界: Environment
このセクションには、ソース コード以外のものでも、作成中の製品のセキュリティにとって重要なものがすべて含まれています。この分野が対象とする問題は、ソース コードに直接関係しないため、この分野の他の部分と分けました。
GCP Terraform Misconfiguration: Weak GKE Cluster Network Management
Abstract
Terraform 構成は、クラスター ネットワーク モードを VPC ネイティブに設定しません。
Explanation
GKE は、2 つのクラスター ネットワーク モード (ルートベースと VPC ネイティブ) をサポートします。VPC ネイティブのクラスターは、エイリアス IP アドレスの範囲を使用して、ノード内のあるポッドから別のポッドにトラフィックをルーティングします。これにより、ポッドに対する正確な IP ベースのポリシーとファイアウォール ルールが可能になります。一方、ノード全体で詳細なレベルの制御を実現するのがルートベースのクラスターです。
例 1: 次の Terraform 構成の例では、
例 1: 次の Terraform 構成の例では、
networking_mode を ROUTES に設定しているため、VPC ネイティブのクラスターが有効になっていません。
resource "google_container_cluster" "cluster_demo" {
...
networking_mode = "ROUTES"
..
}
References
[1] HashiCorp google_container_cluster
[2] Google Cloud Creating a VPC-native cluster
[3] Standards Mapping - CIS Google Kubernetes Engine Benchmark Recommendation 5.6.2
[4] Standards Mapping - Common Weakness Enumeration CWE ID 923
[5] Standards Mapping - FIPS200 CM
[6] Standards Mapping - NIST Special Publication 800-53 Revision 4 CM-6 Configuration Settings (P1), SC-7 Boundary Protection (P1)
[7] Standards Mapping - NIST Special Publication 800-53 Revision 5 CM-6 Configuration Settings, SC-7 Boundary Protection
[8] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration
[9] Standards Mapping - OWASP Application Security Verification Standard 4.0 1.14.1 Configuration Architectural Requirements (L2 L3)
[10] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration
[11] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration
[12] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 1.2.1
[13] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 1.4.2
[14] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 1.4.2
desc.structural.hcl.gcp_terraform_misconfiguration_weak_gke_cluster_network_management