Kubernetes セキュリティの完全ガイド

Kubernetes® セキュリティに関する議論のほとんどは、クラスターのセキュリティ保護の難しさに集中しています。Kubernetes が提供するネイティブ セキュリティ オプションはほんのわずかであるため、Kubernetes システムのすべてのレイヤーを保護するのは非常に困難です。確かに、Kubernetes には組み込みのセキュリティ ソリューションがほとんどなく、Kubernetes を保護するには、多数のインフラストラクチャ レベルにわたるさまざまな種類の潜在的な脆弱性に対処する必要があります。

しかし、これは Kubernetes のセキュリティを不可能なほど難しいと見なすべきだということではありません。実際には、Kubernetes が非常に多くのインターフェースを備えた大規模なプラットフォームであるという事実は、Kubernetes のビルドおよびデプロイメント プロセスにセキュリティを組み込んだ自動化された体系的な一連の操作を簡単に開発できるというチャンスを生み出します。その結果、スタックのすべてのレベルとレイヤーにわたる攻撃を軽減する、緊密に統合されたセキュリティ ポリシーが実現します。

この電子書籍では、Kubernetes ベースの他の運用を妨げるのではなく強化するセキュリティ戦略を開発する方法について説明します。ノードから Kubernetes のセキュリティ上の課題を特定し、それぞれの課題に対処するための具体的なソリューションを特定します。クラスターのサイズやインフラストラクチャの種類 (オンプレミス、パブリック クラウド、マネージド サービス) に関係なく、Kubernetes ベースのワークロードを安全に保つ自動化されたスケーラブルなアプローチに重点を置いています。

Kubernetes は多次元のモンスター

まず第一に、Kubernetes は 6 つ以上のコンポーネントで構成された複雑なプラットフォームであることを認識することが重要です。Kubernetes には、クラスター コンポーネント間の通信を容易にする API サーバー、ワークロードの分散を管理するスケジューラー、Kubernetes 自体の状態を管理するコントローラーが含まれています。また、クラスター内の各ノードまたはサーバーで動作するエージェントと、クラスター構成データを含むキー値ストアで構成されています。

ネイティブKubernetesセキュリティ保護

Kubernetes のセキュリティは、特定のセキュリティ対策が組み込まれているにもかかわらず、追加のテクノロジの支援なしにはセキュリティを確保できないという点でさらに複雑です。Kubernetes を使用すると、管理者はロールベースのアクセス制御 (RBAC) ルールを構築して、クラスター リソースを不要なアクセスから保護できます。さらに、ポッド セキュリティ ルールとネットワーク ポリシーを確立して、特定の形式のポッドとネットワークの不正使用を禁止することもできます。

攻撃者がクラスターの一部を侵害することで発生する中断を軽減するために、リソース制限を適用する場合があります。リソース制限が適用されると、攻撃者はクラスターの残りの部分から十分なリソースを奪ってサービス拒否攻撃を実行することができなくなります (もちろん、侵害がクラスターの発生した部分を超えて広がらないことが条件です)。

統合開発環境

統合開発環境 (IDE) は、開発者がアプリケーションのソース コードを作成するためによく使用するツールです。IDE は、アプリケーションの展開プロセスを開始するツールとして、脆弱性スキャンの開始点となる必要があります。ほとんどの IDE は、さまざまなサードパーティのソース コード脆弱性スキャナーと連携して、アプリケーション コードの潜在的なセキュリティ脆弱性を特定します。

統合的統合

継続的インテグレーション (CI) テクノロジーは、ソース コードをホストし、Kubernetes でデプロイ可能なバイナリに変換します。これは、コードに対する追加の脆弱性スキャン フェーズを表します。CI サーバーは、IDE と同様に、さまざまな脆弱性スキャナーと相互運用可能です。

構成管理

現在、Kubernetes アプリケーションのビルドおよびデプロイメント パイプラインの大部分は、自動化されたポリシーベースの構成管理のために、コードとしてのインフラストラクチャ (IaC) と YAML ファイルに依存しています。

Whitepapers Online でのみ公開されている「Kubernetes セキュリティの完全ガイド」の詳細については、Prisma Cloud のホワイトペーパーをダウンロードしてください。