ネットワークをセキュリティで保護する

ネットワーク セキュリティは、Kubernetes クラスターに対して追加の防御層を提供します。 この記事では、ネットワーク ポリシー、インフラストラクチャ構成、Azure 固有の機能を使用してトラフィック フローを制御し、ワークロードをセグメント化し、通信を保護する方法について説明します。 これらの対策を実装すると、攻撃対象領域を減らし、リソースへの未承認のアクセスを制限できます。

ワークロードへのアクセスまたはワークロードからのアクセスを制御するように Kubernetes ネットワーク ポリシーを構成する

TLS を使用してクラスターのワークロード データ トラフィックを保護することに加えて、ネットワーク ポリシーを作成してさらに保護することもできます。 これらのポリシーは、イングレス要求を受信できるポッド、名前空間、およびIPアドレスを制御します。また、エグレス要求を送信できる送信先も制御します。 これらのポリシーを適用するには、ネットワーク ポリシー エンジンを展開する必要があります。 クラスターで Calico エンジンまたは Cillium エンジンを使用できるかどうかを評価します。

リファレンス

• CIS Kubernetes Benchmark - セクション 1、2、4
• NIST アプリケーション コンテナー セキュリティ ガイド - セクション 4.5.1-3
• NSA Kubernetes セキュリティ強化ガイダンス – "ネットワーク ポリシー"
• Kubernetes Security - OWASP チート シート シリーズ – "Kubernetes ネットワーク ポリシーを使用してトラフィックを制御する"

さらに詳細な防御のためにネットワーク インフラストラクチャを構成する

また、基になるインフラストラクチャのネットワークを適切に構成することで、管理トラフィックとデータ トラフィックの両方に対して、さらに詳細な防御を作成することもできます。 たとえば、Azure Arc on Azure Local で有効になっている AKS を使用している場合は、クラスター IP アドレス計画の ガイダンス を確認する必要があります。 ワークロードが API サーバーにアクセスする必要がない場合は、管理トラフィックとデータ トラフィックを完全に分離することを検討してください。

さらに、Kubernetes とインフラストラクチャ レイヤーで設定した規則と一致するように、組織の外部ファイアウォール規則を評価することをお勧めします。 これらの送信先と受信先のみを厳密に有効にし、それ以上は有効にしません。 Azure Arc Gateway (プレビュー) を使用して、クラスターの Azure リソースへのアクセスを有効にするために必要なファイアウォール規則を簡略化することもできます。

リファレンス

• NIST アプリケーション コンテナー セキュリティ ガイド - セクション 4.3.3、4.3.4、および 4.4.2
• NSA Kubernetes セキュリティ強化ガイダンス – "コントロール プレーンのセキュリティ強化"

Azure Private Link (プレビュー) を使用して Azure リソースにアクセスする

TLS とワークロード ID フェデレーションを使用して Azure へのトラフィックを保護するだけでなく、Arc 対応クラスターに Azure Private Link を使用することも検討してください (プレビュー)。 この機能により、Azure Arc 用のクラウド仮想ネットワーク内のプライベート エンドポイントと、Azure Key Vault などの他のサービスが設定されます。 このネットワーク自体は、 サイト間 VPN または ExpressRoute 回線を使用して、オンプレミスに接続できます。 利点と現在の制限を評価して、このソリューションが適しているかどうかを判断します。

次のステップ

• このセキュリティブックの先頭に戻る