AKS × WireGuard：Cilium基盤でポッド間通信が透過的に暗号化——サイドカー不要でゼロトラストを前進させる

AKS（Azure Kubernetes Service）で、CiliumベースのAzure CNIとAdvanced Container Networking Services（ACNS）を使用するクラスターに、WireGuardによるノード間ポッドトラフィック暗号化が正式対応した。アプリケーション側の変更もサイドカーコンテナの追加も一切不要という「透過的暗号化」の実現は、Kubernetesセキュリティの現場にとって地味ながら重要な前進だ。

WireGuardとは何か——なぜKubernetesで注目されるのか

WireGuardは2015年に登場したモダンなVPNプロトコルで、OpenVPNやIPSecと比較してコードベースが極めてシンプル（約4000行）かつパフォーマンスが高い。Linux 5.6以降ではカーネル標準機能として統合されており、近年のクラウドネイティブ環境で急速に採用が広がっている。

Kubernetesの文脈では「VPN」というよりも「ノード間通信の暗号化レイヤー」として捉えるのが正確だ。複数ノードに分散したポッド間の通信は、デフォルトでは平文のまま物理・仮想ネットワーク上を流れる。クラウド上ではネットワーク自体が暗号化されていることが多いが、「ネットワーク層は信頼しない」というゼロトラストの観点からは、独立した暗号化レイヤーを持つことが望ましい。

透過的暗号化の実装——CiliumとeBPFの組み合わせ

今回の機能が注目に値するのは、その透過性にある。従来、Kubernetes上でポッド間通信を暗号化しようとすると、主に以下の選択肢があった。

• サービスメッシュ（Istio/Linkerd等）のサイドカープロキシ: ポッドごとにEnvoy等のプロキシを注入してmTLSを終端する
• アプリケーション組み込みのTLS: 各アプリが独自にTLS実装を持つ

サイドカーアプローチは強力だが、CPU・メモリのオーバーヘッド、証明書管理の複雑さ、デバッグ難易度の上昇というコストが伴う。

CiliumはeBPF（Extended Berkeley Packet Filter）をLinuxカーネルレベルで活用するCNI（Container Network Interface）だ。eBPFによってネットワークパケットをカーネル空間で処理するため、ユーザー空間のプロキシを挟まずに透過的な暗号化が実現できる。WireGuardのカーネル統合と組み合わせることで、アプリケーション・ワークロードに一切の変更なく、ノード間の全ポッドトラフィックを保護できるようになった。

実務への影響

既存クラスターへの後付けが可能

新規クラスターだけでなく、既存クラスターへの後付け有効化にも対応しているのは実運用において重要だ。多くの企業のKubernetes環境はすでに本番稼働中であり、「次の再構築時に」という先送りが難しいケースも多い。段階的なセキュリティ強化を計画している組織にとって、ダウンタイムなしに暗号化を追加できる点は大きなメリットだ。

サービスメッシュの複雑性を避けたい場合の選択肢

ノード間通信の暗号化が必要だが、Istioのような重量級サービスメッシュを導入するリソースがない——そういったケースに、このアプローチは明確な答えを提供する。ただし、WireGuardによる透過的暗号化と、mTLSによるワークロードID認証は異なるレイヤーの話だ。「通信経路の暗号化」と「ワークロードの認証・認可」は別問題として整理しておきたい。

設定の前提条件

• Azure CNI Powered by Ciliumが有効なAKSクラスター
• Advanced Container Networking Services（ACNS）の有効化
• Ciliumの encryption.type: wireguard オプションで機能を有効化

既存クラスターの場合は az aks update コマンドで追加できるため、IaCのコード変更も最小限に抑えられる。

筆者の見解

ゼロトラストの文脈で言えば、今回の対応は「ネットワーク経路への暗黙の信頼を排除する」方向に一歩踏み出したものだ。クラスター内部であっても通信は暗号化する、という原則をインフラレベルで実装できるようになったことの意義は小さくない。

特に評価したいのが「アプリケーション変更なし・サイドカーなし」という設計思想だ。セキュリティ機能はこうあるべきで、使う側に余計な負担をかけずに安全が確保されるのが理想形だ。IaC（Terraform/Bicep）で数行の変更で暗号化が有効になるなら、「コストとメリットが見合わない」という言い訳は通用しなくなる。

AKSとCiliumの組み合わせがこの水準まで来たことは、Azureのネットワーキング投資が着実に積み上がっている証拠として素直に評価したい。こうした「インフラレイヤーで透過的に安全を担保する」仕組みが充実してきたことで、アプリケーション開発者はセキュリティの実装を意識せずに済む環境が整いつつある。日本のクラウドネイティブシフトを加速させる、実質的な武器の一つになるはずだ。

出典: この記事は AKS: WireGuard in-transit encryption now available for Azure CNI powered by Cilium の内容をもとに、筆者の見解を加えて独自に執筆したものです。