Kubernetes セキュリティのベスト プラクティス トップ 7

Kubernetes セキュリティ VS アプリケーション セキュリティのベスト プラクティス

多くの場合 Kubernetesのセキュリティ ベスト プラクティスは、一般的なネットワークおよびアプリケーション セキュリティのベスト プラクティスと一致しています。 たとえば、保存時および転送時のデータの暗号化は、K8 であろうとそれ以外の運用環境であっても重要です。 同様に、パスワードや API キーなどの機密データを適切に処理することも必須です。 ほとんどの場合、企業の DevSecOps チームはこれらの基本的なベスト プラクティスを認識しており、それらを活用して適切な仕事をしています。

ここでは、基本を超えて、企業のセキュリティを次のレベルに引き上げることができる 7 つの Kubernetes セキュリティのベスト プラクティスを見ていきます。 

#1.K8sのポスチャー管理と可視性を優先事項にする 

大まかに言うと、K8sのポスチャ管理と可視性は、次の2つのことを効果的に実行できることです。

• すべてのK8sクラスターとコンテナワークロードを安全に構成します。 
• 企業内のすべてのワークロードと構成を継続的にきめ細かく可視化します。 

もちろん、特にマルチクラウド環境では、これらの目標を達成することは言うは易く行うは難しです。 では、企業のセキュリティ チームは、Kubernetes のセキュリティ体制と可視性を最適化するために具体的に何ができるでしょうか? これらの手順の多くは、次のベスト プラクティスで説明します。 ただし、前提条件は、企業全体でK8sセキュリティを優先するための組織の賛同です。 

ここでは、K8sのセキュリティを高レベルで向上させるための取り組みを始めるために、企業が実行できる最も影響力のあるステップをいくつか紹介します。 

• 業界のベスト プラクティスを使用した Kubernetes クラスターの構成を義務付ける: すべてのデプロイメントには微妙な違いがありますが、すべての企業は明確に定義されたコンテナ セキュリティ標準を参照して、K8 クラスタとコンテナ ワークロードを強化できます。 たとえば、NIST 800-190 アプリケーション コンテナ セキュリティ ガイド (PDFで見る)と CIS ベンチマーク 専門家のガイダンスを提供し、企業が従うべき優れたベースラインです。 このような標準を活用することで、企業全体のセキュリティ体制を改善するのに大いに役立ちます。 

• 「シフトレフト」と自動化:手動構成は、見落としや人為的ミスの原因となります。 "シフトレフトのセキュリティ開発プロセスのできるだけ早い段階でセキュリティを統合するプロセスは、本質的に手動構成を制限し、セキュリティのベストプラクティスの自動化を促進するのに役立ちます。 その結果、DevSecOps チームは、Kubernetes のセキュリティのベスト プラクティスを CI/CD パイプラインに構築し、一貫して適用され、シームレスに拡張できるようになります。 

• マイクロセグメンテーションの実装: マイクロセグメンテーション コンテナーと Kubernetes クラスターの統合により、エンタープライズ インフラストラクチャ全体にゼロトラスト原則を適用し、侵害が発生した場合の横方向の移動を制限できます。 そのため、企業のワークロード全体にマイクロセグメンテーションポリシーを実装することは、全体的なセキュリティ体制を最適化するために重要です。 

• 企業全体に正しい注釈とラベル付けを適用します。 Kubernetes ラベルは、ポリシーとオブジェクトがグループ化される方法、さらにはワークロードがデプロイされる場所を決定します。 そのため、エンタープライズ クラスター全体で一貫したラベル付けが使用されるようにすることは、強力なセキュリティ体制を維持するために不可欠な側面です。 同様に、ワークロードに特定のアノテーションを必要とするポリシーを適用し、ワークロードをデプロイできる場所を制限するために汚染と許容を指定することは、DevSecOps チームにとって必要な戦術的手順です。 
• 継続的な監視を活用：ポイントインタイムのセキュリティ監査、ペネトレーションテスト、脆弱性スキャンだけではもはや十分ではありません。 絶えず繰り返される脅威とネットワーク境界に対応するために、企業は、K8s クラスター全体で脅威、侵入、安全でない構成を継続的に監視し、スキャンする必要があります。 

#2.イメージアシュアランスの実装

コンテナー イメージは、K8s ワークロードの構成要素です。 残念ながら、安全でないコンテナイメージは広範囲にわたる脅威です。 2020年の分析では、Docker Hub上のイメージの半数以上が 重大な脆弱性があった.その結果、 K8sクラスター 安全であり、信頼できるソースから取得されることは、Kubernetes セキュリティの重要なベスト プラクティスです。 

イメージアシュアランスを実装するには、企業は次のようなセキュリティツールを活用する必要があります。

• 開発中および実行時に画像をスキャンします。
• ポリシーに従わないコンテナのデプロイメントを防ぎます。
• イメージレイヤーを分解し、イメージ内のパッケージと依存関係をスキャンします。
• イメージにマルウェア、脆弱性、平文のパスワードや暗号化キーなどの安全でない構成がないかチェックします。

#3.アドミッションコントローラによるポリシーの微調整

Kubernetes API サーバーは、企業が安全でないリクエストや悪意のあるリクエストから保護する必要がある攻撃対象領域です。 アドミッションコントローラーは、まさにそれを支援するために設計されたコードです。 

アドミッション コントローラーは、承認後、永続化の前に API 呼び出しに作用するため、人的エラー、構成ミス、またはアカウントの侵害が発生した場合にクラスターの変更を防ぐのに役立ちます。 アドミッション コントローラーを使用すると、企業は微調整されたポリシーを定義して、ポッドの更新、イメージのデプロイメント、ロールの割り当てなどのさまざまなアクションを制限できます。 

#4. WAAP で Web アプリと API を保護する

従来の Web アプリケーション ファイアウォール (WAF) と侵入検知防御システム (IDS/IPS) は、最新の Web アプリや API が直面する脅威に対応できるほど柔軟性やインテリジェントが足りません。 ボットやゼロデイ攻撃などの脅威に対処するには、企業は Web アプリケーションと API 保護を使用する必要があります (WAAP)ソリューション。 

WAAP は、最新のクラウドネイティブ アプリケーションを念頭に置いて設計されており、次のような機能を提供します。

• API とマイクロサービスの保護。
• 組み込みの次世代 Web アプリケーションファイアウォール (NGWAF)。
• ボットとDDoS攻撃からの保護。
• 誤検知を減らす高度なレート制限。

#5.インテリジェントなランタイム保護ソリューションの使用 

K8sセキュリティとのバランスを取るのが最も難しいことの1つは、悪意のある動作を特定し、誤検知を制限しながらリアルタイム攻撃からワークロードを保護することです。 バランスを取るために、企業は複数のデータポイントを使用して脅威を特定して軽減するインテリジェントなソリューションを必要としています。 これには、ランタイム保護に対する次の 3 つのアプローチが必要です。

• ランタイムプロファイリング: K8sクラスタはそれぞれ異なるため、悪意のある動作を検出するにはパフォーマンスのベースラインが重要です。 最新のランタイム保護ソリューションは、ランタイム プロファイリングを実行して、ネットワーク フロー、ファイル システム アクティビティ、および実行中のプロセスの通常の動作のベースラインを確立します。 これらのベースラインは、脅威検出エンジンがコンテキストを使用して潜在的な脅威を検出して軽減し、全体的なセキュリティ体制を改善し、誤検知を制限するのに役立ちます。 

• 悪意のある動作のシグネチャの検出: 既知の悪意のある動作の堅牢なデータベースにより、セキュリティツールは一般的な脅威を迅速かつ正確に検出できます。 観察された動作をシグネチャ データベースと比較することで、既知の脅威がネットワークに侵入する前に阻止できます。 
• マルウェア対策エンジン: インテリジェントなマルウェア対策エンジンと実行時のワークロードの継続的スキャンは、実行時保護の重要なコンポーネントです。 マルウェア対策エンジンはランタイム セキュリティの主力であり、企業はすべてのワークロードを継続的にスキャンして脅威をできるだけ早く検出する必要があります。  

#6.最新のK8s侵入防止に投資する

IPS/IDSテクノロジー は長年にわたり企業セキュリティの定番であり、コンテナと Kubernetes の台頭でもそれは変わっていません。 基本的に、不審な振る舞いを検知し、フラグを立てたり、防止したりするツールは、常に企業のセキュリティの基盤となります。 変わったのは、IPS/IDSが保護しなければならない資産の動的な性質と、現代の企業が直面している脅威です。 

Kubernetes 用の最新の侵入防御ソリューションは、次のような機能を実行できる必要があります。

• K8s ポッドからの内部ポートのスキャン。
• アカウント、アプリケーションのトラフィック フロー、K8s クラスターの操作に関連するデータを分析します。 
• 暗号資産管理などの最新の脅威を検出します。 

さらに、最新の IPS/IDS は、K8 クラスターが展開されている場所にかかわらず保護するために、マルチクラウド環境で動作する必要があります。 

#7.可視化と定期的なレポーティングを重視

セキュリティ体制の現状を把握するために、企業は最新のレポートや可視化(例: ダッシュボード) は、アプリケーション インフラストラクチャ全体を説明します。 

すべての企業が必要とする万能のKPIとレポートは存在しないため、カスタマイズは効果的なソリューションの重要な側面です。 ただし、エンタープライズ グレードの K8s セキュリティ視覚化およびレポート ソリューションには、すべてのクラウドからの集約データ、ドリルダウンしてより詳細な詳細を表示する機能、および資産とアラートの単一画面の概要が含まれている必要があります。

視覚化ツールとレポート作成ツールを評価する際には、ダッシュボードと概要の重要性を見落とさないことが重要です。 多くのレポート作成ツールが抱える最大の課題の1つは、情報過多と明確さの欠如です。 情報が多すぎて、企業レベルでは支離滅裂になります。 適切な高レベルの視覚化とレポートにより、企業は全体を迅速かつ効果的に評価できます コンテナ セキュリティ 姿勢をとって、どの調査結果に最初に焦点を当てる必要があるかを理解します。