MITRE ポリシーの制約を使用する
Policy Controller には制約テンプレートのデフォルト ライブラリが付属しており、MITRE ポリシー バンドルとともに使用することで、実世界の観察に基づく敵の戦術と技術に関する MITRE ナレッジベースのいくつかの側面に対して、クラスタ リソースのコンプライアンスを評価することができます。
MITRE ポリシー バンドルの制約
| 制約名 | 制約の説明 |
|---|---|
| mitre-v2024-apparmor | Pod の AppArmor プロファイルを制限します。
|
| mitre-v2024-block-all-ingress | Ingress オブジェクトの作成を制限します。 |
| mitre-v2024-cronjob-restrict-repos | CronJob のコンテナ イメージを許可された「repos」のリストに制限します。 |
| mitre-v2024-no-anonymous | ClusterRole リソースと Role リソースを system:anonymous ユーザーと system:unauthenticated グループに関連付けることはできません。
|
| mitre-v2024-host-namespaces-host-pid-ipc | hostPID または hostIPC を true に設定してコンテナを実行することはできません。 |
| mitre-v2024-host-namespaces-hostnetwork | hostNetwork を true に設定してコンテナを実行できません。 |
| mitre-v2024-host-ports | HostPorts は禁止するか、少なくとも既知のリストに制限する必要があります。 |
| mitre-v2024-no-secrets-as-env-vars | コンテナ定義での環境変数としてのシークレットの使用を制限します。 |
| mitre-v2024-privileged-containers | securityContext.privileged が true に設定されているコンテナを制限します。
|
| mitre-v2024-proc-mount-type | デフォルトの /proc マスクは、攻撃対象領域を減らすため必須です。 |
| mitre-v2024-require-binauthz | Binary Authorization Validating Admission Webhook が必要です。 |
| mitre-v2024-require-namespace-networkpolicy | クラスタで定義されているすべての Namespace に NetworkPolicy が必要です。 |
| mitre-v2024-restrict-admission-controller | ダイナミック アドミッション コントローラと Webhook の使用を制限します。 |
| mitre-v2024-restrict-automountserviceaccounttoken | サービス アカウント トークンの使用を制限します。 |
| mitre-v2024-restrict-capabilities | ここに記載されていない機能を追加することはできません。 |
| mitre-v2024-restrict-cluster-admin-role | cluster-admin ロールの使用を制限します。
|
| mitre-v2024-restrict-hostpath-volumes | HostPath ボリュームの使用を制限します。
|
| mitre-v2024-restrict-kubernetes-dashboard-namespace | kubernetes-dashboard 名前空間の使用を制限します。
|
| mitre-v2024-restrict-pods-exec | Roles と ClusterRoles での pods/exec の使用を制限します。
|
| mitre-v2024-restrict-rbac-subjects | RBAC サブジェクト内の名前の使用を、許可された値に制限します。 |
| mitre-v2024-restrict-repos | コンテナ イメージを許可 repos リストに制限します。
|
| mitre-v2024-restrict-role-secrets | Roles と ClusterRoles でのシークレットの使用を制限します。
|
| mitre-v2024-restrict-windows-hostprocess | Windows HostProcess コンテナ / Pod の実行を制限します。 |
| mitre-v2024-seccomp | Seccomp プロファイルは、Unconfined に設定してはなりません。
|
| mitre-v2024-selinux | SELinux タイプの設定や、カスタム SELinux のユーザーまたはロール オプションの設定はできません。 |
| mitre-v2024-sysctls | コンテナは、allowedSysctls フィールドに一覧表示されている sysctls のみを設定できます。
|
始める前に
- この手順で使用する
gcloudコマンドとkubectlコマンドを含む Google Cloud CLI をインストールして初期化します。Cloud Shell を使用する場合、Google Cloud CLI がプリインストールされています。 - 制約テンプレートのデフォルト ライブラリを使用して、クラスタに Policy Controller v1.17.0 以降をインストールします。このバンドルには参照制約が含まれているため、参照制約のサポートを有効にする必要があります。
参照制約用に Policy Controller を構成する
次の YAML マニフェストを
policycontroller-config.yamlという名前のファイルに保存します。このマニフェストでは、特定の種類のオブジェクトを監視するように Policy Controller を構成します。apiVersion: config.gatekeeper.sh/v1alpha1 kind: Config metadata: name: config namespace: "gatekeeper-system" spec: sync: syncOnly: - group: "networking.k8s.io" version: "v1" kind: "NetworkPolicy" - group: "admissionregistration.k8s.io" version: "v1" kind: "ValidatingWebhookConfiguration"policycontroller-config.yamlマニフェストを適用します。kubectl apply -f policycontroller-config.yaml
MITRE ポリシー バンドルの監査
Policy Controller を使用すると、Kubernetes クラスタにポリシーを適用できます。前の表にある MITRE ポリシーに関するワークロードとそのコンプライアンスをテストする場合、これらの制約を監査モードでデプロイできます。これにより、違反がより明確になり、Kubernetes クラスタに適用する前に修正することが可能になります。
kubectl、kpt、または Config Sync を使用して spec.enforcementAction を dryrun に設定し、これらのポリシーを適用できます。
kubectl
(省略可)kubectl でポリシーの制約をプレビューします。
kubectl kustomize https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/mitre-v2024
kubectl でポリシーの制約を適用します。
kubectl apply -k https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/mitre-v2024
次のような出力が表示されます。
k8sallowedrepos.constraints.gatekeeper.sh/mitre-v2024-restrict-repos created k8sblockallingress.constraints.gatekeeper.sh/mitre-v2024-block-all-ingress created k8scronjoballowedrepos.constraints.gatekeeper.sh/mitre-v2024-cronjob-restrict-repos created k8sdisallowanonymous.constraints.gatekeeper.sh/mitre-v2024-no-anonymous created k8snoenvvarsecrets.constraints.gatekeeper.sh/mitre-v2024-no-secrets-as-env-vars created k8spspapparmor.constraints.gatekeeper.sh/mitre-v2024-apparmor created k8spspcapabilities.constraints.gatekeeper.sh/mitre-v2024-restrict-capabilities created k8spspforbiddensysctls.constraints.gatekeeper.sh/mitre-v2024-sysctls created k8spsphostfilesystem.constraints.gatekeeper.sh/mitre-v2024-restrict-hostpath-volumes created k8spsphostnamespace.constraints.gatekeeper.sh/mitre-v2024-host-namespaces-host-pid-ipc created k8spsphostnetworkingports.constraints.gatekeeper.sh/mitre-v2024-host-namespaces-hostnetwork created k8spsphostnetworkingports.constraints.gatekeeper.sh/mitre-v2024-host-ports created k8spspprivilegedcontainer.constraints.gatekeeper.sh/mitre-v2024-privileged-containers created k8spspprocmount.constraints.gatekeeper.sh/mitre-v2024-proc-mount-type created k8spspselinuxv2.constraints.gatekeeper.sh/mitre-v2024-selinux created k8spspseccomp.constraints.gatekeeper.sh/mitre-v2024-seccomp created k8spspwindowshostprocess.constraints.gatekeeper.sh/mitre-v2024-restrict-windows-hostprocess created k8srequirebinauthz.constraints.gatekeeper.sh/mitre-v2024-require-binauthz created k8srequirenamespacenetworkpolicies.constraints.gatekeeper.sh/mitre-v2024-require-namespace-networkpolicy created k8srestrictadmissioncontroller.constraints.gatekeeper.sh/mitre-v2024-restrict-admission-controller created k8srestrictautomountserviceaccounttokens.constraints.gatekeeper.sh/mitre-v2024-restrict-automountserviceaccounttoken created k8srestrictnamespaces.constraints.gatekeeper.sh/mitre-v2024-restrict-kubernetes-dashboard-namespace created k8srestrictrbacsubjects.constraints.gatekeeper.sh/mitre-v2024-restrict-rbac-subjects created k8srestrictrolebindings.constraints.gatekeeper.sh/mitre-v2024-restrict-cluster-admin-role created k8srestrictrolerules.constraints.gatekeeper.sh/mitre-v2024-restrict-pods-exec created k8srestrictrolerules.constraints.gatekeeper.sh/mitre-v2024-restrict-role-secrets created
ポリシーの制約がインストールされていることを確認し、クラスタ全体で違反の存在を確認します。
kubectl get constraints -l policycontroller.gke.io/bundleName=mitre-v2024
出力は次のようになります。
NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8sallowedrepos.constraints.gatekeeper.sh/mitre-v2024-restrict-repos dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8sblockallingress.constraints.gatekeeper.sh/mitre-v2024-block-all-ingress dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8scronjoballowedrepos.constraints.gatekeeper.sh/mitre-v2024-cronjob-restrict-repos dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8sdisallowanonymous.constraints.gatekeeper.sh/mitre-v2024-no-anonymous dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8snoenvvarsecrets.constraints.gatekeeper.sh/mitre-v2024-no-secrets-as-env-vars dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspapparmor.constraints.gatekeeper.sh/mitre-v2024-apparmor dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspcapabilities.constraints.gatekeeper.sh/mitre-v2024-restrict-capabilities dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspforbiddensysctls.constraints.gatekeeper.sh/mitre-v2024-sysctls dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spsphostfilesystem.constraints.gatekeeper.sh/mitre-v2024-restrict-hostpath-volumes dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spsphostnamespace.constraints.gatekeeper.sh/mitre-v2024-host-namespaces-host-pid-ipc dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spsphostnetworkingports.constraints.gatekeeper.sh/mitre-v2024-host-namespaces-hostnetwork dryrun 0 k8spsphostnetworkingports.constraints.gatekeeper.sh/mitre-v2024-host-ports dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspprivilegedcontainer.constraints.gatekeeper.sh/mitre-v2024-privileged-containers dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspprocmount.constraints.gatekeeper.sh/mitre-v2024-proc-mount-type dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspseccomp.constraints.gatekeeper.sh/mitre-v2024-seccomp dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspselinuxv2.constraints.gatekeeper.sh/mitre-v2024-selinux dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8spspwindowshostprocess.constraints.gatekeeper.sh/mitre-v2024-restrict-windows-hostprocess dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srequirebinauthz.constraints.gatekeeper.sh/mitre-v2024-require-binauthz dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srequirenamespacenetworkpolicies.constraints.gatekeeper.sh/mitre-v2024-require-namespace-networkpolicy dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srestrictadmissioncontroller.constraints.gatekeeper.sh/mitre-v2024-restrict-admission-controller dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srestrictautomountserviceaccounttokens.constraints.gatekeeper.sh/mitre-v2024-restrict-automountserviceaccounttoken dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srestrictnamespaces.constraints.gatekeeper.sh/mitre-v2024-restrict-kubernetes-dashboard-namespace dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srestrictrbacsubjects.constraints.gatekeeper.sh/mitre-v2024-restrict-rbac-subjects dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srestrictrolebindings.constraints.gatekeeper.sh/mitre-v2024-restrict-cluster-admin-role dryrun 0 NAME ENFORCEMENT-ACTION TOTAL-VIOLATIONS k8srestrictrolerules.constraints.gatekeeper.sh/mitre-v2024-restrict-pods-exec dryrun 0 k8srestrictrolerules.constraints.gatekeeper.sh/mitre-v2024-restrict-role-secrets dryrun 0
kpt
kpt をインストールして設定します。これらの手順では、kpt を使用して Kubernetes リソースのカスタマイズとデプロイを行います。
kpt を使用して GitHub から MITRE ポリシー バンドルをダウンロードします。
kpt pkg get https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/mitre-v2024
set-enforcement-actionkpt 関数を実行して、ポリシーの適用アクションをdryrunに設定します。kpt fn eval mitre-v2024 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 \ -- enforcementAction=dryrun
kpt を使用して作業ディレクトリを初期化します。これにより、変更を追跡するためのリソースが作成されます。
cd mitre-v2024 kpt live init
kpt を使用してポリシーの制約を適用します。
kpt live apply
ポリシーの制約がインストールされていることを確認し、クラスタ全体で違反の存在を確認します。
kpt live status --output table --poll-until current
ステータスが
CURRENTの場合、制約が正常にインストールされています。
Config Sync
- kpt をインストールして設定します。これらの手順では、kpt を使用して Kubernetes リソースのカスタマイズとデプロイを行います。
Config Sync を使用してクラスタにポリシーをデプロイするオペレータは、次の手順を使用できます。
Config Sync の同期ディレクトリに移動します。
cd SYNC_ROOT_DIR
resourcegroup.yamlを使用して.gitignoreを作成または追加するには:echo resourcegroup.yaml >> .gitignore
専用の
policiesディレクトリを作成します。mkdir -p policies
kpt を使用して GitHub から MITRE ポリシー バンドルをダウンロードします。
kpt pkg get https://github.com/GoogleCloudPlatform/gke-policy-library.git/anthos-bundles/mitre-v2024 policies/mitre-v2024
set-enforcement-actionkpt 関数を実行して、ポリシーの適用アクションをdryrunに設定します。kpt fn eval policies/mitre-v2024 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=dryrun
(省略可)作成されるポリシー制約をプレビューします。
kpt live init policies/mitre-v2024 kpt live apply --dry-run policies/mitre-v2024
Config Sync の同期ディレクトリで Kustomize を使用している場合は、ルート
kustomization.yamlにpolicies/mitre-v2024を追加します。 それ以外の場合は、policies/mitre-v2024/kustomization.yamlファイルを削除します。rm SYNC_ROOT_DIR/policies/mitre-v2024/kustomization.yaml
変更を Config Sync リポジトリに push します。
git add SYNC_ROOT_DIR/policies/mitre-v2024 git commit -m 'Adding MITRE policy audit enforcement' git push
インストールのステータスを確認します。
watch gcloud beta container fleet config-management status --project PROJECT_ID
ステータスが
SYNCEDの場合、ポリシーがインストールされています。
ポリシー違反を確認する
ポリシーの制約が監査モードでインストールされると、UI の Policy Controller ダッシュボードにクラスタに対する違反を表示できます。
また、次のコマンドを実行すると、kubectl を使用してクラスタに対する違反を表示できます。
kubectl get constraint -l policycontroller.gke.io/bundleName=mitre-v2024 -o json | jq -cC '.items[]| [.metadata.name,.status.totalViolations]'
違反がある場合は、次のコマンドを実行すると、制約ごとに違反メッセージのリストが表示されます。
kubectl get constraint -l policycontroller.gke.io/bundleName=mitre-v2024 -o json | jq -C '.items[]| select(.status.totalViolations>0)| [.metadata.name,.status.violations[]?]'
MITRE ポリシー バンドル違反措置を変更する
クラスタのポリシー違反を確認したら、アドミッション コントローラが warn または deny のいずれかでクラスタへの非遵守リソースの適用をブロックするように、強制適用モードを変更することを検討できます。
kubectl
kubectl を使用して、ポリシーの適用アクションを
warnに設定します。kubectl get constraint -l policycontroller.gke.io/bundleName=mitre-v2024 -o name | xargs -I {} kubectl patch {} --type='json' -p='[{"op":"replace","path":"/spec/enforcementAction","value":"warn"}]'ポリシー制約の適用アクションが更新されていることを確認します。
kubectl get constraint -l policycontroller.gke.io/bundleName=mitre-v2024
kpt
set-enforcement-actionkpt 関数を実行して、ポリシーの適用アクションをwarnに設定します。kpt fn eval -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=warn
ポリシー制約を適用します。
kpt live apply
Config Sync
Config Sync を使用してクラスタにポリシーをデプロイするオペレータは、次の手順を使用できます。
Config Sync の同期ディレクトリに移動します。
cd SYNC_ROOT_DIR
set-enforcement-actionkpt 関数を実行して、ポリシーの適用アクションをwarnに設定します。kpt fn eval policies/mitre-v2024 -i gcr.io/kpt-fn/set-enforcement-action:v0.1 -- enforcementAction=warn
変更を Config Sync リポジトリに push します。
git add SYNC_ROOT_DIR/policies/mitre-v2024 git commit -m 'Adding MITRE policy bundle warn enforcement' git push
インストールのステータスを確認します。
gcloud alpha anthos config sync repo list --project PROJECT_ID
SYNCED列に表示されたリポジトリには、ポリシーがインストールされています。
ポリシーの適用をテストする
次のコマンドを使用して、クラスタに非遵守リソースを作成します。
cat <<EOF | kubectl apply -f -
apiVersion: v1
kind: Pod
metadata:
namespace: default
name: wp-non-compliant
labels:
app: wordpress
spec:
containers:
- image: wordpress
name: wordpress
ports:
- containerPort: 80
name: wordpress
EOF
次の例のように、アドミッション コントローラにより、このリソースが違反しているポリシー違反の警告の一覧が生成されるはずです。
Warning: [mitre-v2024-restrict-repos] container <wordpress> has an invalid image repo <wordpress>, allowed repos are ["gcr.io/gke-release/", "gcr.io/anthos-baremetal-release/", "gcr.io/gke-on-prem-release/", "gcr.io/gke-multi-cloud-release/", "gcr.io/config-management-release/", "gcr.io/kubebuilder/", "gcr.io/gkeconnect/", "gke.gcr.io/"] pod/wp-non-compliant created
MITRE ポリシー バンドルを削除する
必要に応じて、MITRE ポリシー バンドルをクラスタから削除できます。
kubectl
kubectl を使用してポリシーを削除します。
kubectl delete constraint -l policycontroller.gke.io/bundleName=mitre-v2024
kpt
ポリシーを削除します。
kpt live destroy
Config Sync
Config Sync を使用してクラスタにポリシーをデプロイするオペレータは、次の手順を使用できます。
変更を Config Sync リポジトリに push します。
git rm -r SYNC_ROOT_DIR/policies/mitre-v2024 git commit -m 'Removing MITRE policies' git push
ステータスを確認します。
gcloud alpha anthos config sync repo list --project PROJECT_ID
SYNCED列に表示されたリポジトリで、ポリシーが削除されていることを確認します。