fbpx

Kubernetesのセキュリティを向上:MUTに取り組む #aqua #コンテナ #セキュリティ #k8s

この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。

本ブログは「Aqua Security」社の技術ブログで2021年9月22日に公開された「 Improving Kubernetes Security: Work on Your MUT 」の日本語翻訳です。

Kubernetesのセキュリティを向上:MUTに取り組む


どんな企業でもセキュリティにかける時間は限られていますが、時には注意すべきことが無限にあるように思えることもあります。このような場合、どこから手をつければよいのでしょうか。ここで焦点を当てるべきは、「MUT(Mess-up Tolerance)」の改善に注力することです。Kubernetes Community Days UK で行った「Getting started with Kubernetes security」という講演の中で、企業がセキュリティ対策に優先順位をつけるために MUT をどのように利用できるかについて、いくつかのアイデアを紹介しました。

MUTとは

これは、数年前に見た英国国立サイバーセキュリティセンター(NCSC)のイアン=リービー博士の講演から拝借したアイデアですが、彼はもっと直接的な表現を使っていました。

基本的な考え方としては、どんなシステムにもミスや失敗が起こるというものです。ソフトウェアコードに悪用可能なバグがあったり、設定が誤って適用されたり、物事がどのように動作するかについて誤った仮定がなされたりして、セキュリティの侵害につながるのです。

MUT とは、「自分の組織に何か悪いことが起こる前に、どれだけの多くの失敗を経験するか」ということです。この数字が大きいほど、問題が多く発生しますが、セキュリティインシデントが発生する可能性は低くなります。

そのため、Kubernetes のセキュリティを始める際には、MUT を高めることできそうなものに焦点を当てて、侵害のリスクを軽減すべきです。

MUTの改善例

企業が Kubernetes の設定を変更して MUT を改善する方法について、実例を挙げてみましょう。

以前ブログで取り上げたように、マネージド Kubernetes クラスターの一般的な構成は、デフォルトで匿名認証を有効にしてインターネット上に Kubernetes API サーバーが設置されています。この構成では、ユーザが Kubernetes のロールベースアクセスコントロール(RBAC)マニフェストを適用して system:unauthenticated グループに特権的なアクセスを許可すると、攻撃者はそのクラスターと潜在的にそのすべての アプリケーションを即座に侵害できます。

これは基本的に MUT が1の状態(悪い状態)であり、たった1つのミスが重大なセキュリティ問題を引き起こす可能性があります。ではこれをどのように改善すればよいのでしょうか。

まず第1に、Kubernetes クラスターで匿名認証を無効にすることです。これは通常、監視システムに必要なものですが、使われていないことが多く、デフォルトの設定のまま存在しているだけです。このオプションを変更すると、攻撃者はクラスターを侵害するために必要な権限を持つ有効な認証情報を必要とします。これは改善されましたが、まだ少しリスクがあります。

その他の明らかな改善点は、Kubernetes API サーバーをインターネット上に直接置かないことです。これも一般的にはデフォルトで行われますが、多くの場合公開する必要はありません。VPN、踏み台サーバー、またはクラウドプロバイダーのリモートアクセスサービスを使用することで、API サーバーが直接公開されるのを防ぐことができます。

これにより、MUT は再び向上します。さて、攻撃者はリモートアクセスサービスを侵害し、Kubernetes API サーバーを見つけ、そのための有効な認証情報を取得し、クラスターを侵害するのに十分な権限を持つアカウントを持つ必要があります。

絶対的なセキュリティは存在しないことを忘れないでください。しかし、これらの強化措置を講じることで、侵害の可能性はかなり低くなりました。

まとめ


Kubernetes のセキュリティに着手する際、あるいは他のセキュリティに着手する際、すぐに意味のある改善ができるところに焦点を当てることが重要です。ゼロトラストネットワークやあらゆる場所での mTLS の使用など、複雑なセキュリティコンセプトに飛び込みたくなることもあります。しかし実際には、インターネット上の不要なサービスを削除して攻撃対象を減らしたり、すべての管理用 API へアクセスする際に認証が必要であることを確認したりするなど、より基本的な対策のほうが、全体的なセキュリティ状態の改善につながります。

より実践的なセキュリティアドバイスについては、Kubernetes Community Days UK で行われた「Getting started with Kubernetes security」の講演をご覧ください。

Getting started with kubernetes

 

 

New call-to-action

新規CTA