Kubernetes クラスタにポリシー バンドルを適用してポリシー準拠の状況を大規模にモニタリング
Google Cloud Japan Team
※この投稿は米国時間 2023 年 1 月 24 日に、Google Cloud blog に投稿されたものの抄訳です。
ハイブリッド クラウドやマルチクラウド戦略を採用する企業ユーザーが増加する現在、ワークロードは環境全体に分散されるようになり、一元化されたセキュリティとガバナンスの重要性が高まっています。Anthos は、最新のアプリケーションをあらゆる場所で一貫して大規模に実行するための、Google のクラウド中心(Cloud-Centric)のコンテナ プラットフォームです。Anthos Config Management(ACM)は、Kubernetes クラスタのポリシーとセキュリティを自動化するサービスで、Config Sync、Config Controller、Policy Controller により構成されています。Config Sync は、クラスタの状態を 1 つ以上の Git リポジトリと調整します。Config Controller は、管理者が Google Cloud Platform(GCP)リソースを宣言型で管理できるようにするホスト型サービスです。このブログ記事では、Policy Controller コンポーネントに追加された機能拡張について取り上げます。
ACM の主要コンポーネントである Policy Controller を使用すると、クラスタに対して完全にプログラム可能なポリシーを適用できます。こうしたポリシーは「ガードレール」として機能し、セキュリティ、運用、またはコンプライアンスの管理に違反する変更を防止します。Policy Controller は、デベロッパーが迅速かつ安全にコードをリリースできるようにすることで、アプリケーションのモダナイゼーションへの取り組みを加速させます。
このたび、クラスタのフリートに適用されるポリシー ガードレールを簡単に管理、モニタリングできるパワフルなツールとして、新しい組み込みの Policy Controller ダッシュボードをリリースいたしました。
プラットフォームとセキュリティ管理者は Policy Controller ダッシュボードを使用して、次のことを実現できます。
適用ステータス(dryrun または enforced)など、クラスタのフリートに適用されたすべてのポリシーの状態を一目で確認
各違反に対する独自の推奨事項を参照することで、ポリシー違反を容易にトラブルシューティングして解決
クラスタ リソースのコンプライアンス ステータスを可視化
Policy Controller ダッシュボードは、ユーザー フレンドリーで直感的に操作できるよう設計されているため、あらゆるスキルレベルのユーザーがクラスタのフリートに対する違反を簡単に管理、モニタリングできます。これにより、ポリシー違反の状況を一元的に把握し、必要に応じて対処することが可能になります。
このダッシュボードでは、特定のポリシーの影響を受けるリソースを表示して、問題の解決方法について独自の提案を行うこともできます。
ポリシー バンドルの概要
ポリシー バンドルは、すぐに使える一連の制約で、Google によって作成、管理されます。このバンドルにより、Kubernetes 基準、業界基準、または Google 推奨のベスト プラクティスに照らしてクラスタ リソースを監査することができます。
ポリシー バンドルはすぐに利用可能で、新規ユーザーでも既存ユーザーでもそのまま、つまり 1 行もコードを記述することなく簡単に使用できます。ユーザーは、Policy Controller ダッシュボードから、フリートに対するポリシー バンドルのカバレッジの状況を確認できます。たとえば、フリート内に 4 つのクラスタがあり、この 4 つのクラスタすべてに PCI DSS 3.2.1 バンドルを適用した場合、ダッシュボードにはフリートのカバレッジが 100% であることが表示されます。また、カバレッジに加え、ダッシュボードにはクラスタのフリート全体に対する、各バンドルの包括的なコンプライアンス ステータスも表示されます。
Anthos では、現在以下のポリシー バンドルを利用できます。
PCI DSS 3.2.1: PCI-DSS 3.2.1 業界基準に照らしてクラスタ リソースの監査を行う
CIS Kubernetes Benchmark 1.5.1: CIS Kubernetes Benchmark(Kubernetes を構成し、堅牢なセキュリティ体制をサポートするための一連の推奨事項)に照らしてクラスタ リソースの監査を行う
PSS Baseline: PSS - Baseline に照らしてクラスタ リソースの監査を行う
PSS Restricted: PSS - Restricted に照らしてクラスタ リソースの監査を行う
PSP: Pod のセキュリティ ポリシーに照らしてクラスタ リソースの監査を行う
Policy Essentials: コンテナ化されたワークロード向けに、Google 推奨のベスト プラクティスに照らしてクラスタ リソースの監査を行う
Anthos Service Mesh セキュリティ : 推奨される Anthos Service Mesh のベスト プラクティスに対してクラスタの監査を行う
使ってみる
Anthos Policy Controller の使用を開始する際は、Policy Controller をインストールし、CIS ベンチマークなどの基準に照らしてクラスタのフリートを監査するためにポリシー バンドルを適用してみることが最も簡単です。
また、Policy Essentials バンドルに照らしてクラスタを監査するために、Policy Controller を試すこともできます。