米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)と米国家安全保障局(NSA: National Security Agency)は8月2日(現地時間)、Kubernetesの安全な利用に向けたテクニカルレポート「CISA and NSA Release Kubernetes Hardening Guidance|CISA」を公開した。このレポートでは、Kubernetesを利用する上で想定される脅威について説明した上で、リスクを最小限に抑えるための構成ガイダンスが提供される。
Kubernetesは、コンテナで実行されるアプリケーションのデプロイやスケーリング、管理の自動化を行うオープンソースのオーケストレーションツールである。Kubernetesを利用することで、クラウド環境にホストされるコンテナベースのクラスタシステムは管理が容易になり、高い安定性と柔軟性を実現することができる。近年、大規模なクラウドアプリケーションを構成する上で標準的に利用されるようになった一方で、さまざまなサイバー攻撃のターゲットとなるリスクも増してきている。
Kubernetes Hardening Guidanceでは、Kubernetesクラスタの設定とセキュリティに関連する課題を挙げ、一般的な設定の誤りを回避するための戦略や、Kubernetesを導入する上で推奨される強化策や緩和策が具体的な設定例とともに説明されている。
Kubernetes Hardening Guidanceは以下より入手することができる。
Kubernetesが標的にされる目的としては、主にデータの盗難、計算能力の盗難、そしてサービス拒否の3つが挙げられるという。これらのサイバー攻撃のリスクを抑えるためのアクションとしては、脆弱性や謝った構成についてのコンテナおよびポッドのスキャン、最小限の特権でのコンテナとポッドの実行、ネットワークの分離、適切なファイアウォールの使用、強力な認証の有効化、ログ監査などが挙げられている。システムの管理者や開発者は、ガイダンスに従うことでリスクを最小限に抑えたKubernetesの導入や運用ができるようになるとのことだ。