すべてのプロダクト
Search
ドキュメントセンター

Container Service for Kubernetes:セキュリティアーキテクチャの概要

最終更新日:Jun 16, 2026

Container Service for Kubernetes (ACK) は、ランタイム、信頼できるサプライチェーン、インフラストラクチャの 3 つのレイヤーでワークロードを保護します。

61

責任共有

ACK は、API サーバー、etcd、システムコンポーネント証明書を含むコントロールプレーンを保護します。お客様は、ワークロード、イメージ、アクセス構成を保護する責任を負います。

レイヤー ACK が管理 お客様が設定
コントロールプレーン TLS 証明書の更新、API サーバーの強化、システムコンポーネント証明書
ノード セキュリティグループのデフォルト設定、NAT ゲートウェイのルーティング、OS の強化 SSH アクセス、RAM ロールの権限
ワークロード Pod セキュリティポリシー、RBAC、ランタイムモニタリング
イメージ イメージスキャン、署名、デリバリーチェーンポリシー

ランタイムセキュリティ

セキュリティ検査

ACK は、実行中のワークロード構成をリアルタイムでスキャンし、コンテナエスケープの最も一般的な侵入経路となる最小権限の違反を検出します。

検査結果は、項目ごとの説明と修正案を含むレポートとして、指定された Simple Log Service (SLS) Logstore に表示されます。定期的な検査をスケジュールして、可視性を維持します。詳細については、「設定検査を使用してクラスターワークロードのセキュリティリスクを確認する」をご参照ください。

ポリシー管理

ACK は、Open Policy Agent (OPA) ベースのアドミッションコントローラーである Gatekeeper を統合し、非準拠のワークロードがクラスターに到達する前に、デプロイ時にブロックします。

主な機能:

  • 一般的なセキュリティシナリオをカバーする Kubernetes 固有のポリシールールの組み込みライブラリ

  • ACK コンソールでの視覚的なポリシー構成により、OPA ポリシー言語は不要

  • 監査のためのポリシーガバナンス統計とログ取得

ACK のポリシー管理は、デプロイ時に非準拠のワークロードを自動的にブロックし、クラスターアプリケーションのランタイムセキュリティベースラインを向上させ、開発チームと運用チーム間のコミュニケーションと学習コストを削減します。

詳細については、「 コンテナセキュリティポリシーを設定する (新規) 」をご参照ください。

ランタイムモニタリングとアラート

アドミッション制御だけでは不十分です。ゼロトラストは、継続的なランタイムモニタリングを求めます。ACK は Security Center と統合して、コンテナレベルの脅威を検出します。

検出される脅威:

  • 悪意のあるイメージの起動

  • ウイルスおよび悪意のあるプログラム

  • コンテナ内部への侵入

  • コンテナエスケープおよびハイリスク操作

[セキュリティ] > [セキュリティモニタリング] ページでアラートを表示および処理します。 詳細については、「セキュリティモニタリングを使用する」をご参照ください。

分離モデル

ワークロード分離の要件が標準的な Kubernetes Pod セキュリティを超える場合、ACK はより強力な 2 つのオプションを提供します:

シナリオ ソリューション 動作の仕組み
信頼できないワークロード、障害分離、マルチテナント分離 サンドボックスコンテナ 各コンテナを独立したカーネルを持つ軽量 VM で実行します。標準コンテナと同じ可観測性と弾力性を備え、パフォーマンスへの影響を最小限に抑えつつ、より強力な分離を提供します。
金融、政府、その他の高コンプライアンスワークロード ACK-TEE コンフィデンシャルコンピューティング コードとデータをハードウェアベースの高信頼実行環境 (TEE) に配置します。他のアプリケーション、OS、カーネル、BIOS、管理者、運用エンジニア、クラウドベンダー、および CPU 以外のハードウェアからのアクセスを防ぎます。CPU のみがデータにアクセスできます。

信頼できるソフトウェアサプライチェーン

ACK は、ビルドからレジストリ、クラスターまで、パイプラインのすべての段階でセキュリティを徹底します。

ビルド:イメージスキャン

Container Registry は、Linux ベースのコンテナイメージをスキャンして、既知の脆弱性を重大度評価や修正提案と併せて検出します。Security Center を利用したエンジンは、イメージ内のシステム脆弱性、アプリケーション脆弱性、悪意のあるサンプルも検出します。

レジストリ:イメージ署名

イメージ署名を使用して、信頼できるイメージのみがクラスターに到達するようにします。作成者がイメージにデジタル署名し、署名は Container Registry に保存されます。デプロイ時に、ACK はコンテナを実行する前に署名を検証し、改ざんされたイメージや予期しないイメージをブロックします。

詳細については、「kritis-validation-hook コンポーネントを使用してコンテナイメージ署名を自動的に検証する」をご参照ください。

デプロイ:デリバリーチェーン

Container Registry のデリバリーチェーンを使用すると、自動化されたエンドツーエンドのセキュアなパイプラインを定義できます。イメージのビルド、スキャン、グローバル同期、デプロイなどのタスクを、各段階でのきめ細かなセキュリティポリシーとあわせて構成します。

1 回のコミットで複数のリージョンにわたる安全な配信がトリガーされ、パイプラインが DevOps から DevSecOps へと高度化されます。 詳細については、「デリバリーチェーンを作成する」をご参照ください。

インフラストラクチャセキュリティ

デフォルトのセキュリティ

すべての新しい ACK クラスターは、作成時に強化されます:

  • ノードとコントロールプレーンの強化:構成は Alibaba Cloud Kubernetes セキュリティ強化標準に従います。すべてのシステムコンポーネントイメージは、クリティカルレベルの CVE 脆弱性を含んでいません。

  • ネットワーク分離:各クラスターには、インターネットからのインバウンド ICMP のみを許可する専用のセキュリティグループが割り当てられます。インターネットからの SSH アクセスはデフォルトで無効になっています。ノードは NAT ゲートウェイを介してパブリックネットワークにアクセスします。

  • 最小権限のノードロール:マネージドクラスターのワーカーノードにアタッチされた RAM ロールには、必要な最小限の権限が付与されています。 詳細については、「[製品の変更] マネージドクラスターノードの RAM ロール権限の統合に関するお知らせ」をご参照ください。

SSH アクセスを有効にするには、「SSH を使用して ACK 専用クラスターのマスターノードに接続する」をご参照ください。

アイデンティティ管理

クラスターコンポーネント間のすべての通信は TLS によって保護されており、証明書の自動更新は ACK コントロールプレーンによって処理されます。

RAM ユーザーとロールは、コンソールまたは OpenAPI を介して kubeconfig 認証情報を取得し、クラスターの API サーバーに接続します。ACK は発行された認証情報を使用してアイデンティティを追跡します。kubeconfig が侵害された場合は、直ちに取り消してください。

ACK は、ServiceAccount のセキュリティを強化するために Service Account Token Volume Projection をサポートしています。 詳細については、「Service Account Token Volume Projection をデプロイする」をご参照ください。

きめ細かなアクセス制御

ACK は、名前空間レベルでロールベースのアクセス制御 (RBAC) を実装しており、ACK コンソールの [権限管理] ページから設定できます。

主な機能:

  • 事前定義されたロールテンプレート:管理者、運用エンジニア、開発者ロール向けの組み込み RBAC テンプレートにより、権限設定が簡素化されます。

  • バッチ承認:1 回の操作で複数のクラスターにわたって複数の RAM ユーザーを承認できます。

  • RAM ロールのサポート:RAM ロールを引き受けるユーザーにアクセス権を付与できます。

  • カスタム ClusterRole:クラスターで定義された任意の ClusterRole をユーザーにバインドできます。

RAM ユーザーまたは RAM ロールに RBAC ロールを設定する」をご参照ください。

ポリシーベースのアクセス制御のために OPA ルールをクラスター全体に適用するには、コンポーネント管理を使用して Gatekeeper コンポーネントをインストールします。

監査

ACK は SLS と統合し、3 種類の監査ログを収集、照会、可視化します:

ログタイプ 対象範囲 表示場所
クラスター API サーバー監査ログ クラスターリソースに対するすべての操作を記録します。アクセスの追跡と不正アクティビティの検出に不可欠です。指定されたリソースタイプに対するリアルタイムアラートをサポートします。 [Cluster Auditing] ページ
Ingress トラフィック監査 すべてのクラスター Ingress にわたって、サービスアクセスのページビュー (PV) とユニークビジター (UV)、成功率と失敗率、レイテンシを監視します。SLS 機械学習アルゴリズムを使用して異常を検出します。 ログ分析を介して構成
イベント監視監査 Kubernetes イベントをキャプチャして、クラスターの異常とセキュリティリスクをリアルタイムで診断します。 イベント監視ダッシュボード

参考資料:

Secret の保管時の暗号化

Kubernetes の Secret は、etcd 内でデフォルトで Base64 エンコードされており、暗号化されていません。ACK Pro クラスターでは、Key Management Service (KMS) キーを使用して Secret を保管時に暗号化し、etcd 内の機密データを保護できます。

詳細については、「Alibaba Cloud KMS を使用して保存時の Secret を暗号化する」をご参照ください。