セキュリティの概要

このページでは、Google Distributed Cloud の適切なセキュリティを確立する方法の概要を説明します。このページのガイダンスは、ベスト プラクティスの包括的なリストを提供するものではありません。

Google Distributed Cloud のセキュリティに関するおすすめの方法には、Kubernetes と Google Kubernetes Engine（GKE）のコンセプト、および Google Distributed Cloud に固有のコンセプトの適用が含まれます。

Kubernetes のセキュリティ

Google Distributed Cloud を使用する場合は、セキュリティに関する一般的な Kubernetes ガイドラインに従うことをおすすめします。

Kubernetes セキュリティ ガイドラインの概要については、Kubernetes ドキュメントのセキュリティ チェックリストと クラウド ネイティブ セキュリティの概要をご覧ください。

GKE のセキュリティ

Google Distributed Cloud を使用すると、GKE を拡張してオンプレミスで独自の Linux サーバーに GKE クラスタを作成できます。GKE セキュリティの詳細については、GKE セキュリティの概要をご覧ください。コントロール プレーンとノードがオンプレミスで実行されるため、コントロール プレーンのセキュリティおよびノードのセキュリティに対する提言は適用されないことを念頭に置いてお読みください。

Google Distributed Cloud のセキュリティ

以下のセクションでは、Google Distributed Cloud の適切なセキュリティ プラクティスを確立するためのガイダンスを示します。

ハードウェアのセキュリティ

• 業界標準の物理的なセキュリティ機能と安全機能によって、オンプレミスのデータセンターを保護します。

• 管理ワークステーションへのアクセスを厳しく制限してください。管理ワークステーションには、kubeconfig ファイル、SSH 認証鍵、サービス アカウント キーなどのセンシティブ データが保存されます。

ノードのセキュリティ

• ソフトウェア パッケージを更新し、セキュリティ パッチをインストールして、オペレーティング システムを最新の状態に保ちます。

• ワークロード イメージの pull と関連するセキュリティ上のメリットをさらに制御するには、非公開レジストリに対して認証を行うようにワーカーノードを構成します。バージョン 1.29 クラスタのプレビューでは、ノードの非公開レジストリのサポートを利用できます。

• デフォルトでは、Google Distributed Cloud は Docker apt リポジトリと必要な GPG 鍵をクラスタノードに追加します。デプロイメント内の各クラスタノードにパッケージ リポジトリを追加する代わりに、コンテナ イメージにプライベート パッケージ リポジトリを使用するようにクラスタを構成できます。

クラスタのセキュリティ

• Google Distributed Cloud クラスタのセキュリティを強化します。

• 管理クラスタとユーザー クラスタのデプロイを使用して、トラフィックとデータを分離します。このデプロイタイプにより、次の種類の分離を実現できます。

  • ワークロード トラフィックは、管理プレーンや管理プレーン トラフィックから分離されます。
  • クラスタ アクセスは、グループまたはロールごとに分離されます。
  • 本番環境ワークロードは、開発ワークロードから分離されます。

• サポートされているバージョンにクラスタをアップグレードします。サポートされているバージョンを使用すると、次のようなセキュリティ上のメリットが得られます。

  • セキュリティの脆弱性への対策。
  • 最新のセキュリティ ポスチャーとテクノロジーを利用する新しい特徴や機能。
  • バンドルされているソフトウェアとコンポーネントの更新。

• 外部への露出を減らすなどのセキュリティ上のメリットを得るには、レジストリ ミラーを構成して、一般公開レジストリのローカルコピーから Google Distributed Cloud コンポーネントをインストールします。

ワークロードのセキュリティ

• セキュリティ強化された Linux（SELinux）を使用してコンテナを保護する。

• Binary Authorization を使用してワークロードを保護する。Binary Authorization は、クラウド内で実行されるアプリケーション向けに、ソフトウェア サプライ チェーン セキュリティを提供する Google Cloud サービスです。Binary Authorization を使用すると、アプリケーションを本番環境にデプロイする前に、ソフトウェアの品質と整合性を保護するための内部プロセスを正常かつ確実に完了できます。

• Workload Identity Federation for GKE を使用して、Pod に Google Cloud リソースへのアクセス権を付与します。Workload Identity Federation for GKE を使用すると、Kubernetes サービス アカウントを IAM サービス アカウントとして実行できます。Kubernetes サービス アカウントとして実行する Pod には、IAM サービス アカウントの権限が与えられます。

• GKE RBAC のベスト プラクティスに従います。

ネットワーク セキュリティ

• Google Distributed Cloud とGoogle Cloud間の安全な接続を選択します。基本的な接続が確立されたら、接続のセキュリティを強化する機能を追加します。

• クラスタの公共のインターネットへの露出を制限するには、プロキシの背後にクラスタをインストールしてファイアウォール ルールを作成します。また、ネットワーク環境で適切な制御を行い、クラスタへの公開アクセスを制限します。

認証のセキュリティ

• GKE Identity Service を使用して ID を管理します。GKE Identity Service は、認証を目的とする既存の ID ソリューションを複数の Google Kubernetes Engine（GKE）Enterprise エディション環境で利用できるようにする認証サービスです。ユーザーは既存の ID プロバイダを使用して、コマンドライン（すべてのプロバイダ）または Google Cloud コンソール（OIDC のみ）からログインし、Google Distributed Cloud クラスタを使用できます。

• Connect ゲートウェイを使用して登録済みクラスタに接続します。Connect ゲートウェイはフリートの機能に基づいて構築されており、GKE Enterprise ユーザーは登録済みのクラスタに接続して、一貫性のある安全な方法でコマンドを実行できます。

認証情報のセキュリティ

• 認証局をローテーションします。Google Distributed Cloud は、証明書と秘密鍵を使用して、クラスタ内のシステム コンポーネント間の接続を認証および暗号化します。安全なクラスタ通信を維持するには、セキュリティ侵害が発生する可能性がある場合に、定期的にユーザー クラスタ認証局をローテーションします。

• サービス アカウント キーをローテーションします。鍵の漏えいによるセキュリティ リスクを軽減するため、サービスキーを定期的にローテーションすることをおすすめします。

セキュリティのモニタリング

• Kubernetes 監査ロギングを使用します。監査ロギングを使用すると、管理者が Google Distributed Cloud 環境で発生したイベントの保持、クエリ、処理、アラート生成を行うことができます。

クラスタのセキュリティをモニタリングする際の詳細については、フリートのセキュリティ ポスチャーをモニタリングするをご覧ください。