連載
» 2022年11月22日 05時00分 公開

クラウドネイティブセキュリティ知らんけど、という人必見!コンテナ/KubernetesセキュリティツールカタログCloud Nativeチートシート(22)

Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、開発から運用まで、コンテナ/Kubernetesのセキュリティを強化するツールをカタログで紹介します。

[西澤勇紀, 眞野将徳, 岡本隆史, 正野勇嗣株式会社NTTデータ]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

コンテナ脆弱性の戸締まり。コンテナ/Kubernetesの脆弱性の閉じ師(セキュリティツール)カタログ

 Kubernetesが登場した当初は、Kubernetes自身の新機能やDevOpsなどの開発者向けの機能が注目されましたが、Kubernetesの普及に伴って、運用面での改善に注目がシフトしてきています。その中でも、最近セキュリティは熱いトピックであり、2021年から2022年にかけて、下記のようなKubernetes/クラウドネイティブ関連のセキュリティカンファレンスが新たに開催され始めています。

 セキュリティの盛り上がりに従い、さまざまなツールが出てきており、何をどう使えばよいのか分かりにくくなってきています。CNCF(Cloud Native Computing Foundation)に承認されたものだけでも現在、下図のように多数提供されています。

CNCF Landscape for Security(オリジナルのリストはここをクリック

 Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する本連載「Cloud Nativeチートシート」。今回は、クラウドネイティブを実装する上で中核となるコンテナ/Kubernetesで考えるべきセキュリティの全体像を紹介しつつ、代表的なツールを幾つか取り上げ、カタログで紹介します。

コンテナ/Kubernetesセキュリティツールの4分類

 コンテナ/Kubernetesのセキュリティで考慮する点として大きく分けて、本稿では、下図のコード、コンテナ、Kubernetesマニフェスト(以下、k8sマニフェスト)、クラスタ基盤の4つの要素に分けてセキュリティツールを紹介します。

k8s Security Category
  1. コード
    アプリケーションコードの脆弱(ぜいじゃく)性をチェックする。いわゆる「SAST」(Static Application Security Test)
  2. コンテナ
    コンテナイメージ(開発時、イメージのビルド時)と実行中のコンテナ(運用時)の脆弱性をチェックする
  3. k8sマニフェスト
    Kubernetesにデプロイするアプリケーションのマニフェストに含まれる脆弱性を確認する
  4. クラスタ基盤
    上記、1〜3はアプリケーションの話だが、クラスタ基盤のセキュリティは、Kubernetesのクラスタ自身の脆弱性を確認する

 本稿では、主にオープンソースソフトウェア(OSS)で利用できるセキュリティツールを中心に紹介しますが、その場合、各フェーズでそれぞれ異なるツールを組み合わせて利用する必要があります。Kubernetesに対応した統合セキュリティ製品を利用すると、広い範囲をカバーできるので、「組み合わせを考えたり、個々に設定したりするのが面倒」という場合は、統合セキュリティ製品を利用するとよいでしょう。本稿では、統合セキュリティ製品も紹介します。

 なお、Kubernetes公式の「Overview of Cloud Native Security」で定義される「4C」(Code、Container、Cluster、Cloud)モデルでは、「クラスタ」に、Kubernetesのマニフェストの意味とクラスタ基盤の2つの意味が混ざっています。筆者は、クラスタの基盤のセキュリティと、デプロイされるアプリケーション(マニフェスト)のセキュリティは対応するエンジニアが異なるため分けるべきという考えであり、本稿では、4Cモデルにおけるクラスタを「k8sマニフェスト」と「クラスタ基盤」に分けて記載しています。

1.コード

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。