実践的な Kubernetes セキュリティのベストプラクティス [チートシート]
チートシートをダウンロード
主な要点
- 基本のその先へ:ほとんどの Kubernetes クラスターは基本的な設定から始まりますが、真のリスク低減は、より高度なセキュリティコントロールを階層的に組み込むことで実現されます。
- Security as Code (コードとしてのセキュリティ):権限昇格の禁止、信頼できないコンテナレジストリの拒否、書き換え可能なファイルシステムのブロックなどのポリシーを簡単に適用できる、コードスニペットや YAML の例を提供します。
- クラスター全体のハードニング:kubelet や API サーバーのロックダウンから、mTLS の強制、サービスアカウントの分離まで、このチートシートは Kubernetes スタックのあらゆるレイヤーにおける脅威への対策をサポートします。
このチートシートの対象者:
セキュリティエンジニアおよび DevSecOps チーム: デフォルトの設定以上の高度な制御を目指す方。
プラットフォームチーム: マルチテナントの Kubernetes クラスターを管理している方。
開発者: 本番環境でのワークロード保護を担当している方。
主な内容:
コンポーネントのハードニング手法: TLS と RBAC を使用して、etcd、kubelet、API サーバーをロックダウンします。
検証用アドミッションポリシーの例: 権限昇格の禁止や信頼できないレジストリのブロックなどのガードレールを適用します。
ネットワークセキュリティ・ガイダンス: ネットワークポリシーの適用、トラフィックの監視、Istio や Linkerd などのサービスメッシュの活用。
Pod とワークロードの保護: NodeRestriction の使用、権限昇格の防止、リスクのあるボリュームマウントの無効化。
シークレットと認証情報の管理: Vault などのツールを使用してシークレットを安全に保存し、最小権限アクセスの原則に従います。
サービス間通信の mTLS: 内部トラフィックを暗号化および認証し、曝露リスクを低減します。
Kubernetes セキュリティ・ツールキット
パーソナライズされたデモを見る
実際に Wiz を見てみませんか?
"私が今まで見た中で最高のユーザーエクスペリエンスは、クラウドワークロードを完全に可視化します。"
デビッド・エストリックCISO (最高情報責任者)
"Wiz を使えば、クラウド環境で何が起こっているかを 1 つの画面で確認することができます"
アダム・フレッチャーチーフ・セキュリティ・オフィサー
"Wizが何かを重要視した場合、それは実際に重要であることを私たちは知っています。"
グレッグ・ポニャトフスキ脅威および脆弱性管理責任者