Kubernetesのセキュリティには様々な段階でのセキュリティ対策が考えられます。 ・ノードセキュリティ クラスタを構成するサーバーは一般的にはLinux環境で実行されます。 通常のサーバー運用に対するセキュリティ対策として考えられる対処、例えばOSや構成するアプリケーションのバージョン管理に付随する脆弱性の有無、適切なユーザーを用いた運用管理などが挙げられます。 ・APIセキュリティ KubernetesはAPIで操作となるため、アクセスするユーザーを認証し実行する操作を適切に制御することが必要になります。 必要最小限の権限を付与することを前提とし、権限を細かく割り当てることでRBACポリシーを安全に作成することが有効です。 ・ネットワークセキュリティ Namespaceに対してNetwork Policyを設定することで、Namespaceを越えたPodのアクセスをコントロールすることが可能になります。 また、不要なインターネットからの攻撃を阻止するためにも、信頼できるネットワークに対してのみエンドポイントの公開アクセスが可能にするといった設計も重要です。 ・Podセキュリティ(コンテナイメージ運用含む) Podの定義にSecurity Contextを付与することで、特定ユーザーでの実行や特権コンテナの作成などを制御することが可能です。 利用するコンテナイメージに対して既知の脆弱性が紛れ込んでいないか、コードに直接セキュリティリスクのある記述がされていないかなどを自動的に確認するフローをDev/Opsのサイクル観点で導入することでのセキュリティ対策も有効です。 これらは一例ですが、これらのセキュリティを満遍なく対応することで、Kubernetesセキュリティを十分に実現していると考えられます。
