Google × mercari に学ぶ!Kubernetesの活用法とセキュリティ
セミナーアフターレポート
DX時代に突入した今、クラウドとコンテナの活用が求められています。
そんな中で、クラウドネイティブプラットフォームとしてスタンダードになりつつあるのが「 Kubernetes 」です。
しかし、Kubernetes の活用法やセキュリティに悩むユーザが多くいます。
― Kubernetes を導入したけれど、セキュリティ管理が難しい。
― 現在の Kubernetes 活用・セキュリティ運用は本当に万全なのか?
当日はSCSK株式会社 池田氏より Google Cloud の住友商事株式会社様の事例紹介から始まり、グーグル・クラウド・ジャパン合同会社の中谷氏より「 Google Cloud で実現するアプリケーションモダナイゼーション」といった内容に加え、今やクラウドネイティブなモニタリングには欠かせないセキュリティ・モニタリング プラットフォーム「 Sysdig 」のご紹介、最後に既に Kubernetes を導入し運用に成功されている「株式会社メルカリ」様をゲストスピーカーにお招きし、【 Kubernetes の活用法とセキュリティ】をテーマに、その実践事例を講演いただきました。
開催概要
主催:SCSK株式会社
共催:グーグル・クラウド・ジャパン合同会社
日時:2021年10月14日(木) 14:00~15:30
会場:オンライン(Google Meet)
無料動画も公開中!
申込み特典あり!
※本セミナーの講演内容は一部動画にて視聴可能となっております。お申込みはこちらから▶
〇動画視聴の公開は以下2セッションのみとなります。
「コンテナ環境の統合モニタリングセキュリティプラットフォーム Sysdig のご紹介」
「Google Kubernetes Engine Security and Sysdig Secure」
〇お申込み特典として以下をご用意しております。
「Kubernetesセキュリティガイド」「OpenShift セキュリティガイド」「Google Cloudとコンテナの継続的なセキュリティ資料」
Google Cloud で実現するアプリケーション モダナイゼーション
「モダナイゼーション」に対応できていますか?
グーグル・クラウド・ジャパン合同会社からはパートナーエンジニアとしてご活躍されている中谷氏が登壇し、「モダナイゼーション」をキーワードとした際の Google が考えるアプローチとして講演が行われました。
「そもそもモダナイゼーションとはなんでしょう?」(中谷氏)
中谷氏はレガシーを近代化する動きがモダナイゼーションのひとつとしたうえで、レガシーでイメージされるメインフレームで構築された基幹システムにとどまらず、システムアプリケーションのモダナイズを進めていく必要があると語ります。
「サービス新機能をタイムリーに市場投入するというのは、モダナイズのモチベーションとして一つあるんじゃないかなと思います。市場を勝ち抜くためにはニーズに応えるサービスをいち早く導入してニーズに合わせてサービスを柔軟に変化させていく必要があるのではないかと。」(中谷氏)
更にアプリケーションの開発に関しては、高速リリースサイクル、アジリティ、追加変更に強いフレキシビリティ、容易に拡張できるスケーラビリティ、高可用性の維持向上というところでデュラビリティ、そしてなによりWithセキュリティというところが重要であると話がありました。
では今後、システム及びアプリケーションの開発に関して高いレベルで達成するためにどうやってモダナイズしていくべきなのか?と中谷氏は続けます。まずマイクロサービス化、それからインフラとアプリの結合化、またコンテナ、サーバーレス、自動化、マネージドサービスの活用などが技術的なアプローチとして挙げられ、さらにこのアプローチが Google Cloud が提供する様々なサービスで達成可能であること、なかでもマイクロサービス化、コンテナ利用とういワードにフォーカスして話が進みました。
グーグル・クラウド・ジャパン合同会社
パートナーエンジニア
中谷 祐輔 氏
GKE がもららす恩恵とは?
「コンテナ利用にはもはや欠かせない、Google が開発したコンテナオーケストレーションツールの Kubernetes 。それをマネージドサービス型として世に送り出したのが GKE(Google Kubernetes Engine)です。」
マネージドなので Kubernetes への深い理解がなくてもコンテナオーケストレーションの基盤を作ることが容易にでき、、その他にもGKE がもつ多くの機能によりコンテナ利用における非常に多くの課題について解決することができます。」(中谷氏)
さらに2019年4月、ハイブリッドクラウドな分類分離された環境に Kubernetes のレイヤーで抽象化して統合管理とアプリケーションのモダナイズを増加させるようなプロダクト「 Anthos 」をリリースしていることにもふれ、Anthos で統合管理することにより、統合されたコンテナの管理や、 UI 、 サービスメッシュの機能、GitOps の機能やアドミッションコントロールの機能というところを横ぐしで提供することが可能になると話しています。
Google はこれからも Google Cloud や GKE を含む様々なサービスによって、お客様のアプリケーションモダナイゼーションというところを強力に支援していきます。そして Kubernetes の生みの親として、これからも多くのプロジェクトを積極的に支援していくことでしょう。
コンテナ環境の統合モニタリングセキュリティプラットフォーム Sysdig のご紹介
続いての登壇したのは、SCSK株式会社の吉田氏。コンテナの国内市場の現状を踏まえ、コンテナ技術の問題点やセキュリティリスクに対するソリューションとして「 Sysdig 」が紹介されました。
国内でおよそ40%の企業がコンテナの導入を推進中。そこに残る課題とは?
SCSK株式会社
プラットフォーム事業グループ
ITエンジニアリング事業本部
ミドルウェア第二部 第一課
吉田 一輝 氏
調査結果によると本番環境でコンテナ Kubernetes を利用している企業は約17%、導入構築/テスト/検証段階にある企業は約23%であるというところで、この二つを合わせた約40%の企業がコンテナの導入を進めているという現状である。しかし一方でコンテナ Kubernetes の導入にはまだ多くの課題が残るという。
導入時に最も多く課題になった点として、セキュリティ対策 約30%、モニタリング、パフォーマンス管理 約23%と続いている。なぜここに多くの課題があるのか、そしてなぜ難しいのかを障害問題発生時の対応、モニタリングパフォーマンス管理、セキュリティ対策という視点から紐解いていく。
「コンテナインフラは従来の Linux インフラの仕組みとは一線を画すものであり、必要になるモニタリングセキュリティの知識は変わります。従来型のモニタリングセキュリティ機能だけではコンテナ環境を保護するには不十分であり、そこを補うSysdigのようなコンテナ環境に特化した製品が必要になってきます。」(吉田氏)
Falcoベースの脅威検知を強みに、グローバルで700社以上の利用実績
現在 Sysdig は、新たにコンテナ環境を利用され始めた企業だけでなく、ゴールドマンサックス様やフォード様などすでに大規模なコンテナ環境を動かしているお客様まで、グローバルで700社以上に利用されています。公開可能な国内の採用実績も3社をご紹介し、そのなかでも、最後の登壇へ続くメルカリ様に関して当時の導入の決め手となった点を話す。
「皆様がお使いのフリマサービスのメルカリやメルペイなどの環境は全面的に Sysdig で保護されています。採用の決め手はいくつかありますが一つは Falco ベースの振る舞い検知の仕組みでした。製品を比較検証された結果、Falco を備えた Sysdig 製品の脅威検知率が最も高かったという評価でした。さらにはシステムコールをベースにした完全な監査機能も採用の決め手となっています。」(吉田氏)
Google Kubernetes Engine Security and Sysdig Secure
最後に株式会社メルカリで Security Engineering チームに所属されている末澤氏に登壇頂き、メルカリの事例をもとにシングルクラスタにおけるセキュリティ戦略の紹介をしていただきました。
株式会社メルカリ
Security Engineeringチーム
末澤 裕希 氏
GKE 運用開始後の課題とは?
2017年、メルカリでは早期の段階から Kubernetes の本格運用を開始。そこからの3、4年は新たなセキュリティ対策を都度導入していくというようなフェーズだったと末澤氏。そして様々な対策をしていく中で感じたセキュア化に対しての課題をこう語る。
「 Kubernetes Runtime Security において、私が一番重要だと考えていることは、Isolation (分離)の実現です。」
「理由としては1つのマイクロサービスが侵害を受け Node への権限昇格などが行われることで、他のマイクロサービスも影響を受けてしまうという問題が発生してしまうからです。」(末澤氏)
Kubernetes is secure by default !? の真相
ここで末澤氏は Kubernetes の概念図を紹介しながら続けた。
「従来の Kubernetes は、デフォルトではあまりセキュアな状態ではなく、たくさん手を加えてセキュリティを強化する必要があったと考えています。」(末澤氏)
主な攻撃シナリオで一番防ぎたいのは攻撃者によるコンテナへ侵入、Node への権限昇格されることであるが、Microsoft の公開している MITER ATT&CK -Like(マイターアタック)*な脅威マトリクス図にもあるように、Kubernetes に対する攻撃の手法だけでも多くの種類があり、たとえ Kubernetes クラスタのセキュア化を実施しても、攻撃自体を全て防ぐことはできない。そのためディテクトやレスポンスの領域にも目を向ける必要性があるという。
*MITRE社が運用する「MITER ATT&CK(マイターアタック)」とは、攻撃者の攻撃手法や戦術を分析して作成された、MITERが開発するセキュリティのフレームワーク・ナレッジベース
そこで導入に踏み切ったのが Sysdig Secure だ。
「 Sysdig Secure を利用してセキュリティモニタリングの実施、 Security audit Log の取得、Sysdig インスペクトによるフォレンジックというのをよく活用しています。そしていかに権限昇格を防ぐかということを重要な観点として利用しています。」
(末澤氏)
“キーワード”は、Secure by default の実現
Security Engineering チームは Kubernetes の攻撃方法を一覧化し、どのようにリスクを防ぐかについて課題を感じていた。
「従来の構成だと BlockList 方式で危ない設定を一個一個つぶしていくという、予期せぬ設定漏れが発生しやすいような Secure by default でないアプローチをとる必要性がありました。しかしながら、Kubernetes および周辺技術の成熟により、今から新しい Kubernetes クラスタを構築する場合、Secure by default の設計を前提に構築することが出来ると思っています。」(末澤氏)
これからの Kubernetes のセキュリティは、デフォルト状態がセキュアになっている。間違いないクラスタ構成を選ぶ。というのが重要になってくると末澤氏は話す。
そこでまず紹介されたのは GKE Sandbox (gVisor)。こちらの機能の利用で脆弱性に繋がる高性能なコンテナを防ぎ、さらにカーネルの脆弱性への耐性を持つ。Gatekeeper設定がシンプル化されるのだ。また2021年の2月に登場した機能、GKE AutoPilot は gVisor を強制するクラスタで、高い権限を持ったコンテナ利用できないうえ、従来モードだと可能だった Node への接続もできない。
続けて話はアクセスコントロールについての概念に。
「Google の提唱する概念に Zero Touch Prod という概念があります。メルカリでもこの Zero Touch Prod というのを推し進めています。これからはオートメーションなどをベースとして人が直接クラスタを触らない構成へ変えていくことが必要になるのではないかと。」
「ではどうやってそれを実現するか。Infrastructure as code だけでなく、必要に応じて、ツール・オートメーションを通じてプロダクションの操作を行うという風な考え方です。例えば Google 社のエンジニアによって執筆された書籍「Building Secure and Reliable Systems」では Safe Proxy を通じて cli での設定変更の安全性チェック、レートリミットの制御などを実現していると記載されています。ワークステーション上で tool-proxy-cli というようなコマンドで、本番操作コマンドをラップする。すると承認者が許可したときだけそれが実行されると。」(末澤氏)
メルカリでは Clutch* を利用したオペレーションの自動化や、他者承認による一時的な権限付与を実施 ( Breakglass ) によって、Zero Touch Prod の実現を推進していることを示した。
*https://github.com/lyft/clutch
可能になった強いIsolation(分離)
さらに話はネットワーク制御についてにおよぶ。
「ネットワーク制御のクラスタ構成については GCP の Private clusters with authorized networks モードを利用できます。これにより Kubernetes の API の IP制限などが出来たり、各Node についてはパブリック IP をもてない状態にできます。また、コンテナごとの通信制御についてはネットワークポリシー、いわゆるファイアウォール的なコンテナ通信ルール制御によって、Deny All をデフォルトにする設計にすべきだと思います。」(末澤氏)
また Workload Identity という機能の有効化により、以前はコンテナから Metadataサービス Node レベルのクレデンシャルが取得できたことによる SSRF 攻撃が一般的であったが、これを「取得させない」ことにより防ぐことができるほか、もう一つ重要な効果として、Workload (コンテナ)単位でのコンテナへの権限付与が行える Keyless の実現をあげた。
「 GKE では Workload Identity などの発展により、静的なクレデンシャルを Kubernetes Secret などを用いて利用するといった作業の必要性はほとんどなくなり、GCP 上の全ての認証は透過的に Keyless で実現できるようになりました。たとえば、Cloud Spanner などの DB への接続を透過的に行うことができます。静的なクレデンシャルは持ち運びできてしまうために、盗まれた際の危険性やリスクが高く、今後は Keyless を徹底していく必要があると考えています。」(末澤氏)
末澤氏は強いアイソレーションの実現についてこう締めくくる。
「今これから Kubernetes クラスタを作るのであれば、最初から強いアイソレーションで作ることが可能だと思っています。そもそも潰せる Kubernetes の脆弱性、いわゆる脅威というものがたくさんあり、Secure by default なクラスタ設計により安心して多くの攻撃からの防御に緩和が可能な状態になると考えています。」
またセキュリティ対策において、Prevention だけではなく Detect, Respond ができること、コンテナ上で発生している事象の詳細把握するためのフォレンジックが可能であることを観点としたソリューションの必要性についてもあげている。
なお、末澤氏は今後の期待として、Sysdig が登壇時点で、gVisor や GKE Autopilot に対応していないことを課題としてあげていたが、こちらについては、12月に Sysdig 社により、GKE Autopilot への対応が発表*された。
*https://www.scsk.jp/sp/sysdig/blog/container_security/gke_autopilot.html
これにより、Sysdig でセキュアバイデフォルトな Kubernetes 環境を、さらに Detect, Respond の観点からも強化できるようになっている。
今後のコンテナ導入に Google Cloud 、Google Kubernetes Engine、Sysdig などのサービスやソリューションが欠かせないも
のになってくるのは間違いなさそうだ。
