September 2024
Intermediate to advanced
392 pages
5h 35m
Japanese
Content preview from Kubernetesパターン 第2版 ―クラウドネイティブアプリケーションのための再利用可能パターンBecome an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.
23章Process Containment(プロセス封じ込め)
この章では、プロセスの実行のために最低限必要な権限のみが強制され、最小権限の原則が適用できるようにする方法を説明します。Process Containment(プロセス封じ込め)パターンは、攻撃対象領域(attack surface)を限定し、防御線を作ることでアプリケーションをよりセキュアにするのに役立ちます。また、問題のあるプロセスが定められた境界を超えて実行されることがないようにもできます。
23.1 問題
Kubernetesのワークロードへの主な攻撃ベクトルの1つは、アプリケーションコードを通じたものです。コードセキュリティを改善するのを助けるにはたくさんの方法があります。例として、静的コード解析ツールはセキュリティ欠陥がないかソースコードをチェックします。動的スキャンツールは、SQLインジェクション(SQLi)、クロスサイトリクエストフォージェリ(CSRF)、クロスサイトスクリプティング(XSS)などのよく知られたサービス攻撃手法を通じてシステムに侵入することをゴールとした悪意ある攻撃をシミュレーションします。また、セキュリティ脆弱性に関してアプリケーションの依存関係を定期的にスキャンするツールもあります。イメージビルドプロセスの一部として、コンテナの既知の脆弱性がスキャンされます。このスキャンは通常、脆弱性のあるパッケージを追うデータベースに対して、ベースイメージとその中の全パッケージをチェックすることで実行します。セキュアなアプリケーションを作り、悪意ある攻撃者、侵害されたユーザ、安全でないコンテナイメージ、脆弱性のある依存関係などから守るには、数ステップしかありません。
いつチェックがあろうとも、新しいコードと新しい依存関係は新しい脆弱性を連れて来る可能性があり、リスクが全くないことを保証する方法はありません。実行時のプロセスレベルのセキュリティ制御がないと、悪意ある攻撃者はアプリケーションコードを破ってホストやKubernetesクラスタ全体の制御権を握ろうとします。この章で見ていく仕組みは、コンテナが実行に必要なパーミッションのみを持つよう制限し、最小権限の原則を適用する方法を実現するものです。Kubernetesの設定は1つの防御線として振る舞い、問題のあるプロセスを封じ込め、そのようなプロセスが定められた境界を越えて実行されないようにします。 ...
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.
Read now
Unlock full access
More than 5,000 organizations count on O’Reilly
O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.Julian F.
I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.Addison B.
I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.Amir M.
I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.