アイデンティティとセキュリティ

承認済みネットワークと GKE 上の Cloud Run / Functions に関連するアップデートを間もなくリリース

twitter card

※この投稿は米国時間 2022 年 6 月 8 日に、Google Cloud blog に投稿されたものの抄訳です。

先日、承認済みネットワークと Google Kubernetes Engine(GKE)上の Cloud Run / Functions に関連し、脆弱性報奨金プログラムを通じて貴重な情報をご提供いただきました。この情報を基にプロダクト ドキュメントを更新しました。また、アクセス元を GKE 関連のサービスに限定する、エンジニアリング関連の変更を GKE に加える計画の優先度を上げました。GKE をご利用いただいているお客様のうち、99% を超えるお客様にこれらの変更が 8 月下旬までに自動的に適用されます。その他のお客様については、移行の問題についてお手伝いさせていただくために、前もってご連絡いたします。

Google Cloud の既存のファイアウォール ルールでは、Cloud Run サービスと Cloud Functions サービスから Kubernetes API サーバーの IP アドレスに到達できます。ただし、こうしたアクセスの場合でも、Google の Identity and Access Management か GKE のロールベースのアクセス制御を使用して、API に対する呼び出しの認証と認可を行う必要があります。セキュリティをさらに強化すべく、アクセス元を GKE 関連のサービスに限定し、Cloud Run と Cloud Functions からのアクセスをブロックする対策を間もなく実施する予定です。

以下の手順で対策を進めていくことを計画しています。

  • API サーバーと通信する、中核的な GKE サービスを専用の IP アドレスセットに移行します。

  • 他のクラウド サービスから Kubernetes API サーバーにアクセスしているお客様については、今後そのアクセスが不可能になることをお知らせいたします(クラスタ全体の約 1%)。また、新しいソリューションへの移行に関する手順をお客様に提供いたします。既存のお客様につきましては、余裕をもって移行を進めていただけるよう、許可リストへの登録を行います。

  • 既存のファイアウォール ルールを削除し、中核的な GKE サービスに属する専用の IP アドレスセットだけを許可する、対象を絞り込んだルールを導入します。

上記の手順が完了すると、Cloud Run または Cloud Functions から 99% の限定公開クラスタにアクセスできなくなります。対象となるお客様の側では特に対応していただくことはありません。残り 1% の限定公開クラスタについては、新しいソリューションにアクセスを移行していただく時間が必要となるため、お客様のご都合に合わせて移行を進めていただきます。(ノードにパブリック IP が設定されている)一般公開クラスタについては、ノードと API サーバーの通信を可能にするうえでの必要性から、今後も Google Cloud の IP からアクセスできます。

皆様に Google Cloud を安全にご利用いただくために、今後もパートナー、お客様、リサーチ コミュニティと協力しながら取り組みを進めてまいります。

- GKE プロダクト マネージャー Mahesh Narayanan

- GKE セキュリティ担当セキュリティ エンジニア Greg Castle