“Meltdown” と “Spectre” に備える ―― Kubernetes Engine クラスタのアップデート状況を Forseti で確認

Google のセキュリティ チームである Project Zero は今年 1 月、“Meltdown” および “Spectre” と呼ばれる CPU 脆弱性について明らかにしました。そのうえで、既知のすべての脆弱性の影響を受けないよう Google Cloud サービスがアップデート済みであることもお知らせしました。

Google Cloud サービスで仮想マシン（VM）を実行しているお客様は、引き続きセキュリティのベスト プラクティスに従い、あらゆる OS の脆弱性対策と同様に、定期的にすべてのセキュリティ アップデートを適用する必要があります。そこで私たちは、Google Cloud Platform（GCP）のお客様向けに、CPU脆弱性への推奨対策の一覧を公開しました。

そうした推奨対策の 1 つが、すべての Google Kubernetes Engine クラスタをアップデートし、VM イメージにパッチを適用することです。これは、Kubernetes ノード プールの自動アップグレードを有効にすることで自動的に行えます。また、すべてのクラスタにおいて、パッチ適用済みのバージョンが稼働していることを確認したいときは、Google Cloud のセキュリティ チームが開発したスキャナが役に立ちます。

このスキャナは、GCP 用のオープンソース セキュリティ ツールキットである Forseti Security で提供されています。これを使えば、パッチが適用されていない Kubernetes Engine クラスタを速やかに特定できます。

Forseti Security をすでにインストールしている場合は、Version 1.1.10 にアップグレードし、スキャナを有効にする必要があります。インストールしていない場合は、GCP 組織の新規プロジェクトに Forseti Security をインストールしてください。

スキャナは、すべての GCP プロジェクトで実行されるすべての Kubernetes Engine クラスタのノード プールのバージョンを 1 時間ごとにチェックします。Forseti は、違反を発見すると違反テーブルに書き込み、必要に応じて GCP 管理者に電子メールを送信し、Meltdown の影響を受けるリスクの検知を支援します。

Forseti Security ツールキットは、さまざまな方法で利用してセキュリティの維持に役立てることができます。Forseti コミュニティについてもっと知りたい場合は、こちらのブログ記事をご覧ください。このツールについて質問がある方はこちらにお問い合わせください。

* この投稿は米国時間 2 月 1 日、Google Cloud Security Engineer である Andrew Hoying によって投稿されたもの（投稿はこちら）の抄訳です。

- By Andrew Hoying, Google Cloud Security Engineer