Kubernetes は非常に人気がありますが、適切なセキュリティ対策がなければリスクも伴います。 セキュリティの専門家である CyberArk は、具体的な XNUMX つのリスクを挙げ、Kubernetes のハードウェア、API サーバー、およびコンテナーのリスクを制御するために必要な防御策を示しています。
今日のソフトウェア開発では、スピードと俊敏性が重要です。 コンテナ技術の利用が拡大しています。 Kubernetes は、コンテナー化されたワークロードとサービスを管理するためのデファクト スタンダードとして浮上しています。
Kubernetes のセキュリティ面
セキュリティの観点から見ると、Kubernetes オーケストレーション プラットフォームには、開発プロセスの早い段階で対処する必要がある特定の ID 関連の課題が伴います。 そうしないと、コンテナ化された環境が IT セキュリティにリスクをもたらす可能性があります。 真の DevSecOps アプローチの一環として、組織が注力すべき Kubernetes 内の潜在的に脆弱な領域が XNUMX つあります。
Kubernetes のリスク: ハードウェア
Kubernetes をオンプレミスで実行する場合でも、サードパーティが管理するクラウドで実行する場合でも、ハードウェア プラットフォームが必要です。 攻撃者は、Kubernetes を実行している仮想マシンにアクセスして root 権限を取得すると、Kubernetes クラスターも攻撃できます。
これを防ぐために、次のセキュリティのベスト プラクティスがあります。
- 最小特権の原則を適用することは、Kubernetes とコンテナー自体の両方の基盤となるハードウェアを保護するために不可欠です。 仮想マシンは、攻撃者が root アクセスを取得するのをより困難にするために、最低レベルの特権 (つまり、機能上の理由から厳密に必要なもののみ) でデプロイする必要があります。
- 資格情報は定期的にローテーションする必要があり、オーバーヘッドを増やすことなく保護をさらに強化するには、自動化されたボールト ソリューションを使用することが理にかなっています。
Kubernetes のリスク: Kubernetes API サーバー
物理マシンとは別に、Kubernetes コントロール プレーンも保護する必要があります。 フロントエンドとして機能し、クラスター内でのユーザーの操作を容易にする Kubernetes API サーバーを含む、クラスターで実行されているすべてのコンテナーへのアクセスを提供します。
API サーバーへの攻撃は、大きな影響を与える可能性があります。 盗まれた XNUMX つのシークレットまたはクレデンシャルでさえ、攻撃者のアクセス権と特権をエスカレートするために使用できます。 最初は小さな脆弱性が、すぐにネットワーク全体の問題に発展する可能性があります。
セキュリティのベスト プラクティスは次のとおりです。
- リスクを軽減するために、組織はまず資格情報の盗難やマルウェアの脅威からエンドポイントを保護する必要があります。 Kubernetes で管理者権限を持つユーザーが使用するローカル コンピューターは特に重要です。
- Kubernetes API サーバーへのアクセスには多要素認証 (MFA) が不可欠です。 たとえば、盗まれた認証情報を Kubernetes アクセスに使用することはできません。
- ユーザーが Kubernetes で認証されると、クラスター内のすべてのリソースにアクセスできます。 したがって、権限の管理は非常に重要です。 役割ベースのアクセス制御により、企業はユーザーが本当に必要なアクセス権のみを持つようにすることができます。
- ポッドの認証を支援するために、クラスターのセットアップ時に自動的に作成される Kubernetes サービス アカウント全体に最小特権を適用する必要もあります。 同様に重要なのは、シークレットを定期的にローテーションして、不要になったユーザーがアクセスする機会をなくすことです。
Kubernetes のリスク: コンテナー
ポッドとコンテナーは Kubernetes クラスターの構成要素であり、アプリケーションの実行に必要な情報が含まれています。 このコンテナー エコシステムとワークフローには、潜在的な脆弱性がいくつかあります。 これらには、たとえば、コンテナー API またはコンテナー ホストへのセキュリティで保護されていないアクセスや、保護されていないイメージ レジストリが含まれます。
コンテナーのセキュリティには、次のベスト プラクティスが推奨されます。
- シークレットをコードまたはコンテナー イメージに埋め込んではいけません。 それ以外の場合、ソース コードにアクセスできるユーザーは、たとえばコード リポジトリ内の情報にもアクセスできます。
- ロールベースのアクセス制御、特定のコンテナー内のプロセスへのシークレット アクセスの制限、および不要になったシークレットの削除により、セキュリティ リスクが大幅に最小化されます。
- ローテーションや非アクティブ化を含むシークレットの使用は、ログに記録する必要があります。 機密アクセス データの自動管理と保護を可能にする中央機密管理ソリューションも有利です。
CyberArk の DACH エリア バイス プレジデントである Michael Kleist 氏は、次のように述べています。 「さらに、たとえばコードのスキャンなど、日常業務でセルフサービス機能を使用して開発者をサポートする可能性もあります。 これにより、Kubernetes のセキュリティを迅速かつ便利に向上させることにさらに貢献できます。」
詳しくは CyberArk.com をご覧ください
サイバーアークについて
CyberArk は ID セキュリティのグローバル リーダーです。 Privileged Access Management をコア コンポーネントとして使用する CyberArk は、ビジネス アプリケーション、分散作業環境、ハイブリッド クラウド ワークロード、DevOps ライフサイクル全体で、人間または人間以外のあらゆる ID に包括的なセキュリティを提供します。