Alibaba Cloud が ACK コントロールプレーンとインフラストラクチャを保護し、お客様がワークロードとクラスター設定を保護します。
この責任分界点を理解し、お客様側で対応が必要なセキュリティタスクを特定してください。
Alibaba Cloud の責任範囲
Alibaba Cloud はコントロールプレーンと、その基盤となるインフラストラクチャを保護します:
-
コントロールプレーンのインフラストラクチャ:ACK コントロールプレーンを支えるコンピューティング、ストレージ、ネットワークのリソース。
-
コントロールプレーンの強化:Alibaba Cloud Linux Security Hardening などのセキュリティ機能のベースラインに基づき、設定とイメージを強化します。
-
脆弱性通知:OS または Kubernetes の脆弱性が見つかった場合、Alibaba Cloud は通知を公開し、パッチ、OS の更新、またはコンポーネントの更新を提供します。
-
セキュリティツール:Alibaba Cloud は、クラウドネイティブアプリケーションのライフサイクル管理向けに、セキュリティ保護機能とセキュリティのベストプラクティスを提供します。
お客様の責任範囲
お客様は、クラスター上でデプロイおよび設定するすべてを保護します:
| レイヤー | 責任 |
|---|---|
| OS とランタイム | Alibaba Cloud の通知に基づいて、OS、システムコンポーネント、およびコンテナランタイムのパッチを適用してください。 |
| クラスター設定 | セキュリティ原則に従って、ACK クラスター、ノードプール、およびネットワークリソースを設定してください。悪用可能なセキュリティ設定や権限設定は避けてください。 |
| アクセス制御 | 最小権限の原則に従ってください。認証情報の管理、セキュリティポリシーのデプロイ、セキュリティパラメーターの設定を行う際は、アプリケーション、アカウント、ロールに必要な権限のみを付与してください。 |
| サプライチェーン | アプリケーションアーティファクトのサプライチェーンセキュリティを確保してください。 |
| データとランタイムのセキュリティ | 機密データを保護し、アプリケーションのランタイム環境をセキュアにしてください。 |
| オフボーディング | 退職した従業員または信頼できない個人の RAM ユーザーや RAM ロールを削除しても、kubeconfig ファイル内のロールベースアクセス制御 (RBAC) 権限は自動的に取り消されません。RAM ユーザーまたは RAM ロールを削除する前に、kubeconfig 認証情報を取り消してください。詳細については、「KubeConfig 認証情報の取り消し」をご参照ください。 |
クラスタータイプ別の責任分界点
責任分界点はクラスタータイプによって異なります。
ACK マネージドクラスター
ACK Serverless クラスターと ack-virtual-node
ACK Serverless クラスター、またはマネージドクラスター内の ack-virtual-node を使用する場合、Alibaba Cloud はコントロールプレーン、インフラストラクチャ、および各 Pod を実行する Elastic Container Instance (ECI) を保護します。パッチを適用するには、Pod を再作成してください。
ACK マネージドクラスターのマネージドノードプール
マネージドノードプールを使用する場合、Alibaba Cloud はノードプール設定に基づき、OS 脆弱性パッチの適用と kubelet の更新を自動化します。OS パッチは Security Center から提供されます。カスタム OS イメージを使用するノードでは、OS の脆弱性に手動でパッチを適用してください。