Lens Security Center機能のご紹介 #Kubernetes #セキュリティ #Lens
この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。
Lens について
Lensはすべての Kubernetes クラスタに、完全な統合された操作・確認環境を提供します。これから始める人にとっては参入障壁を下げ、経験豊富な人にとっては生産性を根本的に向上させることができます。Lens Desktop は 100% オープンソースで無料で利用できます。350,000人以上のユーザーと 16.2k の Star が GitHub に登録されており、Kubernetes の IDE として最も人気があります。https://k8slens.dev
本稿はMirantisブログ「Introducing Lens Security Center」を翻訳・編集したものです。
今日の世界では、セキュリティはすべての組織にとって最重要事項であり、Lensもこのことを重く受け止めています。だからこそ私たちはLens Proサブスクリプションで利用できるLens Security Centerをお勧めしたいのです。これはLensユーザーがワークロードやクラスタの脆弱性、設定ミスを簡単に特定できる機能です。Lens Security Centerの最大の特徴は、すでにLens Desktopに組み込まれているため、追加インストールが不要な点です。クラスタに接続すればすぐにスキャンを開始できます。Lens Security Centerは、イメージ、リソース、Role、ClusterRoleに潜む潜在的な脆弱性を検出し、即座に適切な対策を講じることができます。シンプルなトグルスイッチでクラスタにKubernetes Operatorを配置し自動スキャンを設定することもできます。
すでに集中スキャンシステムを導入している組織もあるでしょう。しかし開発サイクルの早い段階で、CI/CDの仕組みに達する前に脆弱性を検出することで、時間とコストを削減し、リスクを軽減することができます。Lens Security Centerを使用すれば、簡単にお使いの既存のスキャンシステムを統合し、Lens で直接脆弱性を確認できます。これにより、目当てのものを探すためにいくつものダッシュボードを行き来したり、CVE情報に圧倒される必要がなくなります。
Lens Security CenterはLens Proサブスクリプションの購入で利用できます。Lens Proによって、ワークロードとクラスタのセキュリティがさらに強化され、安心して優れたアプリケーションの構築に専念できます。
今回のリリースでは個人でカスタマイズできるアバター、新たなKubernetes追加機能のサポート、Linuxユーザー向けのアップグレードの改善など多くの機能強化やバグ修正が行われ便利な新機能も追加されています。
Lens Security Center
Lens 6 で Lens Securityが加わり、Lens Desktopのユーザがコンテナイメージスキャンと CVE レポートの利用が可能になりました。この機能を拡張し Lens Security Centerとしました。詳しく見ていきましょう。
Images機能
Imagesは、強力なコンテナイメージスキャンとCVEレポート機能です。クラスタ、Namespace、Deployment、またはPodで実行されているコンテナイメージを簡単に閲覧できます。またイメージの脆弱性スキャンを任意のタイミングで実施できるので、定期的なクラスタ全体の脆弱性スキャンのような仕組みに頼らずに対処することができます。CVEの詳細には、深刻度、影響を受けるソフトウェア、潜在的な緩和策が含まれます。例えばスキャナは、バッファオーバーフロー、アウトオブバウンズ、サービス拒否、コマンドインジェクション、コード実行の脆弱性を含む可能性のあるイメージを検出します。
Resources機能
Resourcesは、イメージ、ワークロード、インフラストラクチャコンポーネントをKubernetes構成のセキュリティ基準に照らし合わせて即座に評価する機能です。Resources機能を使えば、Kubernetes環境がベストプラクティスに従って設定されているかどうかを迅速かつ簡単にチェックし、セキュリティの潜在的な脆弱性が顕在化する前に特定できます。例えばDeploymentがルートユーザとして実行されていないことの確認や、RequestsとLimitsが設定されていることの確認が可能です。またはホストの PID ネームスペースを共有してもホストプロセスが可視化されず、環境変数や設定などの情報が漏えいする可能性がないことを確認します。これらのチェック機能は、さまざまなKubernetesワークロード、Services、ConfigMapsを含むその他のNameSpaceリソースに適用することができ、Kubernetesリソース全体で包括的なセキュリティカバレッジを実現します。
Roles & ClusterRoles機能
Lens Security Centerは、Kubernetesクラスタ内の重要なリソースのRole、ClusterRole、アクセス権、パーミッションを包括的にスキャンします。Kubernetes環境が組織のセキュリティ要件を満たす構成になっているか否かを、迅速かつ容易に検証できます。例えば、あるRoleがすべてのグループに対してSecretsへのアクセス許可を公開していないことを確認でき、機密データへの不正アクセスを防ぎます。ワイルドカードのリソース上で特定の動作を許可するRoleの確認が可能です。また特定のRoleが悪意のあるPodの更新/作成を許可しているか否かを確認することもできます。
アバターで交流を
独自のアバターで Lens体験をパーソナライズできます。Spaceに新しいメンバーを招待する際も、共有クラスタに接続中のメンバーを確認する際も、フォーラムで Lensコミュニティのメンバーを見つける際にも、このアバターは役立ちます。アバターの作成は数秒で済みます。自分の写真やお気に入りのキャラクターまたは独自にデザインしたイラストをアップロードするだけです。
新たなKubernetes追加機能のサポートを追加
Kubernetes APIが進化するにつれて、私たちは包括的なカバレッジの実現に努めてきました。最近ではVertical Pod Autoscaler、Ingress Classes、Replication Controllers、およびSub-namespacesの限定的なサポートを含む、いくつかの新しいKubernetes Kindsのサポートを組み込みました。
Linuxユーザ向けにアップグレード体験を向上
Linux 向けアップグレードの改善
YUM リポジトリ経由でネイティブにビルドし公開している RPMパッケージと、APTリポジトリ経由で公開している Debパッケージを提供し、Linuxユーザのアップグレード体験を向上しました。
TLS暗号化をローカル通信で使用可能に
Lens Desktopの更新により、ローカル内部通信でTLS暗号化の使用を可能にし、セキュリティをさらに強化しました。
その他の機能強化
新しいKubernetes用のHPAはバージョン2を使用してロードされます。これによりbehabviorやmetricsなどの新しいフィールドが壊れなくなります。HPAで現在使用するバージョンは、クラスタ上でホストされているバージョンに動的に対応するようになりました。
Lensブログで続きを読む(英語)
Lensの概要資料はこちらからダウンロードできます。
Lens Proサブスクリプションの日本国内販売および、その他Mirantis製品に関するお問い合わせはこちらへ。