クラウドセキュリティ
Kubernetes セキュリティ
別称: K8s セキュリティ
定義
Kubernetes クラスター(API サーバー、コントロールプレーン、ノード、ワークロード、ネットワーク)を構成ミス・侵害・横移動から守ること。
Kubernetes は今やクラウドネイティブワークロードのデファクトオーケストレーターであり、そのセキュリティはビジネス上極めて重要です。主要な統制には、API サーバーのハードニング(RBAC の最小権限、監査ログ、匿名アクセス禁止)、kubelet と etcd の保護、Pod Security Standards の強制(特権コンテナ禁止、Capability の削減、非 root)、東西方向の分離のための NetworkPolicy、外部 KMS によるシークレット管理、Kyverno や OPA によるアドミッションポリシーなどがあります。脅威としては、公開された Dashboard、脆弱なイメージ、Helm チャートのサプライチェーン攻撃、コンテナエスケープ、暗号資産マイナーなどが挙げられます。CIS Kubernetes Benchmark や NSA/CISA のハードニングガイドが具体的なベースラインとなります。
例
- 全 Namespace で restricted Pod Security Standard と既定の NetworkPolicy を強制する。
- kube-bench、kubescape、Wiz を使ってクラスターを CIS Benchmark に照らして採点する。
関連用語
コンテナセキュリティ
コンテナイメージ・レジストリ・オーケストレーター、およびコンテナが実行されるランタイムを保護する一連の実践。
CWPP(クラウドワークロード保護プラットフォーム)
仮想マシン・コンテナ・サーバーレス関数といったクラウドワークロードを、ビルドからランタイムまで全ライフサイクルで保護するプラットフォーム。
CNAPP(クラウドネイティブアプリケーション保護プラットフォーム)
CSPM・CWPP・CIEM・IaC スキャン・ランタイム検知を統合し、クラウドネイティブアプリをビルドから実行時まで包括的に保護する統合プラットフォーム。
クラウドセキュリティ
パブリック・プライベート・ハイブリッドクラウド環境に置かれたデータ・アプリケーション・インフラを保護するための、ポリシー・統制・技術の総体。
Microsegmentation
Microsegmentation — definition coming soon.
ロールベースアクセス制御(RBAC)
権限をユーザーに直接ではなくロールに付与し、ユーザーはロール割り当てを通じてアクセス権を継承する認可モデル。