Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、開発から運用まで、コンテナ/Kubernetesのセキュリティを強化するツールをカタログで紹介します。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Kubernetesが登場した当初は、Kubernetes自身の新機能やDevOpsなどの開発者向けの機能が注目されましたが、Kubernetesの普及に伴って、運用面での改善に注目がシフトしてきています。その中でも、最近セキュリティは熱いトピックであり、2021年から2022年にかけて、下記のようなKubernetes/クラウドネイティブ関連のセキュリティカンファレンスが新たに開催され始めています。
セキュリティの盛り上がりに従い、さまざまなツールが出てきており、何をどう使えばよいのか分かりにくくなってきています。CNCF(Cloud Native Computing Foundation)に承認されたものだけでも現在、下図のように多数提供されています。
Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する本連載「Cloud Nativeチートシート」。今回は、クラウドネイティブを実装する上で中核となるコンテナ/Kubernetesで考えるべきセキュリティの全体像を紹介しつつ、代表的なツールを幾つか取り上げ、カタログで紹介します。
コンテナ/Kubernetesのセキュリティで考慮する点として大きく分けて、本稿では、下図のコード、コンテナ、Kubernetesマニフェスト(以下、k8sマニフェスト)、クラスタ基盤の4つの要素に分けてセキュリティツールを紹介します。
本稿では、主にオープンソースソフトウェア(OSS)で利用できるセキュリティツールを中心に紹介しますが、その場合、各フェーズでそれぞれ異なるツールを組み合わせて利用する必要があります。Kubernetesに対応した統合セキュリティ製品を利用すると、広い範囲をカバーできるので、「組み合わせを考えたり、個々に設定したりするのが面倒」という場合は、統合セキュリティ製品を利用するとよいでしょう。本稿では、統合セキュリティ製品も紹介します。
なお、Kubernetes公式の「Overview of Cloud Native Security」で定義される「4C」(Code、Container、Cluster、Cloud)モデルでは、「クラスタ」に、Kubernetesのマニフェストの意味とクラスタ基盤の2つの意味が混ざっています。筆者は、クラスタの基盤のセキュリティと、デプロイされるアプリケーション(マニフェスト)のセキュリティは対応するエンジニアが異なるため分けるべきという考えであり、本稿では、4Cモデルにおけるクラスタを「k8sマニフェスト」と「クラスタ基盤」に分けて記載しています。
Copyright © ITmedia, Inc. All Rights Reserved.