AKSのセキュリティが一段階進化——OS GuardとIstio CNIが同時プレビュー
Microsoftは、Azure Kubernetes Service(AKS)において新機能「Azure Linux OS Guard」のパブリックプレビュー開始を発表した。同時に、サービスメッシュ実装の一部であるIstio CNIもプレビュー段階に移行した。いずれもAKSクラスターのセキュリティ強化を目的とした機能であり、特にエンタープライズ環境での本番運用を視野に入れたユーザーに注目されている。
Azure Linux OS Guardとは
Azure Linux OS Guardは、AKSのノードOSとして採用されているAzure Linuxに対して、ハードニング(強化)済みのイミュータブル(不変)な構成を提供する機能だ。イミュータブル構成とは、OSの起動後にシステムファイルへの書き込みを原則禁止し、構成の意図しない変更や攻撃者による改ざんを防ぐアプローチを指す。
コンテナワークロードの本番環境では、ノードOSの完全性(インテグリティ)が侵害された場合、同一ノード上の全Podへの影響が懸念される。OS Guardはこのリスクを根本から低減する設計となっており、コンプライアンス要件が厳しい金融・医療・官公庁向けシステムへの採用が期待される。
Istio CNIでNET_ADMIN/NET_RAW権限が不要に
同時プレビュー入りした**Istio CNI(Container Network Interface)**も見逃せない。
IstioはKubernetes上で広く使われているサービスメッシュだが、従来の構成では各Podにサイドカープロキシ(Envoy)を注入する初期化コンテナがNET_ADMINおよびNET_RAWという高権限のLinuxケイパビリティを必要としていた。これらは、ネットワークインターフェースやパケットを低レベルで操作できる強力な権限であり、セキュリティポリシー上の懸念点となるケースが多かった。
Istio CNIを使用すると、この初期化処理をKubernetesノード側のCNIプラグインに移譲できるため、PodレベルでNET_ADMINおよびNET_RAW権限を与える必要がなくなる。最小権限の原則(Principle of Least Privilege)に基づくゼロトラストアーキテクチャを実践したい組織にとって、大きな前進と言える。
Azure Linux 2.0のサポート終了にも注意
なお、AKSのリリース情報によると、Azure Linux 2.0のセキュリティアップデートは2025年11月30日をもって終了しており、2026年3月31日以降はノードイメージも削除予定だ。現在もAzure Linux 2.0を使用しているユーザーは、速やかに**Azure Linux 3(osSku: AzureLinux3)**へのアップグレードを検討する必要がある。
まとめ
機能 状態 主なメリット
Azure Linux OS Guard パブリックプレビュー OSのイミュータブル化による改ざん防止
Istio CNI プレビュー NET_ADMIN/NET_RAW権限不要でセキュリティ向上
Azure Linux 2.0 サポート終了 Azure Linux 3への移行が必須
両機能はAKSのリリーストラッカーからリージョン別のロールアウト状況を確認できる。プレビュー機能のため本番環境への適用前には十分な検証を行うことが推奨される。
元記事: AKS: Azure Linux OS Guard now in Public Preview + Istio CNI Preview