前回（https://www.intellilink.co.jp/column/security/2021/102200.aspx）までにクレジットカード業界のセキュリティ基準であるPCI DSSをベースにAWSプラットフォーム上でセキュアにシステムを構成する際の留意点について、セグメンテーションによる環境分離、責任共有モデルに基づいた利用者の責任範囲の理解、各要件に沿ったセキュリティ対策のポイントについて紹介してきました。
今回は、コンテナサービスを管理するためのプラットフォームであるKubernetesをマネージドサービスとして提供するAmazon Elastic Kubernetes Service（Amazon EKS）をセキュアに構成するための留意点についてAWSから公開されているガイダンス文書「Architecting Amazon EKS for PCI DSS Compliance」^[1]をもとに概説します。コンテナベースのサービスはOSやネットワークが共用されるため、単一のオペレーティングシステムで複数コンテナを実行するような場合、すべてのコンテナにアクセス可能な共通の攻撃ポイントを攻撃者に提供することになりかねません。そこで、このようなセキュリティリスクを低減するための対策についてAWSサービスを中心とした構成例をみていきましょう。

ホストOSとコンテナイメージの強化

Amazon EKSでは、コンテナの実行環境となるWorker NodeのホストOS上で、複数の関連するコンテナを含むPODという単位で処理が実行されます。またPOD内で稼働するコンテナは、アプリケーション実行に必要なものをすべて含んだソフトウェアパッケージであるコンテナイメージをデプロイすることで稼働させます。そのため、Worker NodeのホストOSに加えて、コンテナイメージをセキュアに構成することが必要です。ガイダンスでは下記のような対策が推奨されています。

図1：ホストOSとコンテナイメージの強化ポイント

ネットワークセキュリティ

AWSアカウントやVPCネットワークを分けて他の環境から分離したり（図2－①参照）、Internetなど他のネットワークからの通信をAWS Network FirewallやVPCセキュリティグループを用いて必要最小限に制限したり（図2－②参照）することが基本の対策です。加えて、Amazon EKSを利用したコンテナベースのサービスを提供するにあたっては、以下のような各レイヤーでの対策が考えられますが、POD間通信を細かく制御するのか、あるいは複雑化を避けるためにセキュリティレベルに応じたノード分割によりノード間でネットワークアクセス制御を実現するのかなど、システムの特徴に応じて最適な考え方を採用することが重要です。

図2：ネットワークセキュリティの構成例

データ保護

コンテナで取扱う機密データは、安全なファイルストアやデータベースにのみ保存してファイルシステムのボリュームマウントなどによってホストOS上に意図せず保存してしまわないよう注意が必要です（図3－①参照）。また、コンテナのイメージやビルドファイルに含まれるデータベース接続認証情報などのパスワード文字列や環境変数はAWS KMSなどを用いて暗号化保存することで、平文のままのパスワード文字列を含むファイルがGitHubを介して流出してしまうような事故の予防につながります（図3－②参照）。さらに、転送中の機密データも保護することで機密データの流出ポイントを最小化できます。ALBを介した外部とのデータ転送や、データベースなど重要なリソースとの接続時のhttpsを強力な暗号化構成で保護するだけでなく、可能な限りポッド間通信についてもmTLSなどのプロトコルを有効化して暗号化することが推奨されます（図3－③参照）。

図3：データ保護のポイント

アクセス制御

各種リソースへのアクセスを業務上必要な最小限のアクセスに制限することが必要です。コンテナベースのサービスでは前述のネットワークセキュリティ同様に以下のような複数のレイヤーで適切なアクセス制御を講じることが対策のポイントです。

図4：アクセス制御の構成例

まとめ

今回は、AWSのマネージドコンテナサービスであるAmazon EKSをセキュアに構成するための留意点についてガイダンス文書からポイントを抜粋して紹介しました。今回紹介した対策以外にもログの保全やモニタリング、定期的なセキュリティテスト実施などPCI DSSの各要件に沿った多層的なセキュリティ対策が必要となる点はコンテナサービスを利用する場合も同様です。加えて、脆弱な状態のコンテナイメージが本番環境にデプロイされて攻撃者の侵入を許してしまうなどコンテナ固有のリスクを認識した上で、一連のコンテナのデプロイメントサイクル全体にわたってイメージやレジストリ、ホストOS、コントロールプレーンなど各レイヤーでの対策を講じることが重要となります。今回紹介しましたポイントを参考に、PCI DSSなどのコンプライアンス要件への遵守、コンテナ環境のセキュリティ向上につながるよう、継続的な対策に取り組んでいただけましたら幸いです。

参考リソース

お問い合わせ

AWSなどのパブリッククラウド環境のセキュリティについてまずは現状把握が重要です。セキュリティ基準に基づいたアセスメントサービス、各種セキュリティ診断サービスなどでのご支援が可能です。また、最新のPCI DSS Version4.0に対応できるサービスも提供しております。お気軽にお問い合わせください。
※「PCI DSSトータルサービス」を刷新 | NTTデータ先端技術株式会社 (intellilink.co.jp)
※お問い合わせフォーム　https://www.intellilink.co.jp/contact-us.aspx

※Amazon Web Services、「Powered by Amazon Web Services」ロゴ、およびかかる資料で使用されるその他のAWS商標は、米国および/またはその他の諸国における、Amazon.com, Inc.またはその関連会社の商標です。