Kubernetes環境のセキュリティに関するQ&A


Kubernetes環境におけるデータ保護の基本を再確認

IT環境をコンテナ化し、Kubernetesを導入する企業が増え続けています。世界ではITインフラストラクチャの新しい業界基準として定着しつつあり、調査会社ガートナーによれば、2024年までには「成熟した経済圏における大企業の75%がコンテナを導入する」と見積もられています。この新しいIT環境を基準としたサービスやツールの開発も進んでおり、今後さらにコンテナ化の傾向に拍車がかかることは間違いありません。

そこで問題となるのが、セキュリティ対策です。企業にとってデータ資産の重要性が増す中、IT環境の移行によってセキュリティが低下するようなことはあってはなりません。むしろ、移行を機にセキュリティを一層強化し、万全なデータ保護体制を築きたいところです。

では、コンテナやKubernetesといった新技術を導入しながら、同時にデータ保護も強化するにはどうすればよいのでしょうか?

ここでは、Kubernetesとそのセキュリティ、特に近年一段と脅威が増しているランサムウェアの対策について、わかりやすいQ&Aにまとめてみました。

Q: Kubernetesはなぜそこまで普及が拡大しているのですか?

A: 開発プロセスにおける要件変更などの変化に対応する敏捷性(アジリティ)と規模の変化への対応力(スケーリング)に優れているためです。今日の企業システムでは極めて高い柔軟性が必要とされ、Kubernetes抜きでは実現不可能なレベルの柔軟性が企業ニーズに合致した結果、急速な普及が進んでいます。パブリック、プライベート、ハイブリッドの種類を問わずにクラウド環境で拡張性と可搬性を発揮できる点も、時代にマッチしています。このような柔軟性に加え、マイクロサービスの管理を自動化できる点で、企業に費用効率と生産性の向上をもたらしています。

Q: Kubernetesの普及によってセキュリティへの脅威にどのような変化がありますか?

A: 当然ながら、Kubernetes環境が増えた分、それを狙った攻撃も増えています。特に近年ランサムウェア攻撃が急増しているのは、ニュースなどで報じられているとおりです。Kubernetes環境はマイクロサービスで構成され、さまざまなベンダーやオープンソースのモジュールを活用できる分、運用には高いセキュリティ意識が求められます。たとえば、KubernetesのバージョンやCVE(脆弱性情報データベース)の更新は継続的かつ頻繁にインストールする必要があります。アクセス権限のオーバープロビジョニングにも気を付けなければならなりません。導入当初はKubernetesクラスタへのアクセス権限を最小限に絞り、強力な認証プロセスを施行することが推奨されます。

Q: ランサムウェア攻撃が増えている理由は何ですか?特にKubernetes環境を狙う理由があるのですか?

A: ランサムウェアはハッカーにとってもっとも”儲かる”犯罪です。ハッカーを儲けさせないことが、犯罪の撲滅につながりますが、現状は残念ながら、その逆の状況になっています。Kubernetesはまだ新しい技術であり、移行したばかりでセキュリティの整っていない環境は狙われやすくなります。Kubernetesの導入と同時に、第1日目からセキュリティも万全に整える必要があります。また、従来型の環境と異なり、コンピュート環境とストレージ インフラストラクチャを同じ屋根の下で同時に管理できるKubernetesの利点は、ハッカーにとっても同時に攻撃できる点で便利になってしまう側面があります。前述のとおり、Kubernetes環境では、これまで以上のセキュリティ意識が必要になります。

Q: では、Kubernetesのデプロイメントを保護するにはどうすればよいのですか?

A: バックアップとDR(災害復旧)プランの徹底が不可欠です。脆弱性を取り除いてデータを保護すると同時に、最悪の事態に備えることも重要です。もしランサムウェアの被害に遭ってしまったら、できるだけ直近の、そして完全に無傷のバックアップから、速やかにリストアできなければなりません。

Kubernetesクラスタへの攻撃は、認証やパッチのちょっとした見過ごしにつけこまれるケースが珍しくありません。開発と運用に関わるスタッフ全員のセキュリティ意識を高める必要があります。

環境のみならず、セキュリティ対策もKubernetesネイティブであることが重要な意味を持ちます。Kubernetes環境にはKubernetes環境ならではの、セキュリティ対策が必要になります。

Q: データ保護を強化するうえで、Kubernetesネイティブであることの意義は何ですか?

A: プラットフォーム単位でデータを保護する従来型のセキュリティ ソリューションでは、Kubernetes環境に完全には対応しきれません。Kubernetes環境では、マイクロサービスで構成されるアプリケーションが複数ノードに分散され、動的にワークロードの再スケジュールを繰り返しながらも、そのすべての構成を1つのまとまったユニットとして機能します。プラットフォーム単位ではなく、アプリケーション単位で、そのすべての構成を1つのまとまったユニットとしてデータを保護できるKubernetes独自の特性に合致したセキュリティ ソリューションが必要になります。

また、DevOpsの開発手法や自動化されたCI/CDパイプラインのセキュリティ機能と連動するためにも、Kubernetesネイティブであることが重要となります。

Q: Kubernetes環境のセキュリティを強化するためのベストプラクティスは?

A: バックアップの完全性を極める必要があります。データの破損か喪失かを問わず、あるいは不慮の事故か悪意ある攻撃に晒されたのかを問わず、最後の頼みの綱となるのがバックアップなので、バックアップの信頼性は何よりも重要です。その観点から、バックアップをイミュータブルにすることも推奨されます。

バックアップのプロセスは、ハイブリッド環境の複数クラスタを網羅しながら、スケーリングに柔軟に対応できるものでなければならなりません。ハイブリッド環境には、異なるベンダーが提供するさまざまなストレージ、Kubernetesディストリビューション、データサービスが含まれる可能性があり、それらをまるごとサポートできるソリューションが理想的です。たとえば、Kasten K10のようなKubernetesネイティブのデータ保護ソリューションの導入を検討する必要があります。

関連トピックス

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

 

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください