オンプレミスとKubernetes:繊細な関係

By 清水 孝郎 - SEPTEMBER 1, 2024
Topics: コンテナ、Kubernetes、ホストのセキュリティ

SHARE:

本文の内容は、2024年8月30日にSulav Kumar が投稿したブログ(https://sysdig.com/blog/on-prem-and-kubernetes-a-delicate-relationship/)を元に日本語に翻訳・再構成した内容となっております。

クラウド セキュリティでは、コンテキストがすべてです。

「Customers Care Chronicles」の過去2回のエピソードでは、セキュリティベンダーが真のビジネスパートナーである必要性と、クラウドへのツール移行時に発生する可能性のある頭痛の種について書きました。今回は、セキュリティにとって重要でありながら、セキュリティ以外の概念である「環境」について取り上げます。

クラウドにおけるイノベーションの速度は前例がなく、企業はそれをできるだけ早く受け入れています。しかし、すべての移行には課題があり、特にエンタープライズレベルではその傾向が強くなります。オンプレミスからより柔軟なインフラへの切り替えは、複雑で時間がかかり、時には望ましくない場合さえあります。このため、多くの企業はハイブリッド環境を選択し、一部のオンプレミスサービスを維持しつつ、Kubernetesの利点も享受しています。これはビジネスにとって有益ですが、セキュリティの課題を確実に増加させることになります。

基本アーキテクチャーからデプロイメントまで

私たちのお客様は、堅牢なインフラを持つ政府機関で、(多くの政府機関と同様に)いくつかの独自のセキュリティ要件を抱えていました。私たちは、最初からこれが多くの独創的な発想やカスタマイズを必要とすることを理解していました。

私たちが関わった契約には、物理ハードウェア(サーバー)の提供、これらのサーバー上にKubernetesクラスターをインストールすること、そして新しく作成されたKubernetesクラスター上にSysdigバックエンドをインストールすることが含まれていました。

私たちが作らなければならない環境は、多大な労力を要し、複雑なものになることはわかっていました。これは、これまでに行われたことのないことでした。

この規模のプロジェクトでは、次の点に重点を置く必要があることはわかっていました。

  • デプロイメントデザイン: このような複雑なインフラの基盤となるアーキテクチャを作成すること自体が一つのプロジェクトです。
  • Sysdig バックエンド: 弊社の製品バックエンドがお客様の環境上に安全にインストールできることを確認する必要がありました。
  • インフラストラクチャーの複雑さ: 政府機関は機能的かつ安全である必要があり、1 つのポートを開くだけでも数日かかりました。
  • エアギャップ環境: すべてのイメージを内部レジストリに取り込み、お客様のクラスターからアクセスできるようにする必要がありました。

課題を理解した後、私たちはすぐにインフラとサポート チームを含む Sysdig タスク フォースを結成し、すべてが整っていることを確認しました。

クラウドセキュリティではアーキテクチャが重要

クラウドセキュリティではアーキテクチャーが重要

もっと詳しく知る

旅先でのカスタマーサクセスエンジニア

プロジェクトには、お客様サイトに常駐するマネージド・カスタマーサクセスエンジニアが必要でした。私は、デプロイメントが始まった当初から現地にいて、設計から実装、そして反復作業に至るまで、すべてを直接監督してきました。

私たちはお客様に5台のサーバーを提供することで合意し、これらを2つのデータセンターに分散して設置する必要がありました。さらに、お客様からの依頼で、Kubernetesクラスターを2つのデータセンターにまたがるストレッチクラスターにすることになりました。これにより、このデプロイメントのための基本的なアーキテクチャーと設計を作成する必要がありました。私たちの主な目標は、高可用性と災害復旧でした。

Kubernetesクラスターが準備完了した後、Sysdigオンプレミスのバックエンドをその上にインストールし、お客様のクラスターにSysdigエージェントをインストールして接続しました。

デプロイメント全体のプロセスにはほぼ3か月を要し、リモートで実施されましたが、私は現地でその進行を支援しました。このプロセスには、複数のチームが協力し、お客様のセキュリティチームや経営陣との継続的なコミュニケーション、そして多くの反復作業が含まれていました。

お客様はセキュリティ、脆弱性管理、アプリケーション開発に異なるベンダーを利用しています。また、SSO/PAMアクセスを管理するアイデンティティチームや、SysdigがSIEMに転送するセキュリティインシデントを管理するSOCチームも含まれていました。私たちのソリューションを導入するためには、これらすべてのチームやステークホルダーと協力する必要がありました。


このストーリーでは、私たちはSysdigのオンプレミスサービスを提供しました。オンプレミスのユーザーは、Sysdigのバックエンドコンポーネントを自社の判断に基づいてインストールし、管理します。これはデータセンター内でも、Azure、AWS、GKEなどの企業が利用するクラウドプロバイダーの環境内でも実施されることがあります。

まとめ

クラウドセキュリティの複雑さをうまく乗り切るには、技術的な専門知識だけでなく、綿密な計画と状況認識も必要であることは明らかです。 

堅牢で柔軟なインフラストラクチャーの設計から固有の課題の克服まで、デプロイメントプロセスには、アーキテクチャーの設計、Sysdig オンプレミス サービスがお客様の複雑なインフラストラクチャーとシームレスに統合されていることの確認、および多くのDevSecOpsコラボレーションが含まれていました。この3か月にわたるプロジェクトは、継続的なコミュニケーションとチームワークの重要性を改めて実感させるものとなりました。

あらゆるソリューションの有効性は、保護対象の環境と深く絡み合っています。複雑でリスクの高い要件を持つ組織にとって、カスタマイズされた安全なセットアップは不可欠です。インフラストラクチャーがデータ、そして最終的にはお客様を保護する準備ができていることを確認するには、技術、環境、ビジネスの状況を常に把握しておくことが極めて重要です。

Kubernetes セキュリティ ガイド

Kubernetes セキュリティ ガイド

もっと詳しく知る

Sulav は Sysdig のシニアカスタマーソリューションエンジニアです。インド地域を管理し、Sysdig との契約期間全体にわたって、オンボーディング、ソリューションの設計、実装、テクノロジーの採用、アップセルなど、お客様のジャーニーを担当しています。