クラウド道場

【Next’19 Tokyo レポート】Google Kubernetes Engineによるコンテナセキュリティの道

Author
tsk
Lv:5 Exp:324

MLチームの新人エンジニアです

7/31 17:20~18:00@ザ・プリンスパークタワー東京
Speaker : イアン・ルイス(Google)

コンテナとGKE

コンテナ導入前
手動でコピー、ビルド、デプロイを行い、
Application Serverに依存
何も考えずにファイアウォールを作成したりすることで、
悪意ある者が内部に入れば各アプリケーションサーバに入る(攻撃する)ことが可能な状況であった。
コンテナ導入後
GKEが勝手にサーバ同士をスケジューリングする。
そのため誰かが侵入したとしても他のアプリケーションサーバに侵入することは難しくなった。

コンテナ導入のメリット
– コンテナの中身関係なく、リリース方法が一緒
– ステップが少なくて自動的
– 運用しやすい

新しいセキュリティの課題

  • Kubernetesへのアクセス権限の管理
  • ファイアウォール、ネットワークポリシーなど
    が課題となる。

コンテナによる新しいセキュリティの可能性

  • 統一したモニタリング
  • イメージスキャン
  • イメージ署名
  • サービスメッシュ(アプリケーション同士の通信の間にプロキシ)

特にGCPの場合
– インフラ部分は考えなくて良い
– Googleも無条件でユーザのデータは見れない

Googelとユーザの担当範囲をしっかり意識することが重要である。

アプリケーションのライフサイクルをセキュアに

  • コンテナイメージが変更されていないか
  • 脆弱性がないのか
  • 運用中のアプリケーションは不正侵入されていないか
  • ユーザ権限が正しいか、不正アクセスがないか

GCPの可視性、セキュリティ、コントロールについて紹介する。

CI/CD ビルド

Container Registry

Dockerコンテナイメージを保存、管理、保護し、自動的にビルド、デプロイすることもできる。
ただの箱ではなく、脆弱性のスキャンも可能である。
このとき脆弱性の内容と重大度を表示してくれる。

デプロイ

GKE Binary Authorization

信頼できるコンテナのみをGKEにデプロイする。
以下のようなポリシーを設定できる。
– 実際のデプロイ時に変更がないかチェックする
– 脆弱性があるものはデプロイしない
など

アプリケーション運用

GKE Sandbox(ベータ)

コンテナのセキュリティをさらに強化してくれる。
第3者が書いたコードを実行する場合は怖いので、徹底した防御をポッドに追加する。
また、潜在的な攻撃を限定することもできる。

gVisor

gVisor
コンテナsandboxのオープンソース環境
Google内部でもよく使われる。

Anthos

オンプレとクラウドの両方で一貫性のあるポリシーとセキュリティを大規模に自動化する。
オンプレで動かしているKubernetesクラスタをクラウドでも監視、運用する。

ネットワークとセキュリティ
– ポリシーとコンフィグレーションマネージメント
– 認証
– サービスディスカバリーと管理

プラットフォームとして
– ネットワーク
– マイグレーション
– モニタリング
提供している。

Istio

  • サービス認証・ポリシー
  • モニタリング
  • トラフィックの制御

例えばServiceAとServiceB間にプロキシを置き、確実に通信・暗号化・認証する

Event Threat Detection(ベータ)

GCP内に存在するセキュリティの脅威を検出する。
業界トップクラスの脅威インテリジェンスを搭載し、Loggingから検出する。
そのため、特にGKEをいじらずとも使用可能である。
Security Information and Event Management(SIEM)を最適化してコストを削減している。

ユーザ・アクセス管理

IAM

きめ細かいアクセス制御によってクラウドリソースの一元管理を実現する。
通常のGCPリソースの管理で用いている。

  • 企業のID管理を簡素化
  • 適切な役割(ロール)
  • きめ細かいリソース制御
    といった特徴がある。

Cloud Security Command Center

GCP用の包括的なセキュリティ管理とデータリスクプラットフォーム
クラウドデータやサービスの可視化と制御により脅威を防止
GCPのアセットを標的とした脅威の検出と対処
柔軟なプラットフォームでセキュリティのニーズに対応
持っているプロジェクトのアラートとかを1箇所で見れる

まとめ

GKEを使用するに際して、セキュリティプロダクトをCI/CD・ビルド、デプロイ、アプリケーション運用、ユーザ・アクセス管理に分けて紹介しました。

感想

筆者も聞いたことのないものがちらほらあり、非常に参考になりました。
今話題になっているAnthosやIstioにも言及があり、GKEまわりに力を入れていると感じました。

次の記事を読み込んでいます