CIS GKE Benchmarks で Kubernetes のセキュリティをレベルアップ
Poonam Lamba
Product Manager, Google
Michele Chubirka
Staff Cloud Security Advocate, Google
※この投稿は米国時間 2024 年 8 月 8 日に、Google Cloud blog に投稿されたものの抄訳です。
ほとんどの組織において、コンプライアンスへの取り組みは大変な作業のように感じられるかもしれません。複雑になりがちなコンプライアンス要件がどのように組織の安全性を高めるのか、エンジニアリング チームが理解できないのはよくあることです。コンプライアンス要件を定義する言葉さえ理解が難しい場合もあります。セキュリティへの対応に終わりがないように感じて、どうしようもない気持ちになることもあるでしょう。
Google Cloud は、テクノロジーを安全に管理するために不可欠なコンプライアンスへの取り組みは、Kubernetes のような強力なプラットフォームと組み合わせることで、より簡単に管理できるようになると考えています。Google Kubernetes Engine(GKE)には、Center for Internet Security(CIS)などの一般的なフレームワークに沿って GKE を安全に実装する方法のガイダンスが用意されており、初めて使用するときから適用できます。
CIS は、ネットワークでつながった世界で信頼を築くことを使命とする独立非営利団体です。CIS が提供している CIS Controls と CIS Benchmarks は、IT システムとデータのセキュリティを確保するためのベスト プラクティスとして世界的に認識されています。これらの規範的な推奨構成は業界標準のガイドラインであり、さまざまなテクノロジーをどのように強化すれば組織のリスクを最小限に抑えられるかを把握するのに役立ちます。
CIS は、GKE のようなプロバイダ固有の実装に対処するための推奨事項も提供しています。Google Cloud の GKE は、デフォルトで保護された最高水準の構成を提供します。この構成は Autopilot を使用してさらに強化できます。Autopilot は、クラスタとワークロードのセットアップ、スケーラビリティ、セキュリティのベスト プラクティスと推奨事項に沿って動作する、人による操作が不要な運用モードです。Google Cloud はまた、評価や監査における GKE のセキュリティ ポスチャーの検証に必要な情報も提供しています。
この目標を念頭に置いて、Google は CIS と提携し、GKE と GKE Autopilot 向けの最新の CIS Benchmarks をリリースしました。これらのカスタマイズされたガイドラインは、GKE ユーザーに関連する推奨事項を明確にするために、コミュニティと協力して作成したものです。最新のアップデートには、組織の GKE セキュリティ ポスチャーを強化するのに役立つ、80 以上の推奨設定が含まれています。
これらのベンチマークは GKE バージョン 1.29、1.30、1.31 に完全に対応しており、Google の Kubernetes プラットフォームの最新の進歩に合わせてセキュリティ ポスチャーを維持できるようになりました。変更点の一部を以下にご紹介します。
-
GKE の最新のセキュリティ上の課題とベスト プラクティスに対応するように、設定をアップデートしました。
-
GKE との関連性がなくなった設定を削除し、必要不可欠な安全保護策に焦点を絞りました。
-
最新の GKE セキュリティ機能を使用して脅威に対処する、新たな設定を追加しました。
-
すべての設定を見直して L1(必須)または L2(高度)に分類し、組織のリスク管理体制を踏まえてセキュリティ対策に優先順位をつける方法のガイダンスを合理化しました。
-
ベンチマークとその推奨事項を最新バージョンの CIS Kubernetes Benchmarks に合わせました。
最新の CIS GKE Benchmarks と Autopilot Benchmarks はこちらから確認できます。さらに、GKE Enterprise には、GKE クラスタ全体をセキュリティ管理するための GKE Compliance と Policy Controller が付属しています。
今回のベンチマークのアップデートは、お客様との運命共有関係への、そしてサイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)に対する「デフォルトで保護」誓約への、Google Cloud の継続的なコミットメントを示したものです。Google は、実用的で正確なベンチマークを作成するために、社内から最高の Kubernetes セキュリティ専門家を集めました。
Security Command Center(SCC)に組み込まれた Security Health Analytics 機能を使用すると、CIS GKE Benchmarks 項目への準拠状況を確認できます。SCC ダッシュボードに表示される推奨事項に準拠していないクラスタ構成を特定して、レビュー、修正できます。
CIS Benchmarks を利用することは、Google Cloud インフラストラクチャを保護し、組織のリスク管理体制を改善するための重要なステップです。GKE Enterprise を初めてご利用になる場合は、無料のトライアルを開始する方法についての詳細をご覧ください。
-Google、プロダクト マネージャー Poonam Lamba
-Google、スタッフ クラウド セキュリティ アドボケイト Michele Chubirka