メインコンテンツまでスキップ

Managed Kubernetes Cluster の Runtime Security 機能

Runtime Security 機能の概要

FPT Cloud Managed Kubernetes クラスターの情報セキュリティを確保するために、FPT Cloud は K8S クラスター内の異常な動作を検出し、worker node の runtime 層および kernel 層へのリスクを防ぐ Runtime Security ツールの統合機能を開発しました。

Falco は、コンテナおよび Kubernetes システムの異常な動作を監視・検出するための強力なオープンソースツールです。Falco は Sysdig が開発し、現在は CNCF(Cloud Native Computing Foundation)の保証プロジェクトとなっています。Falco の主な機能は、OS やコンテナの動作を監視し、あらかじめ定義されたルールに基づいて異常またはリスクのある動作を検出する「runtime security」(リアルタイムセキュリティ)を提供することです。

FPT Cloud は Runtime Security 統合機能を提供しており、ユーザーが Telegram または Gmail を通じて詳細なアラートを受け取るように設定できます。アラートチャネルを使用することで、Runtime Security はセキュリティイベントをタイムリーに検出し、管理者がシステムを保護するために迅速に対応できるようにします。

Unify Portal での機能の使い方

注意: Managed Kubernetes Cluster のセキュリティ強化機能セットは、クラスターが正常に作成された後(Succeeded(Running)状態)に統合されます。

A. Falco Engine の統合

1. Falco Engine の有効化

  • ステップ 1: FPT Cloud Portal(console.fptcloud.com)にアクセスし、Kubernetes メニューを選択します。

  • ステップ 2: Runtime を統合したいクラスターを選択します。

  • ステップ 3: Security タブを選択 > Runtime Security を選択して有効化を実行します。

  • ステップ 4: Confirm を選択して完了します。

Runtime Security が正常に有効化されましたが、アラートチャネルが設定されていないためアラートは受信されません。

2. Falco Engine の無効化

Runtime Security の統合が不要になった場合は、Portal 上でサービスを無効化できます。

  • ステップ 1: 有効化状態のボタンをクリックします。

  • ステップ 2: クラスター名を入力して Disable をクリックします。

無効化後の結果:

B. Falco UI 機能の統合

1. Falco UI の有効化

  • ステップ 1: Security タブを選択 > Runtime Security を選択して有効化を実行します。

  • ステップ 2: UI を有効化します。

  • ステップ 3: Falco UI にアクセスするためのユーザー名とパスワードを入力し、Confirm をクリックして完了します。

  • ステップ 4: kubeconfig ファイルをダウンロードして「falco-falcosidekick-ui」サービスの port-forward を実行します。Lens IDE を使用してダッシュボード上で port-forward を実行できます。Network > Services を選択 > Namespace fptcloud-runtime-security でフィルタリングします。

サービス falco-falcosidekick-ui を選択し、Forward を選択します。

port-forward を入力して Start をクリックしてアクセスします。

  • ステップ 5: サービス有効化時に設定したユーザー名とパスワードを入力します。

ログイン後の結果:

アラートがある場合のダッシュボード画面:

2. ユーザー名とパスワードの更新

  • ステップ 1: Edit Runtime をクリックします。

  • ステップ 2: ユーザー名とパスワードを編集して Confirm をクリックします。

3. Falco UI の無効化

Falco UI を無効化するには、Edit Runtime を選択 > 有効化状態のボタンをクリック > Confirm をクリックします。

Falco UI 無効化後の結果:

C. Runtime Security イベント通知の統合

1. Telegram

1.1. Runtime Security イベント通知の有効化

ステップ 1: Telegram にログインし、BotFather を検索します。

ステップ 2: /newbot を入力してボットに名前を付けます。

ステップ 3: 通知を受け取るグループチャットを作成します。

ステップ 4: Unify Portal で Runtime Security イベント通知を有効化します。

ステップ 5: アラートチャネルとして Telegram を選択し、ChatID と Token ID を入力して Confirm をクリックします。

設定完了後の結果:

異常が検出されると、以下のようなアラートが Telegram に届きます。

1.2. Gmail への通知チャネルの変更

注意: Gmail の Application Token を作成する前に、Google アカウントで「2 段階認証」を有効にする必要があります。

ステップ 1: Application Token を作成するためのリンクにアクセスします。

ステップ 2: Edit Runtime を選択します。

ステップ 3: Gmail で通知を受け取るための情報を入力して Confirm をクリックします。

設定完了後の結果:

異常が発生した場合、システムは以下のような Gmail アラートを送信します。

1.3. Runtime Security イベント通知の無効化

Telegram または Gmail での通知が不要になった場合は、Security タブ > Edit Runtime を選択 > Runtime Security イベント通知を無効化 > Confirm をクリックします。

Runtime Security イベント通知を無効化すると、異常が発生してもアラートを受信しなくなります。

Dang Tran最終更新