翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
コンプライアンス
コンプライアンスは、AWS とそのサービスのコンシューマー間の責任共有です。一般的に、AWS は「クラウドのセキュリティ」を担当し、ユーザーは「クラウドのセキュリティ」を担当します。AWS とそのユーザーが何を担当しているかを示す行は、サービスによって異なります。例えば、Fargate では、AWS はデータセンター、ハードウェア、仮想インフラストラクチャ (Amazon EC2)、コンテナランタイム (Docker) の物理的なセキュリティを管理します。Fargate のユーザーは、コンテナイメージとそのアプリケーションを保護する責任があります。コンプライアンス標準に準拠する必要があるワークロードを実行する際の重要な考慮事項は何かについて、誰が責任を負うかを把握します。
次の表は、さまざまなコンテナサービスが準拠するコンプライアンスプログラムを示しています。
| コンプライアンスプログラム | Amazon ECS オーケストレーター | Amazon EKS オーケストレーター | ECS Fargate | Amazon ECR |
|---|---|---|---|---|
|
PCI DSS レベル 1 |
1 |
1 |
1 |
1 |
|
HIPAA 適格 |
1 |
1 |
1 |
1 |
|
SOC I |
1 |
1 |
1 |
1 |
|
SOC II |
1 |
1 |
1 |
1 |
|
SOC III |
1 |
1 |
1 |
1 |
|
ISO 27001:2013 |
1 |
1 |
1 |
1 |
|
ISO 9001:2015 |
1 |
1 |
1 |
1 |
|
ISO 27017:2015 |
1 |
1 |
1 |
1 |
|
ISO 27018:2019 |
1 |
1 |
1 |
1 |
|
IRAP |
1 |
1 |
1 |
1 |
|
FedRAMP Moderate (East/West) |
1 |
1 |
0 |
1 |
|
FedRAMP High (GovCloud) |
1 |
1 |
0 |
1 |
|
DOD CC SRG |
1 |
DISA レビュー (IL5) |
0 |
1 |
|
HIPAA BAA |
1 |
1 |
1 |
1 |
|
MTCS |
1 |
1 |
0 |
1 |
|
C5 |
1 |
1 |
0 |
1 |
|
K-ISMS |
1 |
1 |
0 |
1 |
|
ENS High |
1 |
1 |
0 |
1 |
|
OSPAR |
1 |
1 |
0 |
1 |
|
HITRUST CSF |
1 |
1 |
1 |
1 |
コンプライアンスステータスは時間の経過とともに変化します。最新のステータスについては、常に https://aws.amazon.com/compliance/services-in-scope/
クラウド認定モデルとベストプラクティスの詳細については、AWS ホワイトペーパー「安全なクラウド導入のための認定モデル
左へのシフト
左へのシフトの概念には、ソフトウェア開発ライフサイクルの早い段階でポリシー違反やエラーをキャッチすることが含まれます。セキュリティの観点から見ると、これは非常に有益です。たとえば、開発者は、アプリケーションがクラスターにデプロイされる前に、設定の問題を修正できます。このようなミスをキャッチすると、ポリシーに違反する設定がデプロイされるのを防ぐことができます。
コードとしてのポリシー
ポリシーは、許可される動作や禁止される動作など、動作を管理するための一連のルールと考えることができます。たとえば、すべての Dockerfiles に、コンテナを非ルートユーザーとして実行する USER ディレクティブを含める必要があるというポリシーがあるとします。ドキュメントとして、このようなポリシーを検出して適用するのは難しい場合があります。また、要件の変化に応じて古くなることもあります。Policy as Code (PaC) ソリューションを使用すると、既知の脅威や永続的な脅威を検出、防止、軽減、対処するセキュリティ、コンプライアンス、プライバシー制御を自動化できます。さらに、ポリシーをコーディングし、他のコードアーティファクトと同様に管理するためのメカニズムも提供します。このアプローチの利点は、DevOps および GitOps 戦略を再利用して、Kubernetes クラスターのフリート間でポリシーを管理および一貫して適用できることです。PaC オプションと PSP の将来については、「Pod Security
パイプラインで policy-as-code ツールを使用して、デプロイ前に違反を検出する
-
OPA
は、CNCF の一部であるオープンソースのポリシーエンジンです。これはポリシーの決定に使用され、言語ライブラリやサービスなど、さまざまな方法で実行できます。OPA ポリシーは、Rego と呼ばれるドメイン固有言語 (DSL) で記述されます。多くの場合、Gatekeeper プロジェクトとして Kubernetes Dynamic Admission Controller の一部として実行されますが、OPA を CI/CD パイプラインに組み込むこともできます。これにより、デベロッパーはリリースサイクルの早い段階で設定に関するフィードバックを取得できます。これにより、本番環境に移行する前に問題を解決できます。一般的な OPA ポリシーのコレクションは、このプロジェクトの GitHub リポジトリ にあります。 -
Conftest
は OPA 上に構築されており、Kubernetes 設定をテストするための開発者向けのエクスペリエンスを提供します。 -
Kyverno
は Kubernetes 用に設計されたポリシーエンジンです。Kyverno では、ポリシーは Kubernetes リソースとして管理され、ポリシーを記述するために新しい言語は必要ありません。これにより、kubectl、git、kustomize などの使い慣れたツールを使用してポリシーを管理できます。Kyverno ポリシーは、Kubernetes リソースを検証、変更、生成できるだけでなく、OCI イメージサプライチェーンのセキュリティを確保できます。Kyverno CLI を使用して、CI/CD パイプラインの一部としてポリシーをテストし、リソースを検証できます。すべての Kyverno コミュニティポリシーは Kyverno ウェブサイト にあります。Kyverno CLI を使用してパイプラインにテストを記述する例については、ポリシーリポジトリ を参照してください。
ツールとリソース
-
Kubernetes セキュリティレビュー
Kubernetes 1.13.4 のサードパーティーセキュリティ評価 (2019) -
SUSE オープンソースのゼロトラストコンテナセキュリティプラットフォームによる NeuVector
は、コンプライアンスレポートとカスタムコンプライアンスチェックを提供します。
