Trending News: Kubernetes Learning 第32章:Helmの基本操作(install, upgrade, rollback)~マニフェスト管理をもっと効率よく、自動化するために~現場で使えるChrome DevTools実践ガイド 第11章:アクセシビリティの確認Google Cloud Platform エンジニア向け教科書:実践から認定まで : 第5章:Cloud SDKとgcloudコマンド:GCPを「キーボードから操る」魔法のツールKubernetes Learning 第31章:コンテナのセキュリティ対策(PodSecurityなど)~Kubernetes環境を守るために最低限知っておきたいこと~現場で使えるChrome DevTools実践ガイド 第10章:Device Modeでのレスポンシブ検証Google Cloud Platform エンジニア向け教科書:実践から認定まで : 第4章:課金と料金モデル、予算とアラート:GCPの「お財布」管理術Kubernetes Learning 第30章:NetworkPolicyの使い方 〜Pod間通信を制御するセキュリティの要〜Google Cloud Platform エンジニア向け教科書:実践から認定まで : 第3章:IAM(Identity and Access Management):GCPの「誰が」「何に」「何ができるか」を管理する門番現場で使えるChrome DevTools実践ガイド 第9章:Applicationパネルとストレージの確認Kubernetes Learning 第29章:RBACの基礎とロール設計 〜「誰が、何を、どこで」できるのかを制御する〜Android application development 第33章:実践ミニアプリ:天気情報アプリGoogle Cloud Platform エンジニア向け教科書:実践から認定まで : 第2章:リージョンとゾーン、グローバルリソース:GCPの「物理的な場所」の考え方現場で使えるChrome DevTools実践ガイド 第8章:NetworkパネルでのHTTP通信確認Kubernetes Learning 第28章:Fluentd / Loki などのロギングスタック 〜Kubernetesログの集約と可視化〜Android application development 第32章:実践ミニアプリ:シンプルなToDoリストGoogle Cloud Platform エンジニア向け教科書:実践から認定まで : 第1章:Google Cloud コンソールとGCPプロジェクト:あなたのGCPの「指令室」と「作業空間」現場で使えるChrome DevTools実践ガイド 第7章:Performanceパネルでパフォーマンス分析Kubernetes Learning 第27章:Prometheus + Grafana の導入例 〜Kubernetesクラスタを見える化しよう〜Android application development 第31章:Firebase Analytics や Remote Config の活用Google Cloud Platform エンジニア向け教科書:実践から認定まで : はじめに現場で使えるChrome DevTools実践ガイド 第6章:Sourcesパネルでのブレークポイントとステップ実行Kubernetes Learning 第26章:標準的なログ取得方法(kubectl logs)〜Podの中で何が起きているかをのぞいてみよう〜Android application development 第30章:Firebase Crashlytics でのクラッシュレポートKubernetes Learning 第25章:Replica数と冗長性の設計 〜止まらないシステムのために〜Android application development 第29章:キーストアと署名現場で使えるChrome DevTools実践ガイド 第5章:Consoleパネルの活用現場で使えるChrome DevTools実践ガイド 第4章:StylesパネルとComputedパネルKubernetes Learning 第24章:Liveness / Readiness Probe 〜Podの健康チェック〜Android application development 第28章:ビルドタイプとプロダクトフレーバーAIエンジニアを目指す人向けの数学・統計 第2章:線形代数の基礎 2.1 ベクトルと行列AIエンジニアを目指す人向けの数学・統計 第1章:AIと数学の関係現場で使えるChrome DevTools実践ガイド 第3章:Elementsパネルを使ったDOM調査と編集Kubernetes Learning 第23章:Horizontal Pod Autoscaler(HPA) 〜負荷に応じてPodの数を自動で調整〜Android application development 第27章:Logcatの読み方とトラブルシューティング現場で使えるChrome DevTools実践ガイド 第2章:DevToolsの起動とレイアウト現場で使えるChrome DevTools実践ガイド 第1章:DevToolsとは何かKubernetes Learning 第22章:環境変数との使い分け 〜Kubernetesで設定値をどこに置くか?〜Android application development 第26章:UIテスト(Espresso)Kubernetes Learning 第21章:Secretの暗号化とマウント方法 〜機密情報を安全に扱うKubernetesの基本〜Android application development 第25章:Androidアプリ開発における単体テスト(JUnit)Kubernetes Learning 第20章:ConfigMapの詳細 〜アプリケーション設定をKubernetesで管理する〜Android application development 第24章:HiltによるDI導入とその注意点Kubernetes Learning 第19章:ローカルストレージとクラウドストレージ(EBS, NFSなど)Android application development 第23章:Javaエンジニアに向けたDIの復習Kubernetes Learning 第18章:PVC(PersistentVolumeClaim)の使い方Android application development 第22章:MVVMアーキテクチャ(Model-View-ViewModel)Kubernetes Learning 第17章:VolumeとPersistentVolumeの基礎Android application development 第21章:ViewModel、LiveData、DataBindingの導入Kubernetes Learning 第16章:外部アクセスとDNS、LoadBalancerのしくみAndroid application development 第20章:非同期処理(Handler / AsyncTask / Coroutineの比較)Kubernetes Learning 第15章:ServiceとIngressを使った公開Android application development 第19章:JSONパース(Gson)Kubernetes Learning 第14章:Webアプリケーションの例 〜Spring Boot + MySQLをKubernetesに載せてみる〜Android application development 第18章:Retrofitを使ったAPI通信Kubernetes Learning 第13章:kubectl apply / diff / deleteの運用Android application development 第17章:SQLiteとRoomの比較と実装Kubernetes Learning 第12章:リソース毎のマニフェスト作成 〜Kubernetesで何をどう定義するのか〜Android application development 第16章:SharedPreferencesKubernetes Learning 第11章:YAML形式の基本 ~Kubernetesマニフェストの土台を理解する~Android application development 第15章:リストのクリック処理と画面遷移Kubernetes Learning 第10章:Namespace / Label / Annotation ~リソースを整理し、意味づける~Android application development 第14章:Adapterパターンの復習とAndroidでの実装Kubernetes Learning 第9章:ConfigMap / Secret ~アプリの設定と機密情報の管理~Android application development 第13章:Configuration Change(構成の変更)とはKubernetes Learning 第8章:ServiceとIngress ~クラスタ外との橋渡し~Android application development 第12章:Activityのライフサイクルと onCreate / onStart / onResume の扱い方Kubernetes Learning 第7章:Pod / ReplicaSet / Deployment / StatefulSet を理解するAndroid application development 第11章:Fragmentの導入とActivityとの連携Kubernetes Learning 第6章:DeploymentとPodを動かす簡単なハンズオンAndroid application development 第10章:Bundleを使ったデータの受け渡しKubernetes Learning 第5章:kubectl の基本操作(get / describe / logs / exec)Android application development 第9章:イベントリスナーの定義(Java視点からの違和感に注意)Android application development 第8章:XMLによるUI記述とコードの連携Kubernetes Learning 第4章:Kubernetesを触ってみよう(最小構成で試す)Android application development 第7章:ViewとViewGroup、Layoutの基本的な考え方Kubernetes Learning 第3章:Dockerとの関係Android application development 第6章:AndroidManifest.xmlの役割と構成Kubernetes Learning 第2章:Kubernetesの全体像とコンポーネント(Master/Node、Control Plane など)Kubernetes Learning 第1章:Kubernetesとは何か – コンテナオーケストレーションの背景Android application development 第5章:Intentと画面遷移の基本Android application development 第4章:Activityとライフサイクルの概念Android application development 第3章:プロジェクト構造とGradleの理解(Mavenとの違い)Android application development 第2章:Javaエンジニアから見たAndroidの特徴と注意点Android application development 第1章:はじめに – Androidアプリ開発の全体像Harnessing the Power of Higher-Order Functions in JavaUnderstanding the Power of .htaccess: A Comprehensive GuideUnderstanding Basic Concepts of Cassandracp vs. mv Command: Understanding Copy and Move Operations in the Linux TerminalDemystifying CDATA Sections: Handling Unparsed Character Data in XMLAPI Calls vs. JAR Inclusion in Java: When to Choose Each ApproachMastering the curl Command: A Comprehensive Guide to Web RequestsDecoding Oracle Database Execution Plans: Unveiling the Power of Query OptimizationDemystifying Load Balancing as a Service (LBaaS): Enhancing Application Scalability and ReliabilityThe Power of Self-Evaluation: A Path to Personal GrowthUnderstanding Correlation: A Guide to Statistical RelationshipsTCP vs. UDP: Understanding the Foundations of Network CommunicationMastering the Bash PS1 Variable: Customizing Your Command PromptCultivating Confidence in Your Work: A Path to SuccessDeciding When to Implement a New Framework FeatureExploring Event Listeners in JavaScript: Enhancing Interactivity
金. 6月 6th, 2025
Trending News: Kubernetes Learning 第32章:Helmの基本操作(install, upgrade, rollback)~マニフェスト管理をもっと効率よく、自動化するために~現場で使えるChrome DevTools実践ガイド 第11章:アクセシビリティの確認Google Cloud Platform エンジニア向け教科書:実践から認定まで : 第5章:Cloud SDKとgcloudコマンド:GCPを「キーボードから操る」魔法のツールKubernetes Learning 第31章:コンテナのセキュリティ対策(PodSecurityなど)~Kubernetes環境を守るために最低限知っておきたいこと~現場で使えるChrome DevTools実践ガイド 第10章:Device Modeでのレスポンシブ検証Google Cloud Platform エンジニア向け教科書:実践から認定まで : 第4章:課金と料金モデル、予算とアラート:GCPの「お財布」管理術Kubernetes Learning 第30章:NetworkPolicyの使い方 〜Pod間通信を制御するセキュリティの要〜Google Cloud Platform エンジニア向け教科書:実践から認定まで : 第3章:IAM(Identity and Access Management):GCPの「誰が」「何に」「何ができるか」を管理する門番現場で使えるChrome DevTools実践ガイド 第9章:Applicationパネルとストレージの確認Kubernetes Learning 第29章:RBACの基礎とロール設計 〜「誰が、何を、どこで」できるのかを制御する〜Android application development 第33章:実践ミニアプリ:天気情報アプリGoogle Cloud Platform エンジニア向け教科書:実践から認定まで : 第2章:リージョンとゾーン、グローバルリソース:GCPの「物理的な場所」の考え方現場で使えるChrome DevTools実践ガイド 第8章:NetworkパネルでのHTTP通信確認Kubernetes Learning 第28章:Fluentd / Loki などのロギングスタック 〜Kubernetesログの集約と可視化〜Android application development 第32章:実践ミニアプリ:シンプルなToDoリストGoogle Cloud Platform エンジニア向け教科書:実践から認定まで : 第1章:Google Cloud コンソールとGCPプロジェクト:あなたのGCPの「指令室」と「作業空間」現場で使えるChrome DevTools実践ガイド 第7章:Performanceパネルでパフォーマンス分析Kubernetes Learning 第27章:Prometheus + Grafana の導入例 〜Kubernetesクラスタを見える化しよう〜Android application development 第31章:Firebase Analytics や Remote Config の活用Google Cloud Platform エンジニア向け教科書:実践から認定まで : はじめに現場で使えるChrome DevTools実践ガイド 第6章:Sourcesパネルでのブレークポイントとステップ実行Kubernetes Learning 第26章:標準的なログ取得方法(kubectl logs)〜Podの中で何が起きているかをのぞいてみよう〜Android application development 第30章:Firebase Crashlytics でのクラッシュレポートKubernetes Learning 第25章:Replica数と冗長性の設計 〜止まらないシステムのために〜Android application development 第29章:キーストアと署名現場で使えるChrome DevTools実践ガイド 第5章:Consoleパネルの活用現場で使えるChrome DevTools実践ガイド 第4章:StylesパネルとComputedパネルKubernetes Learning 第24章:Liveness / Readiness Probe 〜Podの健康チェック〜Android application development 第28章:ビルドタイプとプロダクトフレーバーAIエンジニアを目指す人向けの数学・統計 第2章:線形代数の基礎 2.1 ベクトルと行列AIエンジニアを目指す人向けの数学・統計 第1章:AIと数学の関係現場で使えるChrome DevTools実践ガイド 第3章:Elementsパネルを使ったDOM調査と編集Kubernetes Learning 第23章:Horizontal Pod Autoscaler(HPA) 〜負荷に応じてPodの数を自動で調整〜Android application development 第27章:Logcatの読み方とトラブルシューティング現場で使えるChrome DevTools実践ガイド 第2章:DevToolsの起動とレイアウト現場で使えるChrome DevTools実践ガイド 第1章:DevToolsとは何かKubernetes Learning 第22章:環境変数との使い分け 〜Kubernetesで設定値をどこに置くか?〜Android application development 第26章:UIテスト(Espresso)Kubernetes Learning 第21章:Secretの暗号化とマウント方法 〜機密情報を安全に扱うKubernetesの基本〜Android application development 第25章:Androidアプリ開発における単体テスト(JUnit)Kubernetes Learning 第20章:ConfigMapの詳細 〜アプリケーション設定をKubernetesで管理する〜Android application development 第24章:HiltによるDI導入とその注意点Kubernetes Learning 第19章:ローカルストレージとクラウドストレージ(EBS, NFSなど)Android application development 第23章:Javaエンジニアに向けたDIの復習Kubernetes Learning 第18章:PVC(PersistentVolumeClaim)の使い方Android application development 第22章:MVVMアーキテクチャ(Model-View-ViewModel)Kubernetes Learning 第17章:VolumeとPersistentVolumeの基礎Android application development 第21章:ViewModel、LiveData、DataBindingの導入Kubernetes Learning 第16章:外部アクセスとDNS、LoadBalancerのしくみAndroid application development 第20章:非同期処理(Handler / AsyncTask / Coroutineの比較)Kubernetes Learning 第15章:ServiceとIngressを使った公開Android application development 第19章:JSONパース(Gson)Kubernetes Learning 第14章:Webアプリケーションの例 〜Spring Boot + MySQLをKubernetesに載せてみる〜Android application development 第18章:Retrofitを使ったAPI通信Kubernetes Learning 第13章:kubectl apply / diff / deleteの運用Android application development 第17章:SQLiteとRoomの比較と実装Kubernetes Learning 第12章:リソース毎のマニフェスト作成 〜Kubernetesで何をどう定義するのか〜Android application development 第16章:SharedPreferencesKubernetes Learning 第11章:YAML形式の基本 ~Kubernetesマニフェストの土台を理解する~Android application development 第15章:リストのクリック処理と画面遷移Kubernetes Learning 第10章:Namespace / Label / Annotation ~リソースを整理し、意味づける~Android application development 第14章:Adapterパターンの復習とAndroidでの実装Kubernetes Learning 第9章:ConfigMap / Secret ~アプリの設定と機密情報の管理~Android application development 第13章:Configuration Change(構成の変更)とはKubernetes Learning 第8章:ServiceとIngress ~クラスタ外との橋渡し~Android application development 第12章:Activityのライフサイクルと onCreate / onStart / onResume の扱い方Kubernetes Learning 第7章:Pod / ReplicaSet / Deployment / StatefulSet を理解するAndroid application development 第11章:Fragmentの導入とActivityとの連携Kubernetes Learning 第6章:DeploymentとPodを動かす簡単なハンズオンAndroid application development 第10章:Bundleを使ったデータの受け渡しKubernetes Learning 第5章:kubectl の基本操作(get / describe / logs / exec)Android application development 第9章:イベントリスナーの定義(Java視点からの違和感に注意)Android application development 第8章:XMLによるUI記述とコードの連携Kubernetes Learning 第4章:Kubernetesを触ってみよう(最小構成で試す)Android application development 第7章:ViewとViewGroup、Layoutの基本的な考え方Kubernetes Learning 第3章:Dockerとの関係Android application development 第6章:AndroidManifest.xmlの役割と構成Kubernetes Learning 第2章:Kubernetesの全体像とコンポーネント(Master/Node、Control Plane など)Kubernetes Learning 第1章:Kubernetesとは何か – コンテナオーケストレーションの背景Android application development 第5章:Intentと画面遷移の基本Android application development 第4章:Activityとライフサイクルの概念Android application development 第3章:プロジェクト構造とGradleの理解(Mavenとの違い)Android application development 第2章:Javaエンジニアから見たAndroidの特徴と注意点Android application development 第1章:はじめに – Androidアプリ開発の全体像Harnessing the Power of Higher-Order Functions in JavaUnderstanding the Power of .htaccess: A Comprehensive GuideUnderstanding Basic Concepts of Cassandracp vs. mv Command: Understanding Copy and Move Operations in the Linux TerminalDemystifying CDATA Sections: Handling Unparsed Character Data in XMLAPI Calls vs. JAR Inclusion in Java: When to Choose Each ApproachMastering the curl Command: A Comprehensive Guide to Web RequestsDecoding Oracle Database Execution Plans: Unveiling the Power of Query OptimizationDemystifying Load Balancing as a Service (LBaaS): Enhancing Application Scalability and ReliabilityThe Power of Self-Evaluation: A Path to Personal GrowthUnderstanding Correlation: A Guide to Statistical RelationshipsTCP vs. UDP: Understanding the Foundations of Network CommunicationMastering the Bash PS1 Variable: Customizing Your Command PromptCultivating Confidence in Your Work: A Path to SuccessDeciding When to Implement a New Framework FeatureExploring Event Listeners in JavaScript: Enhancing Interactivity
金. 6月 6th, 2025

Kubernetes Learning 第31章:コンテナのセキュリティ対策(PodSecurityなど)~Kubernetes環境を守るために最低限知っておきたいこと~

Kubernetesでは、多くのアプリケーションがコンテナとして実行されます。便利な一方で、セキュリティ対策が不十分なままだと、内部からの攻撃や誤操作によってクラスター全体が危険にさらされる可能性があります。

そのため、「コンテナに何を許可するか、何を禁止するか」を制御する手段が必要です。そこで登場するのが Kubernetes の PodSecurity(ポッドセキュリティ) 機能です。

🔐 なぜコンテナのセキュリティ対策が必要か?

例を挙げてみます。

  • あるPodが「rootユーザーで動作」している
  • ホストの /etc ディレクトリを hostPath マウントで読み書きできる
  • コンテナから他のPodのメタデータを抜き取る

こうした設定は、悪意のあるユーザーにとって「クラスター乗っ取りの入口」となり得ます。
これを防ぐためには、明示的な制限を定める必要があります。

✅ PodSecurityとは?

Kubernetes 1.25 以降、PodSecurityPolicy(PSP)は廃止され、代わりにPod Security Admission(PSA) という機能が正式に導入されました。

PSA は、Podの仕様(YAML)をチェックして、セキュリティ基準に沿わないPodを拒否・警告する仕組みです。

🚦 PodSecurity のモード(3段階)

レベル説明
privileged制限なし(最も緩い)rootでの実行、特権コンテナなどOK
baseline一般的な用途に適した最低限の制限hostPath使用NG、特権モードNG
restricted本番向けの強い制限rootユーザーNG、CAPの追加NG など

これらのレベルはNamespace単位で適用できます。

🧩 Namespace への適用例

Namespaceに対して restricted レベルを適用する例です:

kubectl label namespace dev \
  pod-security.kubernetes.io/enforce=restricted \
  pod-security.kubernetes.io/enforce-version=latest

これにより、dev 名前空間に restricted レベルのポリシーが強制され、ルールに違反するPodは作成できなくなります

🧪 モードの種類

PodSecurityには3つの「動作モード」があります:

モード説明
enforce違反があれば Pod 作成を拒否
audit拒否はしないがログに記録する
warnユーザーに警告を出すが拒否はしない

例えば以下のように、警告と監査だけを設定することもできます:

kubectl label namespace test \
  pod-security.kubernetes.io/audit=restricted \
  pod-security.kubernetes.io/warn=restricted

🛠 運用のポイント

  • 開発用Namespaceではbaseline、商用環境ではrestrictedを使うのが基本
  • kubectl explain pod.spec で許容される仕様を確認するとよい
  • kube-apiserver のログや kubectl create の出力を見てルール違反を把握できる

⚙️ 他のセキュリティ対策(補足)

PodSecurityだけでなく、以下のような対策も有効です:

  • readOnlyRootFilesystem を有効にする
  • SecurityContextrunAsNonRoot, allowPrivilegeEscalation を制限
  • NetworkPolicy で通信制限
  • RBAC で操作権限を制限

🔚 まとめ

Kubernetesは強力な仕組みを提供してくれますが、何も制限しない状態は非常に危険です。
その第一歩として「Podに許可すること/禁止すること」をNamespace単位でコントロールするPodSecurityの設定は重要です。

mh

Related Posts

Kubernetes Learning 第32章:Helmの基本操作(install, upgrade, rollback)~マニフェスト管理をもっと効率よく、自動化するために~

Continue reading
Kubernetes Learning 第30章:NetworkPolicyの使い方 〜Pod間通信を制御するセキュリティの要〜

Continue reading

You Missed

Kubernetes

Kubernetes Learning 第32章:Helmの基本操作(install, upgrade, rollback)~マニフェスト管理をもっと効率よく、自動化するために~

  • 投稿者 mh
  • 6月 5, 2025
  • 3 views
HTTP JavaScript

現場で使えるChrome DevTools実践ガイド 第11章:アクセシビリティの確認

  • 投稿者 mh
  • 6月 5, 2025
  • 7 views
GCP

Google Cloud Platform エンジニア向け教科書:実践から認定まで : 第5章:Cloud SDKとgcloudコマンド:GCPを「キーボードから操る」魔法のツール

  • 投稿者 mh
  • 6月 4, 2025
  • 12 views
Kubernetes

Kubernetes Learning 第31章:コンテナのセキュリティ対策(PodSecurityなど)~Kubernetes環境を守るために最低限知っておきたいこと~

  • 投稿者 mh
  • 6月 4, 2025
  • 20 views
HTTP JavaScript

現場で使えるChrome DevTools実践ガイド 第10章:Device Modeでのレスポンシブ検証

  • 投稿者 mh
  • 6月 4, 2025
  • 19 views
GCP

Google Cloud Platform エンジニア向け教科書:実践から認定まで : 第4章:課金と料金モデル、予算とアラート:GCPの「お財布」管理術

  • 投稿者 mh
  • 6月 3, 2025
  • 24 views