book

認定Kubernetesセキュリティスペシャリスト（CKS）スタディガイド

by Benjamin Muschko

March 2025

Intermediate to advanced

214 pages

3h 21m

Japanese

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

この本は誰のためにあるのか？何を学ぶか本書の構成本書で使用されている慣例コード例を使うオライリー・オンライン・ラーニング問い合わせ先謝辞
Kubernetes認定資格ラーニングパスKubernetesおよびCloud Native Associate (KCNA)KubernetesおよびCloud Native Security Associate (KCSA)認定Kubernetesアプリケーション開発者(CKAD)認定Kubernetesアドミニストレーター(CKA)認定Kubernetesセキュリティスペシャリスト（CKS）試験オブジェクトカリキュラムクラスター設定クラスター・ハードニングシステム・ハードニングマイクロサービスの脆弱性を最小限に抑えるサプライチェーンのセキュリティ監視、ログ、ランタイム・セキュリティ関与するKubernetesプリミティブ関係する外部ツールドキュメンテーション候補者のスキル練習と模擬試験概要
ネットワークポリシーを使ってPod間通信を制限するシナリオ攻撃者がPodにアクセスするデフォルトの振る舞いを観察する指向性ネットワークトラフィックを拒否するきめ細かな着信トラフィックを許可するKubernetesコンポーネントのセキュリティ・ベスト・プラクティスを適用するkube-benchを使うkube-benchの検証結果検出されたセキュリティ問題を修正するTLSターミネーションによるイングレスの作成IngressバックエンドのセットアップTLS証明書と鍵の作成TLS型シークレットを作成するイングレスの作成イングレスの呼び出しノードのメタデータとエンドポイントを保護するシナリオ侵害されたPodがメタデータサーバにアクセスできるネットワークポリシーでメタデータサーバへのアクセスを保護するGUI要素を保護するシナリオ攻撃者がダッシュボード機能にアクセスするKubernetes DashboardをインストールするKubernetesダッシュボードにアクセスする管理者権限を持つユーザの作成制限された権限を持つユーザの作成安全でないコンフィギュレーションの引数を避けるKubernetesプラットフォームのバイナリを検証するシナリオ攻撃者が悪意のあるコードをバイナリに注入したハッシュに対するバイナリの検証概要試験の要点サンプル練習
Kubernetes APIと対話するリクエストを処理するAPIサーバに接続するAPIサーバへのアクセスを制限するシナリオ攻撃者はインターネットからAPIサーバを呼び出すことができる。ユーザ権限を制限するシナリオ攻撃者はサービスアカウントからAPIサーバを呼び出すことができる。サービスアカウントの権限を最小化するKubernetesを頻繁にアップデートするバージョニング・スキームリリース・ケイデンスアップグレードプロセスを実行する概要試験の要点サンプル練習
ホストOSのフットプリントを最小限に抑えるシナリオ攻撃者がパッケージの脆弱性を悪用するサービスを無効にする不要なパッケージを削除するIAMロールを最小限にするシナリオ攻撃者が資格情報を使ってファイルにアクセスするユーザ管理を理解するグループ経営を理解するファイルのパーミッションと所有権を理解するネットワークへの外部アクセスを最小限にする開いているポートを特定し、無効にするファイアウォールルールのセットアップカーネルハードニングツールを使うAppArmorを使用するseccompを使う概要試験の要点サンプル練習
適切なOSレベルのセキュリティドメインをセットするシナリオ攻撃者がルートユーザコンテナアクセスを悪用するセキュリティ・コンテクストを理解する非ルートユーザの使用を強制する特定のユーザとグループIDをセットする特権コンテナを避けるシナリオ開発者がPodセキュリティのベストプラクティスに従っていないポッド・セキュリティ・アドミッション（PSA）を理解する名前空間のPodセキュリティ標準を実施するオープン・ポリシー・エージェント（OPA）とゲートキーパーを理解するゲートキーパーのインストールOPA方針の実装秘密を管理するシナリオ攻撃者がetcdを実行しているノードにアクセスするetcdデータにアクセスするetcdデータを暗号化するコンテナランタイムサンドボックスを理解するシナリオ攻撃者が別のコンテナにアクセスする利用可能なコンテナランタイムサンドボックスの実装gVisorのインストールと設定ランタイム・クラスの作成と使用mTLSによるPod間暗号化を理解するシナリオ攻撃者が2つのPod間の通信を聞くKubernetesでmTLSを採用する概要試験の要点サンプル練習
ベース画像のフットプリントを最小限に抑えるシナリオコンテナの脆弱性を悪用する攻撃者小さいサイズのベース画像を選ぶコンテナイメージの構築に多段階アプローチを用いるレイヤー数を減らすコンテナイメージ最適化ツールを使うサプライチェーンの確保コンテナイメージに署名するシナリオ攻撃者がコンテナイメージに悪意のあるコードを注入するコンテナイメージを検証する公開画像レジストリを利用するシナリオ攻撃者が悪意のあるコンテナイメージをアップロードするOPA GateKeeperで許可された画像レジストリをホワイトリスト化するImagePolicyWebhook Admission Controller プラグインで許可された画像レジストリをホワイトリストに登録するバックエンドアプリケーションの実装ImagePolicyWebhookアドミッションコントローラプラグインを設定するワークロードの静的解析Dockerファイルの分析にHadolintを使うKubernetesマニフェストの分析にKubesecを使う既知の脆弱性について画像をスキャンする概要試験の要点サンプル練習
振る舞い分析を行うシナリオKubernetes管理者は攻撃者の行動を観察できるファルコを理解するファルコのインストールファルコを設定するイベントの生成と Falco ログの検査ファルコルールファイルの基本を理解する既存の規則を覆すコンテナの不変性を確保するシナリオ攻撃者が悪意のあるソフトウェアをインストールするディストロレス・コンテナ・イメージを使うConfigMapまたはシークレットでコンテナを設定する読み取り専用コンテナのルートファイルシステムを設定する監査ログを使ってアクセスを監視するシナリオ管理者は悪意のあるイベントをリアルタイムで監視できる監査ログを理解する監査ポリシーファイルの作成ログバックエンドを設定するWebhookバックエンドを設定する概要試験の要点サンプル練習
章、"クラスタのセットアップ"章、"クラスタ・ハードニング"第4章、"システム・ハードニング"第5章 "マイクロサービスの脆弱性を最小限に抑える"第6章、"サプライチェーンの安全保障"第7章 "モニタリング、ログ、ランタイムセキュリティ"

Content preview from 認定Kubernetesセキュリティスペシャリスト（CKS）スタディガイド

第6章. サプライチェーンのセキュリティ

この作品はAIを使って翻訳されている。ご意見、ご感想をお待ちしている：translation-feedback@oreilly.com

これまでの章では、主にKubernetesクラスタとそのコンポーネントのセキュリティ、クラスタノードの実行に使用されるOSインフラ、既存のコンテナイメージを使用してクラスタノード上でワークロードを実行するための演算子に焦点を当ててきた。本章では一歩引いて、コンテナイメージを設計、構築、最適化するためのプロセス、ベストプラクティス、ツールについて掘り下げていく。

独自のコンテナイメージを作成せず、別のチームや企業が作成した既存のコンテナイメージを利用することもある。コンテナイメージを使用してワークロードを実行する前に、既知の脆弱性を手動または自動化された方法でスキャンすることは、審査プロセスの一部であるべきだ。ここでは、構築済みコンテナイメージのセキュリティリスクを特定、分析、緩和するために使用される CKS 試験に関連するいくつかのオプションについて説明する。

この章では、高いレベルで以下の概念をカバーする：

ベース画像のフットプリントを最小限に抑える
サプライチェーンの確保
ユーザのワークロードを静的に分析する
既知の脆弱性について画像をスキャンする

ベース画像のフットプリントを最小限に抑える

コンテナ・イメージの構築プロセスは、表面的には簡単そうに見えるが、悪魔はしばしば細部に宿る。コンテナ・イメージを構築する際に、不必要にサイズが大きすぎたり、脆弱性に満ちていたり、コンテナ層のキャッシュに最適化されていなかったりするのを避けることは、このトピックを始めたばかりの人にはわからないかもしれない。この章では、コンテナ・エンジンDockerの助けを借りて、これらの側面すべてに対処していく。

シナリオコンテナの脆弱性を悪用する攻撃者

Dockerfileを定義する際に最初に決めなければならないことのひとつが、ベース・イメージの選択だ。ベースイメージはオペレーティングシステムと追加の依存子を提供し、シェルアクセスを公開することもある。

Docker Hubのようなパブリック・レジストリで選択できるベース・イメージの中には、サイズが大きく、アプリケーションをその中で実行するのに必ずしも必要でない機能が含まれている可能性が高いものもある。オペレーティングシステム自体や、ベースイメージで利用可能な依存関係は、脆弱性を露呈する可能性がある。

図6-1では、攻撃者はコンテナにアクセスすることで、コンテナに関する詳細を把握することができた。これらの脆弱性は、より高度な攻撃のための発射台として利用することができる。

最小限の機能と依存関係を持つベースイメージを使用することを推奨する。次の2、3のセクションでは、より最適化されたベースイメージを作成するメソッドについて説明する。このメソッドは、ビルドがより速く、コンテナレジストリからのダウンロードがより速く、そして最終的には、単に肥大化を抑えることで攻撃対象領域を小さくすることにつながる。次のセクションでは、最も重要なテクニックについて触れる。Dockerfileの書き方のベストプラクティスについては、 ...