このトピックでは、Alibaba Cloud Container Service (ACS) のセキュリティシステムについて、ランタイムセキュリティ、信頼できるソフトウェアサプライチェーン、インフラストラクチャセキュリティの 3 つの側面から説明します。セキュリティシステムには、セキュリティ検査、ポリシー管理、ランタイム監視とアラート、イメージスキャン、イメージ署名、クラウドネイティブアプリケーションデリバリーチェーン、デフォルトセキュリティ、ID 管理、きめ細かいアクセス制御が含まれます。
ランタイムセキュリティ
セキュアサンドボックス管理: セキュアサンドボックスは、アプリケーションを軽量の仮想マシンサンドボックス環境で実行できるようにする、コンテナランタイムの新しいオプションを提供します。この環境は独立したカーネルを持ち、より優れたセキュリティ分離を提供します。セキュアサンドボックスは、信頼できないアプリケーションの分離、障害の分離、パフォーマンスの分離、マルチユーザー負荷の分離などのシナリオに特に適しています。パフォーマンスへの影響は最小限であり、ログ、監視、弾力性など、Docker コンテナと同じユーザーエクスペリエンスを提供します。
信頼できるソフトウェアサプライチェーン
イメージスキャン
Container Registry は、すべての Linux ベースのコンテナイメージのセキュリティスキャンをサポートしており、イメージ内の既知の脆弱性を特定できます。対応する脆弱性評価と修正の提案を受け取り、セキュリティリスクを軽減できます。Container Registry は、クラウドセキュリティスキャンエンジンとも統合されています。イメージ内のシステムの脆弱性、アプリケーションの脆弱性、悪意のあるサンプルの識別をサポートします。
イメージ署名
コンテナイメージ管理では、コンテンツ信頼メカニズムを通じてイメージソースのセキュリティと整合性を保証できます。イメージ作成者はイメージにデジタル署名を適用でき、この署名は Container Registry に保存されます。デプロイ前にコンテナイメージの署名を確認することで、信頼できるコンテナイメージのみがクラスターにデプロイされるようにすることができます。これにより、環境内で予期しないコードや悪意のあるコードが実行されるリスクが軽減され、デプロイプロセス全体でアプリケーションイメージのセキュリティとトレーサビリティが確保されます。
クラウドネイティブアプリケーションデリバリーチェーン
コンテナの安全かつ効率的なデリバリーシナリオでは、Container Registry のクラウドネイティブアプリケーションデリバリーチェーンを使用して、イメージのビルド、イメージのスキャン、グローバルイメージの同期、イメージのデプロイを設定し、きめ細かいセキュリティポリシーをカスタマイズして、フルリンクで監視可能かつ追跡可能な安全なデリバリーを実現できます。これにより、コードが一度送信され、複数のリージョンに安全に配信され、効率的にデプロイされることが保証され、DevOps デリバリーパイプラインが DevSecOps に完全にアップグレードされます。詳細については、デリバリーチェーンの作成を参照してください。
インフラストラクチャセキュリティ
デフォルトセキュリティ
ACS クラスターノードと ControlPlane コンポーネントのセキュリティは、CIS Kubernetes Benchmarks に基づいて強化されています。クラスター内のすべてのシステムコンポーネントは、コンテナセキュリティのベストプラクティスに従って強化されており、システムコンポーネントイメージに重大な Common Vulnerabilities and Exposures (CVE) の脆弱性がないことが保証されます。
マネージドクラスターの Worker ノードでは、最小権限の原則が適用されます。Resource Access Management (RAM) ユーザーには、他のクラウド リソースにアクセスするための最小限の権限が付与されます。詳細については、ACS 認証のベストプラクティスを参照してください。
ID 管理
ACS クラスター内のコンポーネント間のすべての通信リンクでは、リンク全体のデータ送信のセキュリティを確保するために、TLS 証明書の検証が必要です。ACS は、クラスターシステムコンポーネントの証明書の自動更新を担当します。RAM ユーザーまたはロールは、コンソールまたは OpenAPI を介して指定されたクラスター API サーバーに接続するための kubeconfig ファイルを取得できます。具体的な操作については、クラスターの KubeConfig を取得し、kubectl を使用してクラスターに接続するを参照してください。ACS は、アクセス資格情報で発行された ID 情報の維持を担当し、資格情報を取り消すことができます。具体的な操作については、クラスターの kubeconfig ファイルを取り消すを参照してください。
きめ細かいアクセス制御
ACS クラスター内の Kubernetes リソースへのアクセス制御は、ロールベースのアクセス制御 (RBAC) に基づいて実装されます。これは、アプリケーションセキュリティを保護するための基本的かつ必要な強化対策です。ACS は、コンソールの 認証管理 ページで、名前空間に対してきめ細かい RBAC 認証機能を提供します。これには、次の点が含まれます。
RBAC 権限テンプレート: システムは、管理者、運用担当者、開発者に対応する RBAC 権限テンプレートを、異なる権限要件に基づいてプリセットします。
バッチ認証: 複数のクラスターと複数のサブアカウントのバッチ認証がサポートされています。
RAM ロール: RAM ロールの認証がサポートされています。
カスタム ClusterRole: クラスター内のカスタム ClusterRole へのユーザーのバインドがサポートされています。詳細については、RAM ユーザーまたは RAM ロールの RBAC 権限を設定するを参照してください。
Secret モデルの暗号化
K8s のネイティブ Secret モデルは、機密データが etcd (分散型整合性キーバリューストア) に保存される場合にのみ Base64 でエンコードされます。ただし、ACS クラスターでは、Alibaba Cloud Key Management Service (KMS) で作成されたキーを使用して K8s の Secret モデルを暗号化し、ディスク内の機密アプリケーションデータの暗号化を実現できます。