OWASP Kubernetesのセキュリティ管理、トップ10 | SUSE Communities

OWASP Kubernetesのセキュリティ管理、トップ10

Share
Share

NeuVectorを使用してKubernetesでのリスクを低減

Kubernetesは、コンテナのオーケストレーションプラットフォームのデファクトスタンダードとなり、あらゆる規模の企業のビジネスクリティカルなインフラで広く使用されています。この人気に伴い、Kubernetesクラスターの脆弱性や設定ミスを悪用しようとするハッカーが増加しています。オーケストレーションレイヤーのシステムリソースや、その上で実行されるアプリケーションワークロードはすべて、ハッカーの主要なターゲットです。

非営利団体であるOWASP(OWASP Top 10ウェブアプリケーション攻撃で有名)は、最近、Kubernetesのセキュリティリスクを概説したOWASP Kubernetes Top 10の初期のドラフトを公開しました。

以下の要約表は、各リスクとNeuVectorオープンソースコンテナセキュリティプラットフォームが潜在的な脆弱性を軽減する方法を説明しています。各リスクベクトルとNeuVectorセキュリティ管理の詳細な説明については、ガイドをダウンロードしてください。

 

Kubernetesのリスクベクトル 説明 NeuVector のセキュリティ防御
K01: 安全でないワークロード構成 設定ミスはワークロードにつながります。 監査、アドミッションコントロール、CIS
K02: サプライチェーンの脆弱性 CIパイプラインにマルウェア、バックドア、クリプトマイニング、脆弱性が混入。 アドミッションコントロール、イメージ署名、スキャン
K03: 過度に寛容なRBAC構成 許可されていないシステムリソースとコンソールアクセスは、クラスタの侵害につながります。 ゼロトラストのランタイムネットワークとプロセス保護
K04: 中央集権的なポリシー適用の欠如 一元化され、自動化されたポリシー管理の欠如によるセキュリティの設定ミス。 一元化されたアドミッションコントロール、コードとしてのセキュリティ、およびマルチクラスタフェデレーション
K05: 不十分なロギングと監視 攻撃の検出とフォレンジックは、セキュリティに重点を置いたイベントログなしでは困難です。 セキュリティに重点を置いたイベント、通知、パケットキャプチャ
K06: 認証メカニズムの不備 システムリソースへの不正アクセスは、水平移動、破損、データの盗難につながる可能性があります。 ゼロトラストの疑わしいアクティビティの検出
K07: ネットワーク・セグメンテーション・コントロールの欠落 ラテラルムーブメント、ネットワークスキャン、トンネリング、コマンド&コントロール接続は停止できません。 フルレイヤー7ファイアーウォール、セグメンテーション、WAF/DLP、アクセスコントロール
K08: シークレット管理の失敗 保護されていないシークレットにより、攻撃者がリソースまたはワークロードにアクセスできる可能性があります。 疑わしいシステムアクティビティの検出と、シークレットのスキャン
K09: クラスタコンポーネントの設定ミス APIサーバーや、kubeletなどのシステムコンポーネントの設定ミスは、リスクを露呈します。 KubernetesとDocker CISのベンチマーク
K10: 古くて脆弱なKubernetesコンポーネント Kubernetesやその他のシステム(nginx, Istio)コンテナの重大なCVEが悪用につながります。 プラットフォームスキャン、CVEレポート、CISベンチマーク
その他のリスク ゼロデイ攻撃、OWASP TOP10ウェブアプリケーション攻撃 ゼロトラスト・ランタイム・セキュリティ、WAFルール、APIセキュリティ

 

対策

ハッカーが重要なリソースに不正アクセスするリスクは、特にコンテナやKubernetesなどの新しいクラウド技術に対して増加し続けています。従来のゼロデイ・アプリケーション攻撃に加え、Kubernetesシステムやワークロードの設定ミスの悪用は、事業継続に対する現実的な脅威です。レイヤー化されたセキュリティ戦略は、リスクを常に軽減する最善の方法です。セキュリティは、重要なリソースやデータに不正アクセスできるようになる前に、攻撃者が通過しなければならないいくつかの保護のレイヤーを持つべきです。NeuVectorのコンテナセキュリティプラットフォームは、上記の概要にあるように、エクスプロイトの検出と防止に必要なコントロールとレイヤーの多くを提供します。

各リスクベクトルとNeuVectorセキュリティコントロールの詳細な説明については、ガイド(英語のみ)をダウンロードしてください。

Share
Avatar photo
1,586 views
Glen Kosaka Glen is head of product security at SUSE. Glen has more than 20 years of experience in enterprise security, marketing SaaS and infrastructure software. He has held executive management positions at NeuVector, Trend Micro, Provilla, Reactivity, Resonate, Quantum and Rignite.