの接続を確立できるようになりました。

Platform9 のプロダクト マーケティング責任者である Kamesh Pemmaraju 氏は、使用されているクラスターとノードの数は増加していると述べています。回答者の中には、自社では 1 つまたは 2 つのクラスターで数百のノードを実行していると Platform9 に語った人もいました。多くの企業は、オンプレミスとパブリック クラウド インフラストラクチャの両方で Kubernetes を実行しています。

NeuVector の CTO である Gary Duan 氏と、Platform9 の共同設立者兼 CTO である Roopak Parikh 氏が、Kubernetes のセキュリティ機能を大規模に活用する 3 つの方法について講演しました。

「Kubernetes には、自身のインフラストラクチャのセキュリティに重点を置いた基本的なセキュリティ機能がいくつか備わっている」と Duan 氏は言う。 「これらには、ロールベースのアクセス制御 (RBAC)、シークレット管理、およびリソース管理に重点を置いたポッド セキュリティ ポリシーが含まれます。」

「ただし、Kubernetes は、ビジネス クリティカルな環境や、専用のコンテナ セキュリティ ツールなしで機密データを管理するアプリケーションには導入しないでください。重要な API サーバーなどの Kubernetes システムのコンテナ自体に脆弱性があり、攻撃者がオーケストレーション インフラストラクチャ自体を侵害する可能性があります。」

1. ロールベースのアクセス制御

昨年と比べて、本番環境レベルのソフトウェア アプリケーションが大幅に増加し、Kubernetes 上にデプロイされるデータやその他のアプリケーションも大幅に増加しました。企業は、Kubernetes を、本番環境に導入されたら各レイヤーで保護する必要がある複数のコンポーネントで構成された複雑な分散システムとして捉える必要があります。

アプリケーション層では、ネットワーク ポリシーを実装し、Kubernetes クラスターを内部認証プロバイダーに接続することを強くお勧めします。多くの場合、すべてのシステムを保護できますが、誰かが簡単に侵入できないように、キーを保護し、多要素認証と証明書を使用することも重要です。

Kubernetes オペレーターは、ユーザーが正しいロールを持っていることを確認し、特定のユーザーが特定のアプリケーションに関連付けられるように、ユーザーをさまざまなスペースに割り当てる必要があります。これらの役割は、システムの導入やアップグレードに合わせて拡張することもできます。

クラスター内の各アプリケーションは分離または区分化されている必要があります。これにより、責任者はどのユーザーがシステムのさまざまな部分を表示できるかを決定できます。

階層化されたセキュリティ アプローチは、多層防御に最適です。従来のセキュリティ ツールは Kubernetes 環境では効果がないた め、CI/CD パイプラインからランタイム環境までのライフサイクル全体を保護するために、クラウドネイティブ セキュリティ ツールを導入する必要があります。

これは、ビルド プロセス中の脆弱性スキャンから始まり、本番環境まで継続されます。レイヤー 7 コンテナ ファイアウォールなどの詳細なネットワーク可視性と保護がなければ、真の多層防御は実現できません。このコンテナに重点を置いたファイアウォールは、コンテナのマイクロセグメンテーション技術を使用して、ネットワークベースの攻撃、プローブ、スキャン、トリアージ、コンテナ間の横方向の移動を検出して防止できます。企業が導入を拡大するにつれ、パブリック クラウドとプライベート クラウドにまたがる数十、数百の Kubernetes クラスターを管理および保護するという管理上の課題に直面します。

集中的に適用されるフェデレーション グローバル セキュリティ ポリシーによるグローバル マルチ クラスター管理が重要な課題になります。

Kubernetes 上に Istio や Linkerd などのサービス メッシュを追加すると、ポッド間の通信が暗号化され、セキュリティも向上します。サービス メッシュには、DevOps チームが喜ぶその他の利点もあります。しかし、これにより、保護する必要があるインフラストラクチャに追加の攻撃ベクトルが導入されることになります。

2. 安全でないコードの検査

大規模な Kubernetes のセキュリティを確保するには、コードを監視することが重要です。会社でサードパーティのアプリケーションや社内アプリケーションを実行している場合、それらのコードが安全かどうかをどのように確認しますか?システム オペレーターは、実行しているバージョンと、どのような種類のセキュリティ脆弱性が存在するかを自問する必要があります。

安全でないコードがあるかどうか、または古いバージョンの Python ライブラリが使用されているかどうかを確認するには、スキャンが必要です。こうした詳細を見つけてレポートを生成するのに役立つツールが存在します。これに基づいて、これらのアプリケーションの実行を拒否または許可することができます。

多くの企業は、セキュリティ ポリシーをコードとして宣言することができ、デプロイされた新しいサービスのアプリケーション動作は標準の YAML ファイルに記録され、Kubernetes によってカスタム リソース定義として直接デプロイされます。セキュリティ チームは、すべてのパッチが最新であることも確認します。

実行しているサーバーとオペレーティング システムについては、パッチが適用されていること、およびオペレーティング システム自体に関連する脆弱性がないことを確認してください。 App Armor などのテクノロジーを使用したり、Kubernetes の内外で実行されているコンポーネントに最小限の権限が付与されるようにしたりできます。

3. 開いているポートを確認する

パイプライン全体で自動的に保護する必要があるすべての統合ポイントを明確に定義し、完全なセキュリティ自動化のロードマップを作成することが重要です。最初は、脆弱性スキャンのトリガーや疑わしいネットワーク アクティビティに関するアラートなど、いくつかの手順を自動化できます。

セキュリティ チームは、ロード バランサーを使用して外部に接続する可能性のあるアプリケーションや、Kubernetes クラスターで開いている可能性のあるポートを保護する必要があります。チームは、正しく構成されているかどうか、およびポートが開いているかどうかを確認する必要があります。

これは、外部向けの API サーバーにとって特に重要です。

誰かが、別の会社によってインターネットに公開されたシステムを発見し、それらのポートが開いているかどうかを確認するためにサーバーを調査しようとしている人々がログに記録されていました。 Kubernetes 自体には API サーバーがあり、過去にはポートが開いているのを確認したことがあります。

適切なファイアウォールが確実に設置されるようにホスト ポリシーを保護していますか?パブリック クラウドで実行している場合は、適切なセキュリティ グループを使用して、実際に実行する必要があるアクションのみを許可するようにしてください。また、特定のユーザーのみがログインできるように、Kubernetes コンポーネントに適切なタイプの認証または承認メカニズムが実装されていることを確認してください。

元のタイトル: Kubernetes を大規模に安全に保つための 3 つのヒント、著者: Jonathan Greig

[51CTOによる翻訳。パートナーサイトに転載する場合は、元の翻訳者と出典を51CTO.comとして明記してください。

<<:  画像とテキスト |あなたのガールフレンドでも Kubernetes を理解できます!

>>:  テンセントカンファレンスの拡大の裏側:100万コアのコンピューティングリソースはすべて自社開発のサーバー星星海によって支えられている

推薦する

ビッグデータクラウドネイティブの発展の道筋をどう見るか - 2023年雲奇カンファレンスの考察

2023年雲斉会議は予定通り杭州で開催されました。その前身は Alibaba Cloud Devel...

reliablehostingservices-$7.5/KVM/1G メモリ/100g ハードディスク/1T トラフィック/ウェストバージニア

reliablehostingservicesは2016年3月にHostcatに初めて登場してから2...

iniz-128m メモリ KVM 年間支払額 15.5 米ドル

128M メモリの KVM VPS で年間 15.5 ドルの支払いは、それでもかなりコスト効率が良い...

分散型グローバル一意 ID スキームはそんなにたくさんあるのでしょうか?

[[403814]]この記事はWeChatの公開アカウント「Java Geek Technology...

中国裁判所ネットワークは従業員のショッピングサイトに対して次のように返答した。「提携関係はなく、リンクは取り消されました。」

中国新聞社、8月14日:最近、「中国裁判所共同ショッピングサイト」が世論の注目を集めている。北京青年...

外部リンクの5つのコツ

みなさんこんにちは、ザックです。SEO 業界には「コンテンツは王様、外部リンクは女王」という有名な格...

Baiduにフォーラムが組み込まれた経験について語る

昨夜、私は百度販売に携わっている大学の同級生とチャットをしました。彼はフォーラムで「百度が含まれない...

Sharktech Los Angeles の「パブリック クラウド ホスティング」の簡単なレビュー

SharkTech のパブリック クラウド サーバーがオンラインになってからレビューを書く時間がなか...

shinjiru: 反苦情ドメイン名、著作権や悪用苦情を無視するドメイン名

著作権侵害の苦情に反対するホストを見つけて、著作権侵害の苦情を無視できると思いますか?著作権所有者は...

Baidu 入札はどこにでもありますが、草の根ウェブマスターはどこに行くべきでしょうか?

中国最大の検索エンジンである百度は、草の根のウェブマスターから愛され、嫌われている。私の小さなウェブ...

V5.net韓国cn2+bgp回線のサーバーの簡単な評価

v5.net は、韓国のソウル データ センターにある独立したサーバーを運用しています。デフォルトで...

モバイル検索エンジンの競争

モバイル検索戦争の序章が立ち上がり、検索戦場はPCからモバイルインターネット分野に移り、モバイル検索...

Yan Weilun: クラウド コンピューティングの世界に向けたデータ センター ネットワークの開発

2009 年 7 月、第 1 回「新世代の通信グレード データ センターの構築に関するサミット フォ...

検索エンジンマーケティングの有効性分析を改善するために内部と外部の側面を最適化する方法

多くの人は、検索エンジンマーケティングを検索ランキングと同一視し、ウェブサイトのランキングが上がれば...

360 は Sogou がユーザーのパスワードを収集した証拠を公開、Sogou はライバルを中傷キャンペーンで非難

新浪科技は11月7日午後、360社が本日午後記者会見を開き、Sogouによるユーザーのプライバシー情...