Kubernetes セキュリティポスチャ管理 （KSPM） の理解

Kubernetes セキュリティポスチャ管理とは？

Kubernetes セキュリティポスチャ管理（KSPM）とは、セキュリティ自動化ツールを使用して、Kubernetes のあらゆるコンポーネント内のセキュリティおよびコンプライアンスの問題を発見し、修正することです。

例えば、KSPM は、非管理者ユーザーに許可されるべきでない権限（新しいポッドの作成など）を付与する Kubernetes RBAC ロール定義の誤設定を検出できます。または、KSPM ツールは、異なるネームスペース間のポッド間の通信を許可する不適切な Kubernetes ネットワーク構成を通知し、通常は有効にすべきでない設定であることを指摘します。

Kubernetes のセキュリティポスチャ管理が重要な理由

より広範な Kubernetes セキュリティ戦略の一環として、KSPM はいくつかの重要なセキュリティ上の考慮事項に対応しています。

人為的ミスや見落としの検出

KSPM は、Kubernetes リソースを管理するために使用する構成のセキュリティを二重にチェックするためのソリューションです。エンジニアが、作成する構成がデフォルトで安全であることを確認するためにどれほど努力しても、人為的なミスや見落としによって、理想的なセキュリティレベルに達していない構成になってしまうリスクは常にあります。

KSPM は、このようなミスがセキュリティ侵害につながる前に、チームがそのミスを発見して修正するのを支援します。

クラスタの進化に伴うセキュリティの管理

Kubernetes は依然として急速に進化しているテクノロジーであり、あるバージョンの Kubernetes で安全である設定は、新しいバージョンにアップグレードすると安全でなくなる可能性があります。

たとえば、Kubernetes は 2021 年に、ポッドに対する特定の種類のアクセス制御を実施するための重要なリソースであったポッドセキュリティポリシーがKubernetes セキュリティコンテキストやカスタムアドミッションコントローラーなどのツールに置き換える必要があります。

サードパーティ・コンフィグの検証

Kubernetes は、チームが上流からリソースを日常的に共有またはインポートするエコシステムです。たとえば、パブリック Docker Hub レジストリからコンテナイメージをプルしたり、GitHub で見つけたデプロイメントファイルを適用したりすることができます。これらのリソースを作成したサードパーティの開発者は、お客様のチームと同じセキュリティ規約に従っている場合と従っていない場合があります。

KSPMは、サードパーティのリソースに潜在的なセキュリティ問題がないかをスキャンする手段を提供します。これにより、Kubernetesコミュニティが提供する豊富なリソースを活用しつつ、関連するセキュリティリスクを管理することが可能になります。

Kubernetes コンプライアンスの施行

KSPM は、ポリシーエンジンを使用して構成を評価し、リスクを特定するため、企業が特定のコンプライアンス要件を満たす必要があるシナリオに最適です。

たとえば、Kubernetes によって管理またはアクセスされるすべてのデータが HIPAA や GDPR などのフレームワークに準拠した方法で保存されるようにするポリシーを作成することで、企業は Kubernetes クラスタ内のコンプライアンス管理を自動化できます。

Kubernetes セキュリティポスチャー管理の仕組みについて

KSPM へのアプローチはツールによって多少異なりますが、KSPM のワークフローはいくつかの重要なステップに要約されます。

セキュリティルールを定義します

通常、KSPM ツールは、セキュリティおよびコンプライアンスのリスクを定義するポリシーによって動作します。ほとんどの KSPM ツールには、組み込みのポリシーセットが付属しており、管理者は独自のポリシーを定義することができます。

設定をスキャンします

KSPM ツールは、セキュリティおよびコンプライアンスのルールを使用して、Kubernetes 環境を自動的にスキャンします。評価する各リソースについて、事前定義されたルールに違反する構成を探します。

理想的には、構成のスキャンは継続的に実行され、新しい構成が導入されたり、既存の構成が更新されたりすると、リスクがリアルタイムで特定されるようにします。

検出、評価、およびアラート

ポリシー違反が検出された場合、KSPM ツールは通常、その重大度を評価し、即時、リアルタイムの通知が必要な重大度であれば、アラートまたは通知を生成します。軽微な問題は、チームが後で対処できるログに記録されるだけです。

修復します

セキュリティまたはコンプライアンスポリシーの違反に関する通知を受け取った後、エンジニアが問題を調査し、是正します。特定のケースでは、高度な KSPM ツールを使用して、問題のある RBAC ファイルを変更してセキュリティを強化するなど、問題を自動的に是正できる場合があります。

KSPMとCSPMとの比較

Kubernetes セキュリティポスチャ管理とクラウドセキュリティポスチャ管理の関係は主観的なものです。Kubernetes 環境は多くの場合クラウドで実行されるため、KSPM は CSPM の 1 つのコンポーネントであると主張することもできます。

または、Kubernetes はクラウド上で実行する必要がない（オンプレミスに展開することも可能です）ため、KSPM を独立した領域と捉えることもできます。また、KSPM が検証するリソースや構成（Kubernetes RBAC ポリシーなど）は、CSPM が保護できるリソース（クラウド IAM ポリシーやクラウド ネットワーク構成など）と異なるためです。

ただし、KSPM と CSPM の関係をどのように考えるかに関係なく、重要なのは、KSPM は Kubernetes に固有のセキュリティおよびコンプライアンスのリスクに対処するものであり、CSPM は他のタイプのクラウドネイティブ環境のリスクの管理に役立つものであることを理解することです。Kubernetes を使用している場合は、特定の KSPM 機能を提供するセキュリティツールが必要です。

KSPM を最大限に活用する

Kubenetes 環境を監視するための KSPM ツールを導入することは、セキュリティとコンプライアンスのリスクを軽減するための第一歩ですが、KSPM を最大限に活用するには、チームはいくつかの重要なベストプラクティスに従う必要があります。

継続的にスキャンすること

前述のように、構成のスキャンは継続的に実行する必要があります。Kubernetes 環境は、コンテナの再デプロイ、ネームスペースの追加や変更、ユーザーやサービスアカウントの作成や削除など、絶えず変化します。

継続的なスキャンを実行することで、セキュリティの問題が発生したらすぐに検出することができます。これは、定期的にスキャンを行うよりもはるかに効果的です。

ルールを最新の状態に保つこと

Kubernetes のセキュリティおよびコンプライアンスのリスクは常に変化しています。Kubernetes の構成自体も同様です。KSPM ツールが、Kubernetes の旧バージョン向けに設計されたルール、または単に古いルールに依存している場合、最新のリスクを検出できない可能性があります。

Kubernetes の脅威の状況の変化に応じて継続的に更新されるポリシールールを使用することで、この問題を回避できます。

リスクの分類

Kubernetes のセキュリティおよびコンプライアンスリスクは、すべて同じくらい深刻というわけではありません。たとえば、特権モードで実行が許可されているコンテナは、誤ってポッドのリスト権限が与えられたユーザーよりも深刻なリスクとなる可能性が高いでしょう。　

チームが最も深刻なリスクを優先的に特定して対応できるように、リスクを検出するだけでなく、その深刻度に応じて分類できる KSPM ツールおよびポリシーをご利用ください。

KSPMだけに偏らないでください

KSPM は、ランタイムセキュリティの代わりにはなりません。また、コンテナ内のマルウェアなどのリスクにも対応していません。この脅威は、コンテナイメージのスキャンで対処できます。

ここで重要なのは、Kubernetes には幅広いセキュリティツールを導入する必要があるということです。より広範なKubernetesセキュリティ戦略の一環として、KSPMはチームがKubernetes構成のセキュリティを検証し、侵害を引き起こす可能性のあるミスを発見して是正することを可能にします。Kubernetes構成の継続的かつ自動的なスキャンを実施することで、管理者は最も一般的な攻撃ベクトルの1つである「人的ミス」を軽減しつつ、最も複雑なKubernetesクラスターにおいてもコンプライアンスの自動化を実現できます。