JFrog（ジェイフロッグ）、Amazon EKSデプロイメントのセキュリティー強化のためKubelet認証情報プロバイダーを導入

JFrog（ジェイフロッグ）は、JFrog ArtifactoryからAmazon EKS（Elastic Kubernetes Service）へのコンテナイメージ転送のセキュリティーと利便性を向上させる新機能「JFrog Kubelet Credential Provider」のリリースを発表した。この革新的なプラグインは、従来の長期にわたる静的パスワードではなく、一時的なIDベースの認証情報を使うことで、Amazon EKSワーカーノードへのイメージのプルプロセスをより安全かつ簡素化する。

Amazon ECR（Elastic Container Registry）外のプライベートレジストリーにホストされているアプリケーションをデプロイする従来の方法では、デプロイメント設定内でimagePullSecretを使用する。これらのシークレットには通常、パスワード、APIキー、アクセストークンなど、プライベートレジストリーに対する認証に必要な長期間有効な認証情報が含まれている。しかし、この方法は重大なセキュリティーリスクと運用上の課題を伴い、多くの現代企業はこれを受け入れることをますます望んでいない。

JFrog Kubelet Credential Providerは、静的なシークレットを安全で一時的なIDベースの認証情報に置き換えることで、これらの問題に対処する。これにより、セキュリティーが強化されるだけでなく、安定性が向上し、新しいAmazon EKSワークロードのデプロイが高速化される。このソリューションは、Kubernetesの定評ある機能であるKubelet Image Credential Providerをベースにしており、Amazon ECR、Google Cloud、Microsoft Azureでもネーティブレジストリー認証に使用されている。

この新しいプラグインは、新しいポッドがArtifactoryからイメージを必要とする際に、JFrogプロバイダー用に設定されたパターンを使ってイメージホストをインターセプトすることで機能する。Kubeletは設定されたプラグインバイナリーを実行する。このバイナリーはAmazon EKSノードの検証済みAWS IDを使用し、そのID証明をArtifactoryと交換する。Artifactoryはレジストリー認証用に新しく生成された短命トークンを返す。Kubeletはこのトークンを使ってイメージを安全にプルし、デプロイを完了する。このプロセスにより、Kubernetesシークレットの作成や管理が不要になり、Amazon EKSからArtifactoryへの真のパスワードレスアクセスが実現する。

JFrog Kubelet認証情報プロバイダーの導入は、Amazon EKSデプロイメントのセキュリティーと運用効率の向上において大きな前進だ。長期間有効なパスワードと静的APIキーを、短期間で動的に生成されるトークンに置き換えることで、クラスターが侵害された場合の攻撃対象領域と潜在的な被害が大幅に軽減される。さらに、シークレット管理が不要になることで運用上の摩擦が軽減され、安定性が向上し、ワークロードのデプロイメントが大幅に高速化される。この効率性は、これまで避けられなかった複雑さやセキュリティーの問題を引き継ぐことなく、Amazon EKSに新しいワークロードを迅速にデプロイする必要がある大規模な共同顧客にとって特に重要だ。

出典：JFrog