Azure Kubernetes Service (AKS) でのアプリケーションとクラスターに対するセキュリティの概念

[アーティクル]
01/12/2024

コンテナーのセキュリティは、ビルドから Azure Kubernetes Service (AKS) で実行されているアプリケーションワークロードまでのエンドツーエンドのパイプライン全体を保護します。

セキュリティで保護されたサプライチェーンには、ビルド環境とレジストリが含まれます。

Kubernetes には、ポッドセキュリティ標準やシークレットなどのセキュリティコンポーネントが含まれています。 Azure には、Active Directory、Microsoft Defender for Containers、Azure Policy、Azure Key Vault、ネットワークセキュリティグループ、調整されたクラスターアップグレードなどのコンポーネントが含まれています。 AKS は、これらのセキュリティコンポーネントを組み合わせて以下を実現します。

完全な認証と認可のストーリーを提供します。
AKS 組み込み Azure Policy を適用して、アプリケーションをセキュリティで保護します。
Microsoft Defender for Containers によるビルドからアプリケーションへのエンドツーエンドの分析情報。
AKS クラスターで常に最新の OS セキュリティ更新プログラムと Kubernetes リリースが実行されるようにします。
セキュリティで保護されたポッドトラフィックと、機密性の高い資格情報へのアクセスを提供します。

この記事では、AKS 内でアプリケーションをセキュリティで保護する主要な概念について説明します。

ビルドのセキュリティ

サプライチェーンのエントリポイントとして、イメージビルドをパイプラインで昇格させる前に、その静的分析を実行することが重要です。これには、脆弱性とコンプライアンスの評価が含まれます。これは、脆弱性によるビルドの失敗に関するものではありません。その場合は、開発が中断されてしまいます。これは、開発チームが対策を行うことができる脆弱性に基づいてセグメント化するためのベンダーの状態の確認に関するものです。また、開発者に特定された問題を修復するための時間を与える猶予期間も利用します。

レジストリのセキュリティ

レジストリ内のイメージの脆弱性の状態を評価することで、ドリフトが検出され、ビルド環境からのものではないイメージもキャッチされます。 Notary V2 を使用してイメージにシグネチャを添付し、デプロイが信頼できる場所からのものであることを確認します。

クラスターのセキュリティ

AKS の場合、Kubernetes マスターコンポーネントは、Microsoft が提供、管理、および保守するマネージドサービスの一部です。各 AKS クラスターには、API Server、Scheduler などを提供するための専用のシングルテナント Kubernetes マスターがあります。詳細については、「Azure Kubernetes Serviceの脆弱性管理」を参照してください。

既定では、Kubernetes API サーバーは、パブリック IP アドレスと完全修飾ドメイン名 (FQDN) を使用します。許可された IP 範囲を使用して、API サーバーエンドポイントへのアクセスを制限できます。また、フルプライベートクラスターを作成して、API サーバーから仮想ネットワークへのアクセスを制限することもできます。

API サーバーへのアクセスは、Kubernetes のロールベースのアクセス制御 (Kubernetes RBAC) と Azure RBAC を使用して制御できます。詳細については、Microsoft Entra と AKS の統合に関する記事を参照してください。

ノードのセキュリティ

AKS ノードは、ユーザーが管理および保守する Azure 仮想マシン (VM) です。

Linux ノードでは、Ubuntu または Azure Linux の最適化されたバージョンが実行されます。
Windows Server ノードは、containerd または Docker コンテナーランタイムを使用して、最適化された Windows Server 2019 リリースを実行します。

AKS クラスターを作成またはスケールアップすると、ノードは自動的に、最新の OS セキュリティ更新プログラムと構成でデプロイされます。

Note

以下を実行する AKS クラスター:

Kubernetes バージョン 1.19 以降 - Linux ノードプールの場合、コンテナーランタイムとして containerd を使います。 Windows Server 2019 ノードプールの場合、コンテナーランタイムとして containerd を使います (現在はプレビュー段階です)。詳しくは、「containerd を使用して Windows Server ノードプールを追加する」をご覧ください。
Kubernetes バージョン 1.19 以前 - Linux ノードプールの場合、コンテナーランタイムとして Docker を使います。 Windows Server 2019 ノードプールの場合、既定のコンテナーランタイムに Docker を使います。

Linux および Windows ワーカーノードのセキュリティ更新プロセスの詳細については、ノードへのセキュリティ修正プログラムの適用に関するページを参照してください。

ノードの承認

ノードの認証は、East-West 攻撃から保護するために、kubelet API 要求を明示的に承認する特殊用途の認証モードです。 AKS 1.24 以上のクラスターでは、ノードの認証が既定で有効になっています。

ノードのデプロイ

ノードは、パブリック IP アドレスが割り当てられていないプライベート仮想ネットワークサブネットにデプロイされます。トラブルシューティングと管理の目的で、SSH は既定で有効になっており、内部 IP アドレスを使用してのみアクセスできます。クラスターとノードプールの作成中に、または既存のクラスターまたはノードプールに対して SSH を無効にする機能はプレビュー段階です。詳細については、SSH アクセスの管理に関する記事を参照してください。

ノードストレージ

ストレージを提供するために、ノードは Azure Managed Disks を使用します。ほとんどの VM ノードサイズでは、Azure Managed Disks は高性能 SSD によってサポートされる Premium ディスクです。マネージドディスクに格納されたデータは、Azure プラットフォームへの保存時に自動的に暗号化されます。冗長性を向上させるために、Azure Managed Disks は Azure データセンター内で安全にレプリケートされます。

悪意のあるマルチテナントワークロード

現在、Kubernetes 環境は悪意のあるマルチテナントの使用に対して安全ではありません。 ポッドのセキュリティポリシーやノード用の Kubernetes RBAC などのような追加のセキュリティ機能により、悪用を効率的にブロックします。悪意のあるマルチテナントワークロードを実行する場合の真のセキュリティを実現するために、ハイパーバイザーのみを信頼してください。 Kubernetes 用のセキュリティドメインは、個々のノードではなく、クラスター全体になります。

この種の悪意のあるマルチテナントワークロードでは、物理的に分離されたクラスターを使用する必要があります。ワークロードを分離する方法については、「AKS でのクラスターの分離に関するベストプラクティス」を参照してください。

コンピューティングの分離

コンプライアンスや規制上の要件により、特定のワークロードでは、他の顧客によるワークロードから高度に分離する必要がある場合があります。これらのワークロードに対して、Azure には次の機能が用意されています。

カーネル分離コンテナー: AKS クラスター内のエージェントノードとして使用します。これらのコンテナーは、特定のハードウェアの種類に完全に分離され、Azure Host ファブリック、ホストオペレーティングシステム、ハイパーバイザーからも分離されます。これらは 1 人の顧客専用です。 AKS クラスターの作成時、またはノードプールの追加時には、ノードサイズとして分離された仮想マシンサイズの 1 つを選択します。
機密コンテナー (プレビュー): Kata Confidential Containers に基づいてコンテナーメモリを暗号化し、計算中のメモリ内のデータがクリアテキストや読み取り可能な形式になったり、改ざんされたりしないようにします。他のコンテナーグループやポッド、および VM ノードの OS カーネルからコンテナーを分離するのに役立ちます。機密コンテナー (プレビュー) では、ハードウェアベースのメモリ暗号化 (SEV-SNP) が使用されます。
ポッドサンドボックス: コンテナーアプリケーションと、コンテナーホストの共有カーネルおよびコンピューティングリソース (CPU、メモリ、ネットワーク) との間の分離境界を提供します。

ネットワークのセキュリティ

オンプレミスネットワークの接続とセキュリティのために、既存の Azure 仮想ネットワークサブネットに AKS クラスターをデプロイすることができます。これらの仮想ネットワークは、Azure サイト間 VPN または Express Route を使用してオンプレミスネットワークに接続します。プライベートの内部 IP アドレスを使用して Kubernetes イングレスコントローラーを定義し、内部ネットワーク接続へのサービスアクセスを制限します。

Azure ネットワークセキュリティグループ

仮想ネットワークのトラフィックフローをフィルター処理する場合、Azure ではネットワークセキュリティグループのルールが使用されます。これらのルールは、リソースへのアクセスを許可または拒否する発信元と宛先の IP 範囲、ポート、およびプロトコルを定義します。 Kubernetes API サーバーへの TLS トラフィックを許可する、既定の規則が作成されます。ロードバランサー、ポートマッピング、またはイングレスルートを使用してサービスを作成します。 AKS は、トラフィックフローのネットワークセキュリティグループを自動的に変更します。

(Azure CNI の使用時でも Kubenet の使用時でも) AKS クラスターに独自のサブネットを指定する場合は、AKS が管理する NIC レベルのネットワークセキュリティグループを変更しないでください。代わりに、サブネットレベルのネットワークセキュリティグループをさらに作成して、トラフィックのフローを変更します。ロードバランサーへのアクセス、コントロールプレーンとの通信、またはエグレスなど、クラスターを管理するために必要なトラフィックに干渉しないようにしてください。

Kubernetes ネットワークポリシー

クラスター内のポッド間のネットワークトラフィックを制限するために、AKS では、Kubernetes ネットワークポリシーのサポートを提供しています。ネットワークポリシーを使用すると、名前空間とラベルセレクターに基づいて、クラスター内の特定のネットワークパスを許可または拒否できます。

アプリケーションセキュリティ

AKS で実行されているポッドを保護するには、Microsoft Defender for Containers を検討して、ポッドで実行されているアプリケーションに対するサイバー攻撃を検出して制限します。継続的なスキャンを実行して、アプリケーションの脆弱性状態のドリフトを検出し、"ブルー/グリーン/カナリア" プロセスを実装して、脆弱なイメージに修正プログラムを適用して置き換えます。

Kubernetes シークレット

Kubernetes シークレットを使用すると、アクセス資格情報やキーなどの機密データをポッドに挿入できます。

Kubernetes API を使用してシークレットを作成します。
ポッドまたはデプロイを定義し、特定のシークレットを要求します。
- シークレットは、それを必要とするスケジュールされたポッドを持つノードにのみ提供されます。
- シークレットは tmpfs に格納され、ディスクには書き込まれません。
シークレットを必要とするノードの最後のポッドを削除すると、ノードの tmpfs からシークレットが削除されます。
- シークレットは、指定した名前空間内に格納され、同じ名前空間内のポッドからのみアクセスできます。

シークレットを使用すると、ポッドやサービスの YAML マニフェストに定義されている機密情報が削減されます。代わりに、YAML マニフェストの一部として Kubernetes API サーバーに格納されたシークレットを要求します。この方法により、シークレットへのアクセス権が特定のポッドにのみ提供されます。

注意

生の秘密マニフェストファイルには、base64 形式の秘密データが含まれています。詳細については、公式ドキュメントを参照してください。これらのファイルは機密情報として扱い、ソース管理にはコミットしないようにしてください。

Kubernetes シークレットは、分散型キー値ストアである etcd に格納されます。 etcd ストアは AKS によって完全に管理されており、データは Azure プラットフォーム内での保存時に暗号化されます。

次のステップ

AKS クラスターのセキュリティでの保護を開始するには「AKS クラスターのアップグレード」を参照してください。

関連付けられているベストプラクティスについては、AKS でのクラスターのセキュリティとアップグレードに関するベストプラクティスのページと、AKS でのポッドのセキュリティに関するベストプラクティスのページを参照してください。

コア Kubernetes と AKS の概念に関する詳細については、以下を参照してください。