DockerおよびKubernetesCISベンチマークの最新情報 #aqua #コンテナ #セキュリティ #Docker #k8s #ベンチマーク #CIS
この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。
本ブログは「Aqua Security」社の技術ブログで2021年6月30日に公開された「 What’s New in the Docker and Kubernetes CIS Benchmarks 」の日本語翻訳です。
DockerおよびKubernetesCISベンチマークの最新情報
コンテナセキュリティとその規準に関する課題の1つは、新しいリリースや製品に対応することです。最近 Docker および Kubernetes CIS ベンチマークの新バージョンがリリースされましたが、これらのプロジェクトの新バージョンの変更点を把握することで、最新の状況を維持するとともに、より広い観点で環境を安全に保つことができます。
CIS Dockerベンチマークv1.3の新推奨事項
Docker プロジェクトのリリースサイクルが以前に比べてやや遅くなっているため、Docker ベンチマークが更新されるのは久しぶりです。ベンチマークのこのバージョンでは、いくつかの整備が行われ、Docker v20.10 の新機能を考慮した新しいコントロールを追加しました。
今回の整備で、Docker Enterprise セクションを削除しました。これにより、ベンチマークの内容や使用するプロファイルをシンプルにできます。
新たな変更点としては、Docker の追加された機能と製品の対象範囲の拡大を利用して、いくつかの新しい推奨事項を追加しました。
- 2.1 - Docker デーモンを非 root で実行-Docker に Rootless 操作のサポートが追加されたことで、ユーザは Docker ホストのセキュリティを向上させることができます。すべてのインストールでうまくいくわけではありませんが、可能な場合は躊躇することなく検討すべきものです。
- 23, 3.24 - Docker と一緒にインストールされる ContainerD ファイルのパーミッションについて、新しいチェックが追加-Docker のセキュリティを検討する際に ContainerD ソケットを見落としがちですが、無許可のアクセスは Docker ソケットへのアクセスと同様に深刻な影響を与えるため、これらのファイルを保護することは重要です。
CIS Kubernetesベンチマークの主な変更点
最近では Azure Kubernetes Service (AKS)や OpenShift など、Kubernetes ディストリビューション向けのベンチマークが追加されています。特定のディストリビューション用のベンチマークに加えて、最近ではバージョン別の一般的な Kubernetes ベンチマークも登場しており、バージョン v1.20 に特化した新しいベンチマークがリリースされています。
Kubernetes v1.16 から v1.19 クラスター用のベンチマークを探しているのであれば、 Kubernetes ベンチマーク v1.6.1 を使用すべきです。また、Kubernetes v1.20 クラスター用のベンチマークを探しているのであれば、Kubernetes v1.20 Benchmark v1.0.0 を使用すべきです。この表記方法は少し紛らわしい感じもしますが、今後はより多くのバージョンのベンチマークがリリースされるため、この表記方法により、自分のクラスターに適切なものを容易に見つけるられるようになるでしょう。
新しい Kubernetes v1.20 ベンチマークに追加されたものとしては、クラスター内での RBAC の管理方法に関するいくつかの重要な変更があります。
- 1.7 - これは、ハードコードされた system:masters グループの使用を対処するために追加されました-このグループのメンバーシップは非常にリスクが高いので、可能な限り利用は避けるべきです。
- 1.8 - 権限の昇格を可能にするいくつかの特別な RBAC で定義する特定の verb の付与を避けるための新しい推奨事項です-impersonate はよく知られていますが、escalate と bind はあまり理解されておらず、誤用されると深刻なセキュリティ上の影響を及ぼす可能性があります。
CISベンチマークへの取り組み
CIS ベンチマークに関するよくある質問として、ベンチマークはどのように作成・維持がされているかというものです。これは非常にシンプルなプロセスです。ベンチマークに何か問題があることに気づいたり、ベンチマークがカバーすべき新しい分野のアイデアがあれば、CIS ベンチマークワークベンチのサイトに登録し、コミュニティに参加してコントリビュートできます。
まとめ
CIS ベンチマークは、コンテナセキュリティ全体の中で重要な位置を占めており、その維持は長期的な取り組みとなります。Kubernetes のような製品では、変化のペースが速いため、これらの文書を定期的に更新して、関連性と正確性を保つことが重要です。
Kubernetes CIS ベンチマークテストを実行するための Aqua のオープンソースツールである kube-bench は、Kubernetes が安全にデプロイされているかどうかをチェックするベンチマークの新バージョンをすでに実装しています。