BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース Kubescape - Jonathan Kaftzan氏(Armo VP)とのQ/A

Kubescape - Jonathan Kaftzan氏(Armo VP)とのQ/A

ブックマーク

原文(投稿日:2021/09/30)へのリンク

Armoは先月、Kubescapeのリリースを発表した。Kubescapeは、National Security Agency(NSA)とCybersecurity and Infrastructure Security Agency(CISA)の発行する"Kubernetes hardening guidance"に従って、Kubernetes環境の安全性をテストするためのツールである。

非ルートコンテナ、特権コンテナ、hostNetworkアクセス、匿名要求などを確認することにより、Kubernetes環境のセキュリティ態勢の評価を支援する。

スキャン結果はコマンドラインテーブルまたはJSON形式にまとめられ、悪用される可能性のある構成ミスをさまざまな領域で示す。

 

 
Armoの提供による

マーケティング担当VPのJonathan Kafza氏に話を聞いた。Armoのチームは以前からKubernetes用のソリューションの開発を続けていたが、テクニカルレポートが発行された時、そこで提案されているアプローチが、Armoのそれまで提供してきたベストプラクティスに近いものであることがすぐに分かったのだ、と氏はいう。

InfoQ: Kubescapeをリリースして、コミュニティに貢献しようと決めた理由は何でしたか?

Kaftzan: 当社はテクノロジの一部をオープンソースライセンス下でリリースすることを決定し、"Kubernetes hardening guidance"レポートへの準拠性を評価するツールとして、容易にデプロイしてすぐに使用可能な形でコミュニティに提供しました。これは、コミュニティの協力による進展とコントロールの開発、知識の提供を期待してのことです。このレポートは、Kubernetes環境が侵害される一般的な原因に注目して、そのマネジメントに関する実践的なガイダンスを提供するという意味において、非常に優れたものです。

InfoQ: その他のテストをサポートする計画はありますか?

Kaftzan: そうですね、Kubescapeは今後も、機能の追加や拡張を続けていきます。オープンソースプロジェクトですから、誰でも参加できますし、機能追加に貢献することが可能です。コミュニティからはたくさんのアイデアや提案を頂いて、本当に感謝しています。

Kubescapeをローンチしてからこれまで、すでに重要な新機能をいくつも追加しています。例を挙げれば、

  • クラスタを使わずに直接、YAMLファイルやHELMチャートをスキャンする機能。Kubernetesマニフェストファイルのコミット後すぐ、設定ミスをスキャンすることが可能になりました。
  • Kubernetesクラスタが特定の重大な脆弱性にさらされているかテストする機能。
  • GUI経由でスキャン履歴やリスク傾向を確認する機能。

NSAとCISのガイダンスのみに基づくことのないように、将来的には、対象とするセキュリティフレームワークをさらに追加する予定です。どのセキュリティフレームワークをテストに使用するか、ユーザが選択できるようになります。

来月のKubeConで、その件について発表する予定です。さらに、ユーザが自分自身のニーズや要件に基づいて、独自のフレームワークを定義できるようにしたいとも思っています。

InfoQ: CI/CDパイプラインには簡単に組み込めますか?

Kaftzan: とても簡単です。JenkinsCircleCIGithubワークフローといったDevOpsツールに組み込むことができます。これには、KubescapeをCI/CDパイプラインの重要な構成要素にすることで、DevOpsやKubernetesに関わるエンジニアがセキュアな環境を構築し、運用できるようにしたい、という意図がありました。

InfoQ: Kubescapeの今後の計画について教えてください。

Kaftzan: 機密上の弱点を検出するなど、さらに新機能を追加したいですね。、KubescapeがDevOpsやKubernetesエンジニアによって広く利用されるツールになれば、と思います。コミュニティの支援を得ることで、時間の経過とともに、より優れた、より堅牢なツールになることを願っています。

Kubescapeは、Kubernetes APIサーバからフェッチしたKubernetesオブジェクト(デプロイメント、サービス、その他)を、事前定義されたポリシのセットに対して、Open Policy Agent (OPA)を使ってスキャンする。ポリシはArmoで開発され、OPAのポリシ言語であるRegoで記述されている。

Kubescapeのリリースに関するより詳しい情報は、プロジェクトのGithubのWebページで見ることができる。

この記事に星をつける

おすすめ度
スタイル

特集コンテンツ一覧

BT