本連載では、ここ数回にわたり「Kubernetesネイティブな開発を始めたいけれど、どんなツールを使えば良いかわからない」という方に向け、Kubernetesネイティブなツールを紹介しています。前回までで、以下の①②について取り上げました。今回は③セキュリティ関連ツールを紹介します。
①開発ツール(A. Dev - B. Build - C. Ship)
DockerfileやKubernetesリソースを開発してデプロイするまで
②運用ツール(D. Run)
コンテナやKubernetesリソースのデバッグ
③セキュリティ関連ツール(Security:A. Dev - B. Build - C. Ship - D. Run)
マニフェストファイルの脆弱性チェックやイメージスキャン
③セキュリティ関連ツール(Security)
Securityのフェーズで求められる代表的な機能・対象・ツールは以下の通りです。
フェーズ | 機能 | 対象 | 代表ツール |
---|---|---|---|
Dev | セキュリティポリシーチェック | ソースコード | Sonar Cube |
Dev | セキュリティポリシーチェック | マニフェスト(YAML) | OPA Gatekeeper、Kyverno、Conftest、Trivy、PodSecurity Admission |
Dev | SBOMの生成 | SBOM | Syft、Trivy |
Build | イメージスキャン | Dockerイメージ | Trivy、Grype |
Run | 脅威検知 | Kuberentesリソース | Falco、Tracee |
以降では、いくつかピックアップして紹介します。