クラスター設定10%

ネットワークセキュリティポリシーを使用してクラスタレベルのアクセスを制限する
CISベンチマークを使用して、Kubernetesコンポーネントのセキュリティ構成を確認する（etcd、kubelet、kubedns、kubeapi）
セキュリティ制御によりIngressオブジェクトを適切に設定する
ノードのメタデータとエンドポイントを保護する
GUI要素の使用とアクセスを最小化する
デプロイ前にプラットフォームバイナリを確認する

クラスター強化15%

Kubernetes APIへのアクセスを制限する
ロールベースアクセスコントロールを使用して、露出を最小限に抑える
サービスアカウントを使用する際の注意事項を実践する（新しく作成したサービスアカウントについてのデフォルト禁止や権限の最小化など）
Kubernetesを頻繁に更新する

システムの強化15%

ホストOSのフットプリントを最小化する（攻撃対象を減らす）
IAMロールを最小限に抑える
ネットワークへの外部アクセスを最小限に抑える
AppArmor、seccompなどのカーネル強化ツールを適切に使用する

マイクロサービスの脆弱性を最小限に抑える20%

適切な OS レベルのセキュリティドメインをセットアップする
Kubernetesシークレットを管理する
マルチテナント環境（gvisor、kataコンテナなど）でコンテナランタイムサンドボックスを使用する
mTLSを使用してPod間の暗号化を行う

サプライチェーンのセキュリティ20%

基本画像のフットプリントを最小化する
サプライチェーンを保護する：許可されたレジストリをホワイトリストに登録し、画像に署名して検証する
ユーザーワークロード（Kubernetesリソース、Dockerファイルなど）の静的分析を使用する
既知の脆弱性に関する画像をスキャンする

モニタリング、ロギング、ランタイムセキュリティ20%

ホストおよびコンテナレベルでsyscallプロセスやファイルのアクティビティについて行動分析し、悪意のあるアクティビティを検出する
物理インフラ、アプリ、ネットワーク、データ、ユーザー、およびワークロード内の脅威を検出する
発生場所や発生方法を問わず、あらゆるフェーズの攻撃を検出する
詳細な分析調査を行い、環境内に存在する悪役を特定する
実行時のコンテナの不変性を確保する
監査ログを使用してアクセスを監視する

Certified Kubernetes Security Specialist (CKS)

ニュースレターのお申し込みはこちら