注
このコンテンツは、Microsoft プラットフォームのセキュリティ保護に役立つ推奨事項とベスト プラクティスを提供する一連のセキュリティ ブックの 1 つです。 その他のセキュリティ ブックには、 Azure ローカル セキュリティブック、 Windows Server 2025 セキュリティブック、 Windows クライアント セキュリティブックなどがあります。
組織には、エッジ (オンプレミスのデータ センター、工場、ショップ) または複数のクラウドで実行されているクラスターを含む Kubernetes デプロイがある場合があります。 多くの場合、このような異種環境で一貫性のあるスケーラブルなセキュリティ体制を維持することは困難です。 この課題に対処し、Azure Local などのエッジ インフラストラクチャで Azure Arc によって有効になっている Azure Kubernetes Service (AKS) を使用して Microsoft が管理するクラスターを実行することで、セキュリティ ワークフローを簡素化できます。 または、 Azure Arc 対応 Kubernetes を使用して、既存の Microsoft 以外のエッジ クラスターに接続することもできます。
この書籍では、クラスター インフラストラクチャとアプリケーション ワークロードの両方をカバーする、一貫性のあるスケーラブルなセキュリティ体制を維持するためにこれらの製品がどのように役立つかについて説明します。 サプライ チェーンのリスク、悪意のある外部アクター、内部関係者の攻撃全体にわたる複数の脅威ベクトルから保護する方法について説明します。 次のような業界のベスト プラクティスに基づいています。
- 国家安全保障局/サイバーセキュリティ・インフラセキュリティ局(NSA/CISA)
- インターネット セキュリティセンター (CIS)
- Open Worldwide アプリケーション セキュリティ プロジェクト (OWASP)
- 国立標準技術研究所 (NIST)
- Kubernetes プロジェクト自体。
また、次の内容と一致しています。
- Kubernetes の Microsoft Threat Matrix
- AKS クラウド クラスターに対する Microsoft のセキュリティに関するアドバイス。このアドバイスを拡張して、エッジ クラスターに関する追加の考慮事項を含めます
- IoT ソリューションに関する Microsoft のセキュリティに関するアドバイス。
セキュリティの専門家であれば、この本ではこれらすべての要因を調査し、複数の推奨事項を作成します。 Kubernetes の開発、デプロイ、または運用に直接責任を持つリーダーまたはエンジニアである場合は、実行できる手順に関する詳細な実用的なアドバイスが必要です。
セキュリティの課題は、次の 5 つのカテゴリに分類されます。
- プラットフォームをセキュリティで保護します。 このカテゴリには、Kubernetes クラスターをより安全に動作するように構成し、すべての組み込み機能を適切に使用して、基になる OS とハードウェア インフラストラクチャに対して必要に応じて同じことを行います。
- ワークロードをセキュリティで保護します。 このカテゴリには、Kubernetes と Linux のセキュリティ標準に従ってコンテナーをより安全に構築する方法が含まれます。 また、クラスター内外の他のサービスとの間の要求に対して、より安全な認証と承認を確立する方法についても説明します。
- 操作をセキュリティで保護します。 このカテゴリには、これらのクラスターにデプロイできるユーザーの制御が含まれます。 クラウド内の Microsoft Entra と Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、認証と承認のためにクラスターローカル Kubernetes システムを統合する方法について説明します。 また、ポリシーを使用してソフトウェア サプライ チェーンをより適切にセキュリティで保護し、展開に標準を適用する方法についても説明します。
- データをセキュリティで保護します。 このカテゴリには、ワークロード アプリケーション データと Kubernetes がユーザーに代わって保存するデータ (特にパスワードなどのシークレット) へのアクセスのセキュリティ保護が強化されています。
- ネットワークをセキュリティで保護します。 このカテゴリには、ネットワーク レベルでの管理とデータ トラフィックの制御に起因する追加の防御の詳細の構成が含まれます。 クラスターとワークロードが受け取ることができるソースと、送信できるターゲットを制限する方法について説明します。
この書籍では、Arc 対応 Kubernetes クラスター全般と、特に Azure Arc クラスターで有効になっている AKS に関するこれらの課題に関するガイダンスを提供します。 Azure Arc で有効になっている AKS には、多くの デプロイ オプション があります。この書籍では、 Azure Local 23H2 デプロイ オプションについて説明し、 Azure Local のセキュリティ機能 と セキュリティブックに基づいています)。 (その他の展開オプションには、同じ利点の一部が用意されていますが、すべてではありません)。
次のステップ
- プラットフォームをセキュリティで保護する方法について説明します