Cloud Native Computing Foundation (CNCF) は本日、広く使用されているコンテナ オーケストレーション ソフトウェアである Kubernetes のセキュリティ監査を発表しました。その結果は、約 200 万行のコードを持つプロジェクトとしては予想どおりで、対処が必要な欠陥が多数あるというものでした。
CNCFは、Trail of BitsとAtredis Partnersという2つのセキュリティ企業に依頼し、4ヶ月にわたりKubernetesのコードを調査しました。両社は、ネットワーク、暗号化、認証、認可、シークレット管理、マルチテナンシーに関わるKubernetesコンポーネントを調査しました。
Trail of Bits レポートでは、34 件の脆弱性 (重大度が高いものが 4 件、中程度のものが 15 件、重大度が低いものが 8 件、情報レベルのものが 7 件) を特定し、プロジェクト開発者に対して、標準ライブラリをより多く利用し、カスタム パーサーや特殊な構成システムを避け、「健全なデフォルト」を選択し、操作を実行する前に適切なファイル システムとカーネルの相互作用を確認するようアドバイスしています。
Trail of Bitsのレポートは、「評価チームはKubernetesの設定と導入が簡単ではないことを発見しました。一部のコンポーネントには分かりにくいデフォルト設定があり、運用管理が欠如しており、セキュリティ管理が暗黙的に設計されていました」と明らかにしています。「また、Kubernetesのコードベースの状態には、改善の余地が大いにあります。」
これらの調査結果を裏付けるように、Kubernetes 1.13.9、1.14.5、1.15.2が月曜日にリリースされ、ソフトウェアの2つのセキュリティ問題(CVE-2019-11247およびCVE-2019-11249)が修正されました。前者は、ある名前空間のユーザーがクラスターにスコープ設定されたリソースにアクセスできる可能性があります。後者は、クライアントがkubectl cpコマンドを実行する際に、悪意のあるコンテナがクライアントコンピューター上にファイルを作成または置換できる可能性があります。
コンテナコードクラスタの事実:Kubernetesには悪意のある者が大混乱を引き起こす可能性のある穴がある
続きを読む
CNCF が指摘したように、セキュリティ監査人は、誤ったセキュリティ認識を促すポリシー アプリケーションの不一致、デフォルトで使用される安全でない TLS、資格情報を明らかにする環境変数とコマンド ライン引数、ログで漏洩した秘密、証明書失効のサポートがないこと、および seccomp (Linux カーネルのシステム コール フィルタリング メカニズム) がデフォルトでアクティブ化されていないことを発見しました。
調査結果には、ロールベースのアクセス制御と属性ベースのアクセス制御のどちらかが失敗した場合に誤って権限が付与される可能性があるため、両方を使用しないなどのクラスター管理者へのアドバイスが含まれています。
また、開発者が Kubernetes への貢献を継続していく上で従うべきさまざまな推奨事項とベスト プラクティスも含まれています。
例えば、依存関係へのファイルパスのハードコーディングを避けることが推奨事項の一つです。レポートでは、Kubernetesのkubletプロセスにおいて、「PIDファイルのハードコーディングされたパスへの依存関係によって競合状態が発生し、攻撃者が権限を昇格できる可能性がある」と指摘されています。
このレポートでは、Kubernetes のセキュリティを強化するために、最小限のファイル権限の適用、Linux 上のプロセスの監視、その他のさまざまな手順についてもアドバイスしています。
CNCFのCTO兼COOであるクリス・アニシュチク氏は、 The Registerへのメールで、監査プロセスへの満足感を表明しました。「ベンダーの選定から上流プロジェクトとの連携まで、Kubernetesセキュリティ監査WGのメンバーがセキュリティ監査の全プロセスを透明性を持って処理してくれたことを高く評価しています」とアニシュチク氏は述べています。「セキュリティ監査の全プロセスとその結果を共有し、オープンソース化したオープンソース組織は他に知りません。透明性は、特にセキュリティ分野において、オープンソースコミュニティの信頼を築くものです。」
現時点でKubernetesに存在するリスクをどのように評価するかと尋ねられたアニシュチク氏は、「Kubernetesの開発者は迅速に対応し、重大な問題に対して適切なCVEを作成しました。最終的には、調査結果と推奨事項については、レポート自体が語ることを望みます。」と述べました。®
