カスタムの組織ポリシーを使用して CIS GKE ベンチマークを適用する
Vannick Trinquier
Strategic Cloud Engineer, Google
Edi Wiraya
Strategic Cloud Engineer, Google
※この投稿は米国時間 2025 年 1 月 24 日に、Google Cloud blog に投稿されたものの抄訳です。
コンテナ ワークロードの導入が増えると、一貫性のある強力な Kubernetes セキュリティ ポスチャーを確立して維持する必要性も増してきます。その必要性に対応できない場合、組織のリスク ポスチャーに重大な影響が及ぶ可能性があります。2024 State of Kubernetes Security Report によると、半数近くの組織でコンテナと Kubernetes のセキュリティ インシデントによる収益または顧客の喪失が発生しています。
組織ポリシーは、クラウド インフラストラクチャ全体にわたる広範なセキュリティ対策を実現する心強い味方となります。具体的には、カスタムの組織ポリシーを使用することで、多くの CIS ベンチマークを先を見越して適用し、インフラストラクチャ内の Google Kubernetes Engine(GKE)Standard と Autopilot を保護するための適切なセキュリティ対策を確立できます。
こうした予防的制御をより簡単に実装できるようにするため、Google Cloud はカスタムの組織ポリシーのライブラリをご用意しています。このライブラリにより、GKE や、Dataproc、Cloud Storage、ネットワーク、ファイアウォール、Cloud Run、Cloud Build、Identity and Access Management、Compute Engine などの Google Cloud サービスに制御を適用することができます。
GKE のセキュリティにおいて重要となるのは、CIS GKE ベンチマークへの準拠を確保するためにカスタムの組織ポリシーを使用できる点です。
CIS GKE ベンチマークとは
CIS ベンチマークは、GKE クラスタのセキュリティ ポスチャーを強化するためのセキュリティに関する推奨事項とベスト プラクティスを包括的にまとめたもので、認証と認可、ネットワーク セキュリティ、IAM などの分野おける潜在的な脆弱性を評価し軽減するための推奨事項がリスト化されています。
CIS ベンチマークは、サイバー攻撃のリスクを低減し、業界標準への準拠を確保するという 2 つの重要なタスクに役立ちます。カスタムの組織ポリシーは、クラスタとノードプールのリソースに対応しており、CIS の数多くの GKE 推奨事項を適用できます。
カスタムの組織ポリシーでコンプライアンスを実現
カスタムの組織ポリシーを使用すると、独自のきめ細かいセキュリティ管理策とコンプライアンス管理策を適用できます。これにより、Common Expression Language(CEL)を使用して制約とポリシーを定義し、クラウド環境内の特定の構成とアクションを制限できます。
カスタムの組織ポリシーを使用すると、新規および既存の GKE クラスタを確実にセキュリティ標準に準拠させることができます。これらのポリシーは Google Cloud レベルで適用される予防的な制御として機能し、任意のプロビジョニング ツールと統合可能です。そうしたツールと統合すれば、セキュリティ適用に対する一貫的で自動化されたアプローチを実現できます。
カスタムの組織ポリシーは、ドライランやシミュレーションなどの安全なロールアウト機能にも対応しています。これにより、ポリシーの変更によって業務が中断されないかをテストして確認してから、その変更を本番環境に適用することができます。
カスタムの組織ポリシーを使用して適用できる CIS の重要な GKE 推奨事項には、次のようなものがあります。
-
プライベート エンドポイントとプライベート ノードを使用するプライベート クラスタのみをプロビジョニングする。
-
セキュアブートを有効にしたノードを構成する。
-
ノードには Container-Optimized OS を使用する。
GKE 向けのカスタムの組織ポリシーを実装する方法の例を以下に示します。
プライベート クラスタのみが使用されるようにする
Container-Optimized OS を使用するようにノードを構成する
カスタムの組織ポリシーは、組織がインフラストラクチャのベースとなるレイヤにセキュリティを組み込む際に役立ちます。このような先を見越したアプローチを取ることで、構成ミスや脆弱性をもっと早期に防止し、セキュリティ リスクを低減し、修復費用を削減できます。
カスタムの組織ポリシーのライブラリで利用開始作業を簡素化
カスタムの組織ポリシーの導入を簡素化するために、Google Cloud プロフェッショナル サービスの GitHub 公開リポジトリで利用可能な、ポリシーのライブラリを作成しました。現在ライブラリでは、約 80 件のすぐに利用可能なポリシーを提供しています。これらのポリシーを利用すれば、セキュリティとコンプライアンスの推奨事項を Google Cloud 環境で実行可能な制御に変換できます。
ライブラリには前述の CIS GKE ベンチマークの推奨事項が含まれており、30 種類を超える制御がすでに利用可能です。このライブラリを使用すると、組織はカスタムの組織ポリシーを使用して、セキュリティのベスト プラクティスを迅速かつ効率的に導入できます。このライブラリの主な機能とメリットは以下のとおりです。
-
インスピレーションを得るための出発点を提供し、セキュリティ標準とコンプライアンス標準を満たすポリシーを簡単に追加できるようにします。ポリシーは独自のニーズに合わせてさらにカスタマイズできます。
-
追加したポリシーをプロビジョニング ツールと統合して、セキュリティのベスト プラクティスを自動適用できます。Cloud Foundation Fabric モジュールを使用して、gcloud と Terraform の両方と統合できます。
-
ライブラリは、カスタムの組織ポリシーに対応している新しいサービスに基づく新たなポリシーと機能強化によって今後も拡充されていきます。すでに、30 を超える Google Cloud サービスに対応しています。
ご利用開始方法
カスタムの組織ポリシーを使用すると、これまでよりも簡単に堅牢なセキュリティ ポスチャーを確立して、潜在的な脆弱性を緩和できます。GitHub で利用可能なカスタムの組織ポリシーのライブラリは、GKE Standard と GKE Autopilet をはじめとする多くのサービスにコンプライアンス管理策とセキュリティ管理策を実装しようとする組織にとって便利な出発点となります。
ポリシー ライブラリの GitHub リポジトリを探索し、カスタムの組織ポリシーを活用して組織のセキュリティ管理策を適用することをおすすめします。
