ワークロード構成の問題を自動的に監査する


このページでは、Google Kubernetes Engine(GKE)Autopilot クラスタと Standard クラスタのセキュリティ ポスチャーを強化するために、セキュリティ問題に関するワークロード構成の自動監査と実行可能な推奨事項の入手方法について説明します。ワークロード構成の監査は、セキュリティ対策ダッシュボードの機能です。詳細については、ワークロード構成の監査についてをご覧ください。

料金

GKE では、Container Security API を通じてセキュリティ対策ダッシュボードを追加料金なしでご利用いただけます。

Cloud Logging に追加されたエントリには Cloud Logging の料金が適用されます。

始める前に

始める前に、次の作業が完了していることを確認してください。

  • Google Kubernetes Engine API を有効にする。
  • Google Kubernetes Engine API の有効化
  • このタスクに Google Cloud CLI を使用する場合は、gcloud CLI をインストールして初期化する。すでに gcloud CLI をインストールしている場合は、gcloud components update を実行して最新のバージョンを取得する。

要件

  • ワークロード構成の監査に必要な権限を取得するには、ご使用の Google Cloud プロジェクトに対するセキュリティ ポスチャー閲覧者roles/containersecurity.viewer)IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

    この事前定義ロールには、ワークロード構成の監査に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

    必要な権限

    ワークロード構成の監査には次の権限が必要です。

    • resourcemanager.projects.get
    • resourcemanager.projects.list
    • containersecurity.locations.list
    • containersecurity.locations.get
    • containersecurity.clusterSummaries.list
    • containersecurity.findings.list

    カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

  • ワークロード構成の監査には、GKE バージョン 1.21 以降が必要です。

ワークロード構成の監査を有効にする

バージョン 1.27 以降を実行している新しい Autopilot クラスタと Standard クラスタでは、ワークロード構成の監査がデフォルトで有効になっています。この機能は、gcloud CLI または Google Cloud コンソールを使用して手動で有効にすることもできます。

新しいクラスタで構成の監査を有効にする

gcloud

gcloud CLI を使用して新しい GKE クラスタを作成します。

gcloud container clusters create-auto CLUSTER_NAME \
    --location=LOCATION \
    --security-posture=standard

次のように置き換えます。

コンソール

  1. Google Cloud コンソールで Google Kubernetes Engine のページに移動します。

    Google Kubernetes Engine に移動
  2. [ 作成] をクリックします。
  3. [GKE Standard] セクションで [構成] をクリックします。
  4. ナビゲーション パネルで、[詳細設定] をクリックします。Standard クラスタを作成する場合は、代わりに [セキュリティ] をクリックします。
  5. [セキュリティ] セクションで、[構成の監査] チェックボックスをオンにします。
  6. クラスタの他のオプションを構成し、準備ができたら [作成] をクリックします。

既存のクラスタで構成の監査を有効にする

gcloud

クラスタを更新します。

gcloud container clusters update CLUSTER_NAME \
    --location=LOCATION \
    --security-posture=standard

次のように置き換えます。

コンソール

  1. Google Cloud コンソールの [セキュリティ対策] ページに移動します。

    セキュリティ対策に移動
  2. [設定] タブをクリックします。
  3. [構成の監査が有効なクラスタ] セクションで、[クラスタを選択] をクリックします。
  4. 追加するクラスタのチェックボックスをオンにします。
  5. [アクションを選択する] プルダウン メニューで [基本に設定] を選択します。
  6. [適用] をクリックします。

Google Kubernetes Engine(GKE)Enterprise エディションを使用してクラスタのフリートを管理する場合は、すべてのメンバー クラスタに適用されるフリートレベルの構成監査設定を構成することもできます。手順については、フリートレベルで GKE セキュリティ対策ダッシュボードの機能を構成するをご覧ください。

テスト ワークロードをデプロイする

Pod のセキュリティ基準に意図的に違反しているサンプル アプリケーションをデプロイします。

  1. 次のマニフェストを misconfig-sample.yaml として保存します。

    apiVersion: apps/v1
    kind: Deployment
    metadata:
      name: helloweb
      labels:
        app: hello
    spec:
      selector:
        matchLabels:
          app: hello
          tier: web
      template:
        metadata:
          labels:
            app: hello
            tier: web
        spec:
          containers:
          - name: hello-app
            image: us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0
            ports:
            - containerPort: 8080
            securityContext:
              runAsNonRoot: false
            resources:
              requests:
                cpu: 200m
    
  2. アプリケーションをクラスタにデプロイします。

    kubectl apply -f misconfig-sample.yaml
    

他の違反を試す場合は、misconfig-sample.yaml を対応する「不適切な」構成に変更します。

構成の監査結果の表示とアクション

最初の監査で結果が返されるまでに最大 15 分かかります。結果はセキュリティ対策ダッシュボードに表示され、クラスタログにエントリが自動的に追加されます。

結果を表示する

プロジェクトのクラスタとワークロードで検出された懸念事項の概要を表示する手順は次のとおりです。

  1. Google Cloud コンソールの [セキュリティ対策] ページに移動します。

    [セキュリティ対策] に移動

  2. [懸念事項] タブをクリックします。

  3. [懸念事項のフィルタ] ペインの [問題の種類] セクションで、[構成] チェックボックスをオンにします。

懸念事項の詳細と推奨事項を表示する

特定の構成に関する懸念事項の詳細情報を表示するには、その懸念事項を含む行をクリックします。

[構成に関する問題] ペインに次の情報が表示されます。

  • 説明: 懸念事項の説明。
  • 推奨される対応: 構成の問題を解決するために実行できるアクションの概要。このセクションには次の情報が表示されます。
    • 修正が必要なリソース
    • 影響を受けるリソースに修正を適用するために実行できるサンプル コマンド
    • Google Cloud コンソールで問題を修正するための手順(該当する場合)

検出された懸念事項のログを表示する

GKE は、検出された懸念事項ごとに Logging の _Default ログバケットにエントリを追加します。これらのログは特定の期間のみ保持されます。詳細については、ログの保持期間をご覧ください。

  1. Google Cloud コンソールで、[ログ エクスプローラ] ページに移動します。

    ログ エクスプローラに移動
  2. [クエリ] フィールドに次のクエリを規定します。

    resource.type="k8s_cluster"
    jsonPayload.@type="type.googleapis.com/cloud.kubernetes.security.containersecurity_logging.Finding"
    jsonPayload.type="FINDING_TYPE_MISCONFIG"
  3. [クエリを実行] をクリックします。

GKE が Logging に新しい検出結果を追加したときに通知を受け取るには、このクエリのログベースのアラートを設定します。詳細については、ログベースのアラートの管理をご覧ください。

クリーンアップ

  1. デプロイしたサンプル ワークロードを削除します。

    kubectl delete deployment helloweb
    
  2. 必要に応じて、使用したクラスタを削除します。

    gcloud container clusters delete CLUSTER_NAME \
        --region=COMPUTE_REGION
    

ワークロード構成の監査を無効にする

ワークロード構成の監査を無効にするには、gcloud CLI または Google Cloud コンソールを使用します。

gcloud

次のコマンドを実行します。

gcloud container clusters update CLUSTER_NAME \
    --region=LOCATION \
    --security-posture=disabled

次のように置き換えます。

コンソール

  1. Google Cloud コンソールの [セキュリティ対策] ページに移動します。

    セキュリティ対策に移動
  2. [設定] タブをクリックします。
  3. [構成の監査が有効なクラスタ] セクションで、[クラスタを選択] をクリックします。
  4. [監査が有効] タブで、削除するクラスタのチェックボックスをオンにします。
  5. [監査を無効化] をクリックし、[確認] をクリックして、これらのクラスタの監査を無効にします。

ワークロード構成の監査の制限事項

  • Windows Server ノードプールはサポートされていません。
  • ワークロード構成の監査では、kube-system Namespace のワークロードなど、GKE が管理するワークロードはスキャンされません。
  • ワークロード構成の監査は、ノード数が 1,000 未満のクラスタでのみ使用できます。
  • セキュリティ対策ダッシュボードは、クラスタごとに最大 150,000 件のアクティブなワークロード構成監査結果をサポートしています。クラスタに対する検出結果の数がこの上限を超えると、セキュリティ対策ダッシュボードはそのクラスタに関する構成の検出結果の表示を停止します。

    この問題を解決するには、Logging のログを使用して構成の問題を特定し、更新されたマニフェストをデプロイします。構成の検出結果が 150,000 件未満の場合は、セキュリティ対策ダッシュボードにクラスタの検出結果が表示されます。

次のステップ