米国国家安全保障局(NSA)のKubernetesセキュリティ強化ガイダンス [59p PDF]
(media.defense.gov)主な内容
-
脆弱性や誤設定を見つけるために、コンテナとPodをスキャンする
-
最小権限でコンテナとPodを実行する
-
ネットワークを分離して、発生しうるダメージを制御する
-
ファイアウォールを使って不要なネットワーク接続を制限し、暗号化する
-
強力な認証と権限管理によってユーザーおよび管理者のアクセスを制限し、攻撃対象領域(Attack Surface)を限定する
-
管理者が活動を監視し、潜在的に危険な動作について警告できるように、ログ監査を利用する
-
定期的にすべてのk8s設定を見直し、脆弱性スキャンを使ってリスク防止とセキュリティパッチの適用状況を確認する
1件のコメント
ProductionでKubernetesを利用する際のチェックリスト https://ja.news.hada.io/topic?id=1129