本文の内容は、2021年9月8日にEric Carterが投稿したブログ(https://sysdig.com/blog/securing-amazon-eks-anywhere-with-sysdig)を元に日本語に翻訳・再構成した内容となっております。
Amazon EKS Anywhereは、Amazon Elastic Kubernetes Serviceの新しいデプロイメントオプションで、オンプレミスでKubernetesクラスターを作成・運用することができます。これにより、コンテナ化されたワークロードを、ビジネスに最適な場所で実行することができます。セキュリティに何が必要かを慎重に検討することで、リスクを減らし、潜在的な脅威から保護することができます。Sysdig Secure DevOpsプラットフォームはEKS Anywhereで検証されており、AWSのお客様がEKS を使ってどこでも自信を持ってコンテナを実行するために必要なセキュリティと可視性を確保しています。
この記事では、SysdigがEKS Anywhereとどのように連携しているかをご紹介します。また、ハイブリッド・クラウドのセキュリティと監視に関するいくつかのユースケースを紹介します。
EKS Anywhereによるハイブリッドクラウドモデルにおけるコンテナの実行
EKS Anywhereは、オンプレミスでKubernetesクラスターを作成・運用するためのインストール可能なソフトウェアパッケージを提供しています。クラスターのライフサイクルをサポートする自動化ツールにより、Kubernetesのセットアップと管理を簡素化します。EKS Anywhereは、Amazon EKS Distro(AWS上のEKSを動かすのと同じKubernetes)の強みを活かして構築されています。さらに、アップストリームKubernetesを実行するため、コードをリファクタリングすることなく、標準的なKubernetesアプリケーションを簡単に移行することができます。EKS Anywhereでは、一貫して管理をAWSで行うことで、クラスターのインストールを簡素化することができます。そのために、OS、コンテナレジストリ、ロギング、モニタリング、ネットワーク、ストレージのデフォルト設定が含まれています。
EKS AnywhereのGA ラウンチにより、AWSはEKSの全種類の導入オプションを利用できるようになりました。ここでは、EKSを運用するための様々な方法と、それぞれの面での責任者のマッピングを紹介します。
Amazon EKS Anywhereの導入オプションEKS Anywhereは、Kubernetesスタックを構成する様々なコンポーネントの管理に煩わされることなく、AWSでテスト・サポートされているEKS Anywhereを利用して、拠点間で一貫したクラスターのデプロイメントを行うことができます。多くのDevOpsチームの活動ペースを考えると、EKS Anywhereのようなソリューションは、貴重なエンジニアリングの時間を解放し、アプリケーションをより早く本番に投入するのに役立ちます。
SysdigによるEKS Anywhereの保護と監視
SysdigはEKS Anywhereのセキュリティと監視に適しています。Sysdigのプラットフォームは、Kubernetes、コンテナ、クラウドに関する情報を提供するオープンソース・スタック上に構築されています。Sysdigのインスツルメンテーションは、Linuxのsyscallを検査・フィルタリングし、コンテナ化されたマイクロサービスの実際の動作を理解するのに役立ちます。また、Kubernetes APIと統合することで、ワークロードの動作のコンテキスト(例:どのクラスタ/ネームスペース/ポッド/コンテナ)を提供し、Kubernetes監査ログで報告された不審なオーケストレータ・アクティビティを警告します。EKS Anywhereを使用してハイブリッド・クラウド・アプリケーション環境をデプロイしている場合、1つのポイントからすべてのクラスターを観察、安全を確保することができます。Sysdigエージェントのインスツルメンテーションは、セキュリティやモニタリングの実装が必要な場所にどこでも導入できます。EKSがVMware vSphere、ベアメタル、AWS Outposts、またはAWSクラウド上にあるかどうかに関わらず、1つの場所からエステート全体を確認、管理することができます。
まず始めに、エージェントコンテナをKubernetesポッドとして実行してみましょう。Kubernetes DaemonSet機能を使用すると、環境の各ノードにSysdigエージェントが存在するようになります。Sysdigは、ホスト、アプリ、ポッド、サービスのすべてを自動的に監視し、Kubernetes APIサーバに接続して環境に関する関連メタデータを引き出します。ご希望であれば、HelmチャートやCloudFormationテンプレートを使用するなど、追加のインストール自動化メカニズムも利用できます。
EKS AnywhereにおけるSysdigエージェントのデプロイメントEKS Anywhereのセキュリティ
Sysdig Secure DevOps プラットフォームは、クラウド・ネイティブ・ランタイム・セキュリティ・プロジェクトであるFalcoをはじめとする多くのオープンソース・プロジェクトの上に構築されています。AWSやEKS Anywhereの環境で、アプリケーションの構築から本番環境まで適用できる、さまざまなセキュリティやコンプライアンスの機能を統合しています。これには、例えば以下のようなものがあります。- 本番前およびランタイムに脆弱性を特定するイメージスキャン
- コンテナ、CaaS(Fargateなど)、クラウド・サービスにまたがる脅威を検出するランタイム・セキュリティ
- Kubernetesネイティブのネットワークポリシーを用いてマイクロセグメンテーションを適用するネットワークセキュリティ
- PCIやNISTなどの規制基準への準拠を管理・検証するコンプライアンス
- クラウドセキュリティポスチャーマネージメント:設定ミスを指摘し、不審な活動を検知する
- インシデントレスポンスとフォレンジックによるセキュリティ侵害の把握と迅速な回復
EKS Anywhereにおけるランタイムセキュリティ
FalcoをベースにしたSysdigのランタイムセキュリティは、syscall、k8s監査ログ、クラウドログを活用して、コンテナアプリケーションとクラウドインフラストラクチャーの動作を把握し、コンテナレベルとクラウドアクティビティの可視化を実現します。
コンテナ、Kubernetes、およびクラウドのアクティビティの可視化
アウトオブボックスのポリシーとランタイムルールライブラリにより、環境全体の脅威を検出し、警告することができます。例えば、EKS Anywhere上で実行されているコンテナを経由した機密データへの侵入を発見することができます。また、AWSアカウントに不審なアクセスがあったかどうか、あるいは設定ミスが侵入の原因になっていないかどうかを把握することもできます。(AWS CloudTrailとの連携についてはこちら)。
セキュリティイベントの調査
EKS Anywhereの重要な価値の一つは、クラウドとオンプレミスの一貫した運用を提供することで、お客様がバラバラの運用モデルから解放されることです。同様に、Sysdigは、異なるセキュリティモニタリングツールをサポートする必要性を軽減します。より広範なテレメトリやイベント情報をKubernetesやクラウドのコンテキストと関連付けることで、インシデントのトリアージをより効果的かつ時間のかからないものにすることができます。
EKS Anywhereにおける継続的なコンプライアンス
EKS Anywhereを採用する原動力の1つは、コンプライアンスです。実際、規制されている業界のお客様は、インフラストラクチャーとデータの厳格な所有権の義務を果たすために、マネージドサービスを避けなければなりませんでした。EKS Anywhereが提供するハイブリッドアプローチでは、コンテナとデータをローカルに管理しつつ、一貫したAWS管理を活用することができます。その結果、EKSを利用しながらオンプレミスの所有権要件を遵守することができます。Sysdig Secureは、コンプライアンスに特化したポリシーや、PCI、NIST、SOC 2、GDPR、HIPAAなどの規格の要件を満たすためにオン/オフできるチェック機能により、コンプライアンスの取り組みをサポートします。
例えば、コンプライアンスのベストプラクティスに基づいたイメージスキャンのポリシーを適用することができます。これにより、脆弱性の検出をNISTやPCIなどの標準にマッピングし、構築プロセスにおいてコンプライアンス要件を満たすことができます。
イメージスキャン監査ポリシー – NIST 800-190
Sysdigを使用すると、EKSのインフラストラクチャーやワークロードのコンプライアンス態勢を検証することもできます。例えば、CISベンチマークやその他のチェック機能により、コンプライアンス目標に対する進捗状況を測定することができます。
Amazon EKSのCISベンチマーク
FalcoをベースにしたSysdigの検知ルールは、コンプライアンス・フレームワークにマッピングされており、適切なコントロールを実施するのに役立ちます。この機能を使用して、例えば、PCI DSSなどのコンプライアンス基準を満たすために、ファイル整合性監視(FIM)の要件に対処することができます。
コンプライアンス標準用にタグ付けされたランタイムセキュリティルール
Kubernetesセキュリティのベストプラクティスについては、Kubernetesセキュリティガイドで詳しく説明しています。
まとめ
EKS AnywhereがAWSのGAソリューションとして提供されたことに感激しています。つまり、AWSはお客様がアプリケーションインフラをパブリッククラウドの枠を超えて拡張することを支援しているのです。クラウド内でも自社のデータセンターでも、セキュリティは慎重に計画して実行すべきものです。私たちはそのお手伝いをします。AWSとの連携により、利用可能なすべてのデプロイメントモデルをサポートしていますので、お客様のビジネスにとって意味のある場所であれば、自信を持ってコンテナを実行することができます。Sysdig製品をチェックしたい方は、無料で始めることができます。こちらをクリックしてください。