menu
arrow_back
戻る

デフォルトの GKE クラスタ構成の強化

—/100

Checkpoints

arrow_forward

Create a simple GKE cluster

Deploy a pod that mounts the host filesystem

Deploy a second node pool

Deploy PodSecurityPolicy objects

Deploy a blocked pod that mounts the host filesystem

デフォルトの GKE クラスタ構成の強化

1時間 30分 クレジット: 9

GSP496

Google Cloud セルフペース ラボ

概要

このラボでは、デフォルトの GKE クラスタ構成におけるセキュリティ上の懸念事項と、それに対応する強化策について説明します。強化策では、Pod のエスケープとクラスタの権限昇格を発生させる複数の方法を防止します。次のようなシナリオにおける攻撃方法です。

  1. 外部に接続された Pod 内のアプリケーションに、サーバー側のリクエスト フォージェリ(SSRF)攻撃を可能にする不具合がある場合。
  2. Pod 内のコンテナが完全に不正使用され、リモート コマンド実行(RCE)が可能になっている場合。
  3. 悪意のある内部ユーザーがいる場合や、特定の名前空間で Pod の作成や更新を行える内部ユーザーの認証情報セットを攻撃者が不正使用する場合。

このラボは、デフォルトの GKE クラスタ構成を強化する方法について理解を深められるように、GKE Helmsman のエンジニアによって作成されました。

*このラボのサンプルコードは現状のまま提供されるもので、いかなる保証もありません*

目標

このラボを完了すると、GKE Instance Metadata を保護し、環境に適した PodSecurityPolicy ポリシーを定義する必要性を理解できます。

このチュートリアルでは、次のことを行います。

  1. デフォルトの設定を使用して小規模な GKE クラスタを作成する。

  2. 悪意のある内部ユーザーの視点で、Pod のエスケープとクラスタの権限昇格を行う一般的な方法を検証する。

  3. これらの問題に対応できるよう GKE クラスタを強化する。

  4. クラスタでそれらのアクションが実行できなくなったことを確認する。

Qwiklabs に参加してこのラボの残りの部分や他のラボを確認しましょう。

  • Google Cloud Console への一時的なアクセス権を取得します。
  • 初心者レベルから上級者レベルまで 200 を超えるラボが用意されています。
  • ご自分のペースで学習できるように詳細に分割されています。
参加してこのラボを開始