Kubernetesクラスタのセキュリティ問題の根本原因は何か、Alcideが概説Kubernetesが付与する権限に要注意

「Kubernetes」ネイティブのセキュリティプラットフォームを手掛けるAlcideは、Kubernetesクラスタのセキュリティを確保する上での課題を概説したブログを公開した。Kubernetesのセキュリティ問題の根本原因と原因を絶つコツを紹介している。

» 2020年12月10日 17時00分 公開
[ITmedia]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 「Kubernetes」ネイティブのセキュリティプラットフォームを手掛けるAlcideは2020年11月9日(米国時間)、Kubernetesクラスタのセキュリティを確保する上での課題を概説したブログを公開した。Kubernetesのセキュリティ問題の根本原因と原因を絶つコツを紹介している。

4つの注意点とは

 Alcideは、Kubernetesクラスタを攻撃者から保護する上での注意点として、次の4点を挙げている。

  1. Kubernetes API Serverをプロキシとして使って、ネットワークセグメンテーションを回避し、kubectlポートフォワーディングによって、あるポッドから別のポッドへのトンネルを作成できるか
     これは、ポッドのサービスアカウントが持っている、「役割ベースのアクセス制御」(RBAC)の権限によって決まる。

  2. 攻撃者があるポッドを制限されたOS権限で侵害した場合、Kubernetes API Serverを使って権限を昇格させ、より高い権限で新しいポッドを起動できるか
     あるポッドのサービスアカウントが、新しいポッドを作成するRBAC権限を持っていて、管理者がポッドセキュリティポリシーのような追加の制限を設けていなかった場合、この攻撃が可能になる。

  3. RAWソケットを使って、クラスタのコンテナネットワークに損害を与えることができるか
     これは通常、デフォルトで可能だ。

  4. Kubernetes名前空間に関するセキュリティ上の前提が間違っていないか
     誤ってKubernetes名前空間をセキュリティ境界と同列に考えていないかどうかが特に重要だ。さらにある名前空間で特権を持つポッドが、別の名前空間のポッドに影響を与えないと誤解していないかどうかということも重要になる。

Kubernetesのセキュリティ問題の根本原因とは

 Alcideは、Kubernetes固有のセキュリティ問題の大部分は、以下の4つの根本原因のいずれかによるものだと述べている。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。