セキュリティの概要

このページでは、ベアメタル版 GKE の適切なセキュリティを確立する方法の概要について説明します。このページのガイダンスは、ベスト プラクティスの包括的なリストを提供することを意図したものではありません。

ベアメタル版 GKE でのセキュリティの適切なベスト プラクティスには、Kubernetes と Google Kubernetes Engine（GKE）のコンセプト、およびベアメタル版 GKE に固有のコンセプトが適用されます。

Kubernetes のセキュリティ

GKE on Bare Metal を使用する場合は、セキュリティに関する一般的な Kubernetes ガイドラインに従うことをおすすめします。

Kubernetes セキュリティ ガイドラインの概要については、Kubernetes ドキュメントのセキュリティ チェックリストと Cloud Native Security の概要をご覧ください。

GKE のセキュリティ

GKE on bare metal は GKE を拡張し、オンプレミスで独自の Linux サーバーに GKE クラスタを作成できるようにします。GKE セキュリティの詳細については、GKE セキュリティの概要をご覧ください。読み進めるときに、コントロール プレーンとノードがオンプレミスで実行されるため、コントロール プレーンのセキュリティおよびノードのセキュリティに対する提言は適用されないことに注意してください。

ベアメタル版 GKE のセキュリティ

以下のセクションでは、GKE on bare metal の適切なセキュリティ プラクティスを確立するためのガイダンスを示します。

ハードウェアのセキュリティ

• 業界標準の物理的なセキュリティ機能と安全機能によってオンプレミスのデータセンターを保護します。

• 管理ワークステーションへのアクセスが厳しく制限されていることを確認します。管理ワークステーションには、kubeconfig ファイル、SSH 認証鍵、サービス アカウント 鍵などの機密データが保存されます。

ノードのセキュリティ

• ソフトウェア パッケージを更新し、セキュリティ パッチをインストールして、オペレーティング システムを最新の状態に保ちます。

クラスタ セキュリティ

• GKE on Bare Metal クラスタのセキュリティを強化します。

• 管理クラスタとユーザー クラスタのデプロイを使用して、トラフィックとデータを分離します。このデプロイ タイプにより、次の種類の分離を実現できます。

  • ワークロード トラフィックは、アドミニストレイティブ プレーンや管理プレーン トラフィックから分離されます。
  • クラスタ アクセスは、グループまたはロールごとに分離されます。
  • 本番環境ワークロードは、開発ワークロードから分離されます。

• サポートされているバージョンにクラスタをアップグレードします。サポートされているバージョンを使用すると、次のようなセキュリティ上のメリットが得られます。

  • セキュリティの脆弱性の修正。
  • 最新のセキュリティ対策とテクノロジーを利用する新機能と機能。
  • バンドルされているソフトウェアとコンポーネントの更新。

ワークロード セキュリティ

• セキュリティ強化された Linux（SELinux）を使用してコンテナを保護する。

• Binary Authorization を使用してワークロードを保護する。Binary Authorization は Google Cloud 上のサービスであり、クラウド内で実行されるアプリケーションにソフトウェア サプライ チェーン セキュリティを提供します。Binary Authorization を使用すると、アプリケーションが本番環境にデプロイされる前に、ソフトウェアの品質と整合性を保護する内部プロセスが正常に完了していることを確認できます。

• Workload Identity を使用して、Google Cloud リソースへのアクセス権を Pod に付与します。Workload Identity では、Kubernetes サービス アカウントを IAM サービス アカウントとして実行できます。Kubernetes サービス アカウントとして実行する Pod には、IAM サービス アカウントの権限が与えられます。

• GKE RBAC のベスト プラクティスに従う。

ネットワーク セキュリティ

• GKE on bare metal と Google Cloud 間の安全な接続を選択する。基本的な接続が確立されたら、接続のセキュリティを強化する機能を追加します。

• クラスタの公共のインターネットへの公開を制限するには、プロキシの背後にクラスタをインストールしてファイアウォール ルールを作成します。また、ネットワーク環境で適切な制御を行い、クラスタへの公開アクセスを制限します。

認証のセキュリティ

• GKE Identity Service を使用して ID を管理する。GKE Identity Service は、認証を目的とする既存の ID ソリューションを複数の Google Kubernetes Engine（GKE）Enterprise エディション環境で利用できるようにする認証サービスです。ユーザーは、既存の ID プロバイダを使用してコマンドライン（すべてのプロバイダ）または Google Cloud コンソール（OIDC のみ）からログインし、GKE on Bare Metal クラスタを使用できます。

• Connect ゲートウェイを使用して登録済みクラスタに接続します。Connect ゲートウェイはフリートの機能に基づいて構築されており、GKE Enterprise ユーザーは登録済みのクラスタに接続して、シンプルで一貫性のある安全な方法でコマンドを実行できます。

認証情報のセキュリティ

• 認証局のローテーション。GKE on Bare Metal は、証明書と秘密鍵を使用して、クラスタ内のシステム コンポーネント間の接続を認証および暗号化します。安全なクラスタ通信を維持するには、セキュリティ侵害が発生する可能性がある場合に、定期的にユーザー クラスタ 認証局をローテーションします。

• サービス アカウント キーのローテーション。鍵の漏えいによって発生するセキュリティ リスクを軽減するために、サービスキーを定期的にローテーションすることをおすすめします。

セキュリティのモニタリング

• Kubernetes 監査ロギングを使用する。監査ロギングを使用すると、GKE on Bare Metal 環境で発生したイベントの保持、クエリ、処理、アラート生成を行うことができます。

クラスタのセキュリティをモニタリングする際の詳細については、フリートのセキュリティ対策をモニタリングするをご覧ください。