Kubernetesクラスタのセキュリティ問題の根本原因は何か、Alcideが概説：Kubernetesが付与する権限に要注意

「Kubernetes」ネイティブのセキュリティプラットフォームを手掛けるAlcideは、Kubernetesクラスタのセキュリティを確保する上での課題を概説したブログを公開した。Kubernetesのセキュリティ問題の根本原因と原因を絶つコツを紹介している。

» 2020年12月10日 17時00分公開

[ITmedia]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　「Kubernetes」ネイティブのセキュリティプラットフォームを手掛けるAlcideは2020年11月9日（米国時間）、Kubernetesクラスタのセキュリティを確保する上での課題を概説したブログを公開した。Kubernetesのセキュリティ問題の根本原因と原因を絶つコツを紹介している。

4つの注意点とは

　Alcideは、Kubernetesクラスタを攻撃者から保護する上での注意点として、次の4点を挙げている。

Kubernetes API Serverをプロキシとして使って、ネットワークセグメンテーションを回避し、kubectlポートフォワーディングによって、あるポッドから別のポッドへのトンネルを作成できるか
　これは、ポッドのサービスアカウントが持っている、「役割ベースのアクセス制御」（RBAC）の権限によって決まる。
攻撃者があるポッドを制限されたOS権限で侵害した場合、Kubernetes API Serverを使って権限を昇格させ、より高い権限で新しいポッドを起動できるか
　あるポッドのサービスアカウントが、新しいポッドを作成するRBAC権限を持っていて、管理者がポッドセキュリティポリシーのような追加の制限を設けていなかった場合、この攻撃が可能になる。
RAWソケットを使って、クラスタのコンテナネットワークに損害を与えることができるか
　これは通常、デフォルトで可能だ。
Kubernetes名前空間に関するセキュリティ上の前提が間違っていないか
　誤ってKubernetes名前空間をセキュリティ境界と同列に考えていないかどうかが特に重要だ。さらにある名前空間で特権を持つポッドが、別の名前空間のポッドに影響を与えないと誤解していないかどうかということも重要になる。

Kubernetesのセキュリティ問題の根本原因とは

　Alcideは、Kubernetes固有のセキュリティ問題の大部分は、以下の4つの根本原因のいずれかによるものだと述べている。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

コンテナイメージスキャニング、12のベストプラクティス――Sysdigが解説
Sysdigがコンテナイメージスキャニングの12のベストプラクティスを公式ブログで解説した。
コンテナを保護するための10のベストプラクティス、InfraCloudが解説
InfraCloudが、アプリケーションコンテナのセキュリティを確保するための10のベストプラクティスを解説した。
国防総省がKubernetesとIstioでDevSecOps基盤を構築、「ウォーターフォール文化を変える」
2019年11月にCloud Native Computing Foundation（CNCF）が米サンディエゴで開催したイベント「KubeCon＋CloudNativeCon North America 2019」では、米国防総省がKubernetesの広範な採用を進めていることを明らかにした。