Kubernetesのセキュリティを強化するRed Hat OpenShift 4.3を発表

本日、Red Hatは業界で最も包括的なエンタープライズKubernetesプラットフォームの最新バージョンであるRed Hat OpenShift 4.3を発表しました。ほぼすべての企業、特に政府、金融サービス、および医療分野の組織にとって、セキュリティは最重要の要件であり、OpenShift 4.3はFIPS（Federal Information Processing Standard）準拠の暗号化および追加のセキュリティ拡張を様々な業界の企業に提供します。これらの新規および拡張された機能の組み合わせは、より強力な暗号制御による顧客の機密データの保護と、アプリケーションおよびプラットフォーム自体にわたるアクセス制御の管理の強化に役立ちます。

このリリースと同時に、データ中心のKubernetesワークロードにより高い可搬性、シンプルさ、および規模を提供するRed Hat OpenShift Container Storage 4も発表されました。

暗号によりOpenShift上のコンテナ化されたアプリケーションのセキュリティを強化

信頼すべきエンタープライズKubernetesプラットフォームとして、Red Hat OpenShiftの最新リリースは、FIPS（Federal Information Processing Standard）準拠の暗号化（FIPS 140-2 Level 1）を使用して、非常に機密性の高いデータおよびワークロードを扱う企業や政府組織のニーズをより良く満たす、より強力なプラットフォームセキュリティを提供します。FIPS検証済みの暗号は、機密データを暗号化する米国の連邦政府各部門にとって必須です。OpenShiftがFIPSモードで起動されたRed Hat Enterprise Linux上で動作する場合、OpenShiftはRed Hat Enterprise LinuxのFIPS検証済み暗号ライブラリを呼び出します。この機能を実現するGo ToolsetをすべてのRed Hatユーザーが利用できます。

OpenShift 4.3はetcdの暗号化をサポートし、保存中の機密データに対する追加の保護を提供します。ユーザーは必要に応じてetcdに保存されている機密データを暗号化し、ectdに保存されている機密情報やコンフィグマップ等のデータへの悪意ある組織によるアクセスの試みに対し、より強固な防御を提供できます。

NBDE（Network-Bound Disk Encryption）を使用してLUKS（Linux Unified Key Setup-on-disk-format）暗号化ボリュームのリモートイネーブルメントを自動化することが可能で、ホストストレージの物理的盗難に対する保護が容易になります。

これらの機能の組み合わせにより、セキュリティに対するOpenShiftの多層防御方式が強化されます。

企業のセキュリティ・プラクティスに沿ったより良いアクセス制御

OpenShiftは、ハイブリッドクラウド上で動作するすべての環境にわたり、クラウドライクな体験を提供するように設計されています。

OpenShift 4.3では、インストーラに新しい機能とプラットフォームが追加され、ユーザーが自社のベストセキュリティ・プラクティスを遵守し、ハイブリッドクラウド環境全体にわたるアクセス制御の向上を実現するために役立ちます。ユーザーが管理する、既存のVPN / VPC（仮想プライベートネットワーク/仮想プライベートクラウド）およびAWS、Microsoft Azure、Google Cloud Platform上のサブネットにOpenShiftクラスタをデプロイできます。また、AWS、Azure、およびGCP上の（インターネットからのパブリックなアクセスが不可能な）プライベート用ロードバランサーエンドポイントを備えたOpenShiftクラスタをインストールすることも可能です。

「自前の」VPN / VPC、および非接続インストールのサポートにより、OpenShiftインストレーションに対するより粒度の高い制御が可能になり、それぞれの組織内で使用されているセキュリティに関する共通のベストプラクティスを利用できます。

さらに、OpenShiftのシステム管理者は新しい設定APIにアクセスし、Ingressコントローラ、APIサーバー、およびOAuth OperatorによりTransport Layer Security（TLS）用に使用される暗号セットを選択できます。この新しいAPIは、セキュリティとネットワークに関する自社の基準の遵守を容易にします

クラウド全体をカバーするOpenShift Container Storage 4

本日、OpenShift 4.3とともに、OpenShift Container Platformのユーザーに、包括的なマルチクラウド・ストレージ体験を提供するように設計されたRed Hat OpenShift Container Storage 4も発表されました。OpenShift Container Storage 4は、Red HatのNooBaa買収により取得したマルチクラウド・ゲートウェイ・テクノロジーで強化され、より高度な抽象化と柔軟性を提供します。複数のパブリッククラウドにわたるデータサービスの選択が可能になるとともに、アプリケーションとストレージに対して統一化されたKubernetesベースのコントロールパネルから操作を行うことができます。

異種のクラウド環境にわたるセキュリティの推進に貢献するため、今回のリリースでは暗号化、匿名化、鍵分離、消失訂正符号等の組込みのデータ保護機能が強化されています。開発者はマルチクラウドゲートウェイを使用して、複数の地理的位置とプラットフォームにわたり、よりセキュアかつ基準に沿った方法で機密アプリケーション・データの共有とアクセスを行うことができます。

OpenShift Container Storage 4はOperatorによりデプロイと管理が行われるため、自動化されたライフサイクル管理がストレージ層に提供され、より容易なデイ2マネージメントに役立ちます。

OpenShiftのオートメーションによりデイ2オペレーションを強化

OpenShiftは、強化されたモニタリング、可視性、およびアラートを通して、Kubernetesの管理に関するデイ2オペレーションおよびその先の制御を維持するために役立ちます。OpenShift 4.3では、自動化されたヘルスチェックと修正でOpenShiftデプロイメントを支えるマシンの管理を容易にすることで、この制御の取り組みが拡張されています。この領域の自動化運用機能は、マシン間およびノード間の状態変動の監視に特に有効です。

OpenShift 4は、Kubernetes Operatorを通してオートメーションも強化しています。以前からRed HatとISVにより作成された認定およびコミュニティOperatorを利用することは可能でしたが、固有の社内ニーズ向けOperatorを作成したいという声もありました。今回のリリースではこのニーズに応え、プライベートOperatorカタログをOperatorHub内に登録できるようになります。非接続インストールを使用しているユーザーは、非常にセキュアもしくは機密性の高い環境でOperatorを利用するためにこの機能が特に有益だと感じるでしょう。

今回のリリースで、Red Hat Quay用のコンテナセキュリティOperatorがOperatorHub.ioで提供開始され、Red Hat OpenShiftのOperatorHubに組み込まれます。これにより、QuayおよびClair脆弱性スキャニング・メタデータがKubernetesとOpenShiftに導入されます。Kubernetesクラスタ管理者は、自分が担当するKubernetesクラスタ上で動作しているポッド内の既知のコンテナイメージ脆弱性を監視できます。コンテナレジストリがQuayとClair等のイメージ・スキャニングをサポートしている場合、このOperatorはKubernetes APIを通して発見されたすべての脆弱性を明らかにします。

OpenShift 4.3はKubernetes 1.16をベースとしています。Red Hatは、お客様のOpenShift 4.2から4.3へのアップグレードをサポートします。OpenShift 4.3のその他の注目に値する機能として、Prometheusによるアプリケーション・モニタリング（TP）、ログタイプに基づくクラスタ外へのログの転送（TP）、Multusの強化（IPAM）、SR-IOV（GA）、ノード・トポロジ・マネージャー（TP）、CSIによる永続ボリュームのサイズ変更（TP）、iSCSIロー・ブロック（GA）、OpenShiftコンソールの新しい拡張とカスタマイズ等があります。

Red Hat OpenShift 4を試用

Red Hat OpenShiftは全世界の企業から信頼を受けています。今回の発表の直前には、エンタープライズKubernetesのイノベーションにおけるRed Hatのリーダーシップが認められたRed Hatの最近のFord ITイノベーション･アワード受賞がありました。

OpenShift 4.3は、今月末までに提供開始されます。現在OpenShiftをご利用中のお客様は、Red Hatカスタマーポータルでこれらの新機能をご確認ください。KubernetesやOpenShiftは初めてですか？ ハンズオン・ラボ（運用担当者向け）またはlearn.openshift.com（開発者に最適）のいずれかを通して、ブラウザ内でOpenShift 4をお試しください。

その他の情報：

• OpenShift 4を使い始める
• OpenShift 3から4への移行
• OpenShift Container Storage 4について
• Multi-Cloud Object Gatewayについて
• Red Hat OpenShiftに関する顧客事例を見る