Kubernetes セキュリティポスチャ―管理 (KSPM)

Kubernetes セキュリティポスチャー管理 (KSPM) は、Kubernetes のセキュリティに関連する機能を完備たツールです。 

KPSM は、K8s (Kubernetes の略称) クラスタを可視化して、アプリケーションのライフサイクル全体にわたって K8s 関連のコンプライアンスとセキュリティのリスクを検出します。 

検出範囲は、コードの CI やコンテナレジストリ、アドミッションコントローラーによるデプロイメント、ランタイムのエージェントレスおよびエージェントベースを網羅しています。

コンプライアンスやセキュリティのリスクは設定ミスによる場合もありますが、そうでない場合もあります。コードからクラウドまでのさまざまな場所でコンテナイメージをスキャンすることで検出できる脆弱性など、K8s で実行されるアプリケーションに関連するリスクも含まれます。

多くの組織は、コンテナ化されたアプリのデプロイメントと管理に Kubernetes を使用しています。 

環境の規模が大きくなると、設定のリスクに対する可視性の管理と維持、および一貫したポリシーの適用が難しくなります。

このような課題が背景にあるので、Kubernetes セキュリティポスチャー管理が必要とされているのです。 KSPM は、セキュリティチームと DevOps チームが設定ミスを特定してベストプラクティスを適用し、Kubernetes 環境全体のリスクを軽減するのに役立つツールです。

この KSPM ガイドでは、KSPM がどのように機能するのか、より広範なクラウドセキュリティポスチャー管理戦略にどう適合するのかを解説します。また、Tenable がエクスポージャー管理に対する統合アプローチで KSPM をどのようにサポートしているのかもご覧いただけます。

視聴覚資料がご希望の場合は、 こちらのウェビナー「KSPM による K8s の保護」をご覧ください。

KSPM は Kubernetes 環境のセキュリティ態勢を評価して改善します。 KSPM は、Kubernetes クラスタ、その中で実行されるワークロード、およびユーザーとシステムの動作を管理する権限とロール (アクセス制御) を確実に安全に設定できるようにします。

KSPM を使用すると、以下を行えるようになります。

• 可視性とセキュリティを低下させる設定ミスの特定
• 共通脆弱性識別子 (CVE) 検出のためのスキャン
• 規制基準に沿ったセキュリティベンチマーク準拠の評価
• ドリフトや設定ミスなどの環境全体の変化の監視
• 緊急度に基づいてセキュリティの問題の優先順位付けと対処

Kubernetes の設定に欠陥があると、セキュリティの問題が引き起こされます。K8s に問題があると、ワークロードが正常に動作しているように見えてもシステムをリスクにさらすことがあります。たとえば、クラスタの規模が大きくなるのに伴って問題が蓄積され、一元的なインサイトがなければ管理が難しい広範なアタックサーフェスが形成されることがあります。 

ソフトウェアデリバリライフサイクルの早い段階でリスクを明らかにする KSPM は、開発中やテスト中での問題修正を可能にします。本番環境で同じような修正をすると、通常、コストと影響がはるかに膨らみます。

詳細については、Kubernetes のセキュリティを向上させるためのベストプラクティスをご覧ください。

一般的な KSPM のプロセスには以下が含まれます。

1. 発見 - クラウドマネージド型クラスタ、セルフマネージド型クラスタ、ノード、実行中のコンテナ、イメージレジストリ、特定の RBAC 権限など、すべての Kubernetes の資産をマッピングすることにより、全体を可視化してセキュリティリスクに先行的に対処できるようにします。 このような可視性がなければ、エクスポージャーを確実に評価したり、制御を適用する必要がある場所を判断したりすることができません。
2. 評価 - KSPM は、資産を特定すると、(CIS Kubernetes Benchmark のような) 確立されたセキュリティベンチマークや内部要件に照らして設定を評価します。 このような評価は、システム侵害につながる可能性がある潜在的なポリシー違反やギャップを特定するのに役立ちます。
3. 検出 - 評価では設定が不十分な箇所を明らかにしますが、検出では、過度に寛容なロールベースのアクセス制御 (RBAC) やネットワークセグメンテーションポリシーの欠如といった、最も緊急度の高いリスクを優先順位付けします。
4. 修正 - 組織のポリシーに基づいた修正を行えるようなワークフローが提示されます。これは、さらなるリスクを生じさせることなく安全な設定を復元するうえで欠かせません。
5. 報告 - 継続的な報告により、セキュリティ態勢の変化を追跡して長期的な改善を明示し、監査に備えることができます。 透明性の高いレポートが作成されるので、セキュリティの優先事項と規制当局の期待を一致させることができます。 

K8s のセキュリティ専門家を目指している方は、 こちらから、Kubernetes のセキュリティをマスターするための必要知識をご覧ください。

セキュリティ専門家は、KSPM とクラウドセキュリティポスチャー管理 (CSPM) の両方に触れることがよくあります。KSPM と CSPM は、それぞれクラウドネイティブアーキテクチャの異なるレイヤーに対応しています。 

以下の表に、2 つのアプローチの主な違いをまとめます。

クラウドセキュリティポスチャー管理について不明な点がある場合は、 こちらにある CSPM のその他のリソースをご覧ください。

効果的な KSPM ツールには、最低限、以下の機能が必要です。

• エージェントを必要としない広範な可視性
  • エージェントレスモニタリングによってセキュリティ部門の負荷を減らし、動的なワークロード全体に対応できるようにします。
• ロールを意識したアクセスレビュー
  • 各ロール別に権限を設定すると、不必要なアクセスを防いで権限の悪用や昇格の可能性を減らすのに役立ちます。
• ポリシーに沿った設定評価
  • セキュリティポリシーに照らし合わせて設定をスキャンすることにより、一貫したセキュリティ態勢をサポートします。 Tenable がコンテナイメージスキャンで K8s のワークロードをどのように保護しているのかをご覧ください。
• DevOps ワークフローとの統合
  • KSPM を CI/CD パイプラインに接続することにより、デプロイメントの前に設定ミスを特定します。
• 優先順位付けとレポート機能
  • 最も重要なタスクに注力し、ステークホルダーに進捗状況を示すのに役立ちます。

開発プロセスにセキュリティチェックを組み込むことにより、ワークロードが本番環境で実行される前に問題を検出できます。 また KSPM は、DevSecOps チーム間のコラボレーションを向上させます。 

たとえば、

• コードのデプロイメントの前に設定ミスを検出し、修正を迅速化して脆弱なワークロードを減らす、ビルド中のポリシーチェック
• 問題の迅速な解決をサポートし、変更が必要な部分に最も素早く対応できる人がリアルタイムで変更を加えることができるようにする、開発者向けのフィードバック
• アラートのトリガー、デプロイメントのブロック、最小限の手作業による修正の適用といった、ポリシー違反への自動対応
• 繰り返し発生する問題を特定して修正の優先順位に合わせるのに役立つ、態勢と修正の一元的な追跡。 DevSecOps 全体の説明責任と調整が改善されます。

アイデンティティファーストの CNAPP (クラウドネイティブアプリケーション保護プラットフォーム) の一部として K8s セキュリティが必要な場合は、Tenable のマルチクラウド環境向けの KSPM ソリューションをご覧ください。

銀行や金融機関は、KSPM を使用することで法律や規制の要件を満たすことができます。 このツールは、Kubernetes 環境の設定の問題を特定し、顧客の財務データの取り扱いや決済処理に欠かせない、一貫したアクセス制御を維持します。

医療機関は、HIPAA のコンプライアンスに KSPM を利用します。 KSPM は患者データを他のワークロードから分離し、誰が何にアクセスできるのかを制御します。 これによって偶発的な違反が減り、システム全体の安全性が向上します。

小売業者は、ブラックフライデーのような多忙なショッピングシーズンに対応したり、PCI DSS のような要件に確実に準拠したりするために KSPM が必要になります。 KSPM は、すべての分散環境にわたって一貫したセキュリティポリシーを適用し、システムのスムーズな稼働を維持します。 また、実際の問題を引き起こす可能性がある設定ミスから、顧客データやバックエンドシステムを保護します。

テクノロジー企業は、イノベーションを遅らせることなく安全性を維持するために KSPM を使用しています。 開発パイプラインにポリシーチェックを直接組み込み、ロールに基づいてアクセスを管理することにより、業務を邪魔せずに運用を拡張できます。

政府機関は、NIST 800-53 のような厳格な連邦サイバーセキュリティ基準を満たすために KSPM を使用しています。 これにより、複雑な Kubernetes 環境に対する可視性が大幅に向上されます。また、一貫したポリシーを確実に適用することで、監査に向けた準備の負担が大きく軽減されます。

Kubernetes とは何ですか?

Kubernetes は、コンテナ化されたアプリの管理と実行に使用できるオープンソースツールであり、 コンテナオーケストレーション向けの主要なプラットフォームです。 Kubernetes は、アプリを自動的に展開したり、必要に応じて拡張または縮小させたりし、基盤となるコンテナのオーケストレーションによって複数のサーバー全体ですべてをスムーズに稼働させます。

KSPM はどのようにリスクを軽減しますか?

KSPM は、設定ミスや Kubernetes の非準拠の設定を特定することで、リスクの軽減を支援します。 潜在的な影響に基づいてこれらのリスクが優先順位付けされるため、攻撃者に悪用される前に最も重大な問題を修正することに重点を置くことができます。

KSPM はオンプレミスの Kubernetes で使用できますか?

できます。KSPM は、セルフマネージド型とマネージド型の Kubernetes 環境をサポートしています。 

Tenable はマルチクラウド Kubernetes 環境をサポートしていますか?

はい、Tenable は、AWS、Azure、Google Cloud、Oracle OCI にわたる一貫したカバレッジを提供しており、これによってマルチクラウド Kubernetes デプロイメント内でポリシーを適用し、リスクを管理します。

KSPM はエクスポージャー管理にどのように適合しますか?

KSPM は、クラウドネイティブアプリケーションのオーケストレーションレイヤーを対象とすることにより、より広範なエクスポージャー管理の取り組みを補完します。 設定とアイデンティティの文脈を追加して、Kubernetes クラスタの可視性のギャップを解消します。

KSPM と CSPM の違いは何ですか?

CSPM は、(ストレージ、IAM、ネットワーキングなどの) クラウドインフラサービスに重点を置いています。 KSPM は、Pod、RBAC、名前空間といった、Kubernetes 固有のコンポーネントを保護します。 これら 2 つを組み合わせることにより、クラウドワークロードとコンテナオーケストレーションにわたる多層防御が実現されます。

KSPM はコンプライアンスに役立ちますか?

はい、KSPM は、CIS Kubernetes Benchmark、NIST 800-53、HIPAA、PCI DSS などのフレームワークとの整合をはじめとするコンプライアンスをサポートしています。 Tenable には、コンプライアンスワークフローを簡素化するための事前構築済みのポリシーチェック機能とレポート機能があります。

KSPM はどのような種類の設定ミスを特定しますか?

KSPM は、過剰な権限で実行されているコンテナ、Pod 間のネットワークポリシーの欠落、過度に寛容な RBAC 権限、必要なセキュリティの文脈が欠如しているワークロードといった、リスクの高い問題を特定します。

KSPM は DevSecOps ワークフローをサポートしていますか?

はい、KSPM は CI/CD パイプラインに統合され、開発ライフサイクルの早い段階で問題を検出します。 また、開発者へのリアルタイムのフィードバックを実現するとともにポリシーの自動適用をサポートし、長期間にわたって修正を追跡するため、生産性を低下させることなくアプリやサービスを安全に展開できます。

すでにコンテナイメージをスキャンしている場合、KSPM は役に立ちますか?

役立ちます。KSPM は、K8s 環境内でどのようにコンテナを設定して統治するかに対応しています。 KSPM とコンテナイメージスキャンはどちらも、クラウドネイティブワークロードの保護に不可欠です。

Kubernetes 環境は複雑です。 Tenable は、統合クラウドネイティブアプリケーション保護プラットフォーム (CNAPP) の一部として KSPM 機能を提供し、より広範なクラウドとアイデンティティのリスクの文脈の中で Kubernetes 環境を保護できるようにします。 今すぐ Tenable の KSPM ソリューションをご覧ください。