クラウドネイティブセキュリティ知らんけど、という人必見!コンテナ/Kubernetesセキュリティツールカタログ:Cloud Nativeチートシート(22)
Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、開発から運用まで、コンテナ/Kubernetesのセキュリティを強化するツールをカタログで紹介します。
コンテナ脆弱性の戸締まり。コンテナ/Kubernetesの脆弱性の閉じ師(セキュリティツール)カタログ
Kubernetesが登場した当初は、Kubernetes自身の新機能やDevOpsなどの開発者向けの機能が注目されましたが、Kubernetesの普及に伴って、運用面での改善に注目がシフトしてきています。その中でも、最近セキュリティは熱いトピックであり、2021年から2022年にかけて、下記のようなKubernetes/クラウドネイティブ関連のセキュリティカンファレンスが新たに開催され始めています。
- Cloud Native Security Con
- Cloud Native Security Day 2021〜
- Cloud Native Security Conference 2022 by Cloud Native Day
セキュリティの盛り上がりに従い、さまざまなツールが出てきており、何をどう使えばよいのか分かりにくくなってきています。CNCF(Cloud Native Computing Foundation)に承認されたものだけでも現在、下図のように多数提供されています。
Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する本連載「Cloud Nativeチートシート」。今回は、クラウドネイティブを実装する上で中核となるコンテナ/Kubernetesで考えるべきセキュリティの全体像を紹介しつつ、代表的なツールを幾つか取り上げ、カタログで紹介します。
目次
コンテナ/Kubernetesセキュリティツールの4分類
コンテナ/Kubernetesのセキュリティで考慮する点として大きく分けて、本稿では、下図のコード、コンテナ、Kubernetesマニフェスト(以下、k8sマニフェスト)、クラスタ基盤の4つの要素に分けてセキュリティツールを紹介します。
- コード
アプリケーションコードの脆弱(ぜいじゃく)性をチェックする。いわゆる「SAST」(Static Application Security Test) - コンテナ
コンテナイメージ(開発時、イメージのビルド時)と実行中のコンテナ(運用時)の脆弱性をチェックする - k8sマニフェスト
Kubernetesにデプロイするアプリケーションのマニフェストに含まれる脆弱性を確認する - クラスタ基盤
上記、1〜3はアプリケーションの話だが、クラスタ基盤のセキュリティは、Kubernetesのクラスタ自身の脆弱性を確認する
本稿では、主にオープンソースソフトウェア(OSS)で利用できるセキュリティツールを中心に紹介しますが、その場合、各フェーズでそれぞれ異なるツールを組み合わせて利用する必要があります。Kubernetesに対応した統合セキュリティ製品を利用すると、広い範囲をカバーできるので、「組み合わせを考えたり、個々に設定したりするのが面倒」という場合は、統合セキュリティ製品を利用するとよいでしょう。本稿では、統合セキュリティ製品も紹介します。
なお、Kubernetes公式の「Overview of Cloud Native Security」で定義される「4C」(Code、Container、Cluster、Cloud)モデルでは、「クラスタ」に、Kubernetesのマニフェストの意味とクラスタ基盤の2つの意味が混ざっています。筆者は、クラスタの基盤のセキュリティと、デプロイされるアプリケーション(マニフェスト)のセキュリティは対応するエンジニアが異なるため分けるべきという考えであり、本稿では、4Cモデルにおけるクラスタを「k8sマニフェスト」と「クラスタ基盤」に分けて記載しています。
1.コード
Copyright © ITmedia, Inc. All Rights Reserved.