Kong Gateway 2.8: セキュリティの向上と API マネジメントの簡素化

本日、Kong Gateway 2.8 をリリースしたことをお知らせします。このリリースにより、API マネジメントがさらに簡素化され、いかなるインフラストラクチャにおいてもあらゆるサービスに対するセキュリティが向上します。今回の発表は、モダン アーキテクチャ間でインテリジェントに情報を仲介する次世代サービス コネクティビティ プラットフォームを提供することにより、お客様とコミュニティに対する Kong の継続的なコミットメントを示すものです。

Kong Gateway 2.8 は、オープン ソース版、商用版ともにご希望の配布チャネルにて入手可能となっています。

シークレット マネジメント (ベータ版) (Enterprise/OSS) 

Kong Gateway 2.8 のリリースで最初に紹介するのは、現在ベータ版として提供されている「シークレット マネジメント」と呼ばれる新機能群です。

その前に、まず「シークレット」の定義を明確にしておきましょう。ここでいうシークレットとは、ゲートウェイの適切な運用に必要な機密情報のことです。シークレットには、たとえばデータベース接続情報などのゲートウェイのコア コンフィギュレーションの一部、またはゲートウェイによってサービスされる API に関連するゲートウェイ コンフィギュレーションの一部が含まれます。最も一般的なシークレットの種類は以下の通りです。

– 特権的なアカウントのクレデンシャル

– パスワード

– X.509 証明書

– API キー 

「シークレット スプロール」(機密情報の拡散) から一元化への動き

Kong のシークレット マネジメントでは、お客様自身が一元管理されたシークレット マネジメント インフラを活用できます。これにより、IT セキュリティ ポリシーの遵守が容易になり、ゲートウェイの運用に必要な機密情報が最新の状態で適切な関係者によって管理されるようになります。

全体的なセキュリティ態勢の向上

Kong のシークレット マネジメント機能により、API の開発やテスト、デプロイメントにおいて、インフラ担当者と開発者が独立して作業することが可能となりました。進化するアプリケーションのニーズを支援するためにインフラ担当者が (新しいデータベースなど) より多くのインフラをオンラインにすると、機密情報はまず、IT セキュリティ ガバナンス要件に従って (例: HashiCorp Vault など) 一元型のシークレット マネージャーに追加されます。これらのシークレットが Kong Gateway の構成で変数として参照され、Kong のデプロイメントがよりポータブルで安全になります。

シークレット マネジメントを設定すると、Kong Gateway のデータ プレーンが AWS Secrets Manager や Hashicorp Vault などのサードパーティーのシークレット マネージャーに機密情報をリクエストし、データ プレーン上でシークレット値を変換するようになります。直感的な構文のシンプルな変数を使用することで、開発者は宣言型構成、OpenAPI 仕様、CI/CD パイプラインでシークレットを参照し、(Kong データ プレーンなどの) 必要な場所でのみランタイム時において一時的にシークレット値をデリファレンスすることができます。

図 1- シークレット マネジメントのリファレンス アーキテクチャ

Kong の新しいシークレット マネジメント機能により、Kong の API マネジメント ライフサイクルやゲートウェイのデプロイメント全体で使用されるミッションクリティカルな鍵を一元管理、監査でき、不正使用から保護することができます。シークレット マネジメントには、以下のような機能があります。

  1. AWS Secrets Manager や Hashicorp Vault へのビルド済みの「コネクター」および環境変数を使用し、シークレットへのアクセスや保存が可能
  2. Kong の構成全体で使用されるシンプルで直感的な変数を使って、シークレットを参照
  3. シークレット値がメモリ上にのみ存在し、デプロイメント全体を通して難読化されている Kong データ プレーン上のシークレットを自動的に変換

Kong Gateway 2.8 のシークレット マネジメントは、現在パブリック ベータ版として提供されています。AWS Secrets Manager や Hashicorp Vault との統合は、いずれも Enterprise のお客様が利用可能です。可用性と機能の詳細については、こちらのドキュメント (英語) をご覧ください。

Kong Manager におけるフィルタリング/ソート機能の追加 (Enterprise)

Kong Manager は、API 開発者やインフラ担当者が Kong Gateway のデプロイメントを監視、管理するための理想的なユーザー エクスペリエンスを提供します。より合理化された Kong Manager のユーザー エクスペリエンスにより、Kong のデプロイメント アーキテクチャ管理に多大な時間を費やすことなく、ビジネスの課題解決により多くの時間を費やすことができるようになります。ここで説明する新しいフィルタリング/ソート機能を含む Kong Manager のすべての機能は、Enterprise のお客様に利用いただけます。

組織のアプリケーション開発のニーズが高まるのに比例して、API の数も増えていきます。Kong Manager の新しいフィルタリング/ソート機能により、インフラ担当者と開発者のユーザー エクスペリエンスは向上し、必要なものを正確に、かつできるだけすばやく見つけることが可能となります。

Kong Manager には、サービス、ルート、コンシューマー、プラグイン、アップストリームなど、ゲートウェイのエンティティごとに「フィルター」タブが用意されるようになりました。各エンティティについて、名前、有効か無効か、プロトコル、ホスト、パス、または ID によってリソースのリストをフィルタリングすることで、探しているものを正確に見つけることができます。たとえば、アップストリーム サービスの「ホスト」でフィルタリングすることで、サービスをより迅速に見つけられるようになりました。

図 2- サービスをホストでフィルタリング

Forward Proxy Advanced プラグインによる相互 TLS 認証 (Enterprise)

Forward Proxy Advanced プラグインを使用すると、リクエストを上流にプロキシングする際に、upstream_url に直接接続するのではなく、中間的な透過型 HTTP プロキシに接続することができます。これは、Kong が組織の内部ネットワークに存在し、アップストリーム サーバーがパブリック インターネット経由で利用可能で、組織がすべてのアウトバウンド トラフィックをフォワード プロキシサーバー経由でプロキシする環境において便利です。

Kong Gateway 2.8 では、Forward Proxy Advanced プラグインにより、ゲートウェイとアップストリーム サーバー間で相互 TLS (mTLS) 認証が可能になり、HTTP プロキシが間に存在する場合でも強固な認証セキュリティを実現できます。Kong Gateway と Forward Proxy Plugin を使用することで、インターネットを横断するネットワークトポロジー全体で、API に安全な認証方法を確保することができます。Forward Proxy Advanced プラグインはこの 2 者間の mTLS 認証を容易にし、透過型 HTTP プロキシは単に通信を中継している状態です。Kong Gateway と Forward Proxy プラグインの使用により、インターネットを横断するネットワーク トポロジ全体で API に安全な認証方法を確保することができます。

その他のリリース ハイライト

プラグインの面では、いくつかの新機能をつかしました。

  • Azure Active Directory など一部の OIDC プロバイダーで使用されている人気の OpenID Connect (OIDC) プラグインに Distributed Claims のサポートを追加しました。
  • コミュニティから、Rate Limiting (レート制限) プラグインの Redis ユーザー名を設定する機能追加のプル リクエストを受け取りました (27ascii さん、ありがとうございます!)。 これをマージして、Rate Limiting プラグインだけでなく、Rate Limiting Advanced プラグイン、Response Rate Limiting プラグイン、OIDC プラグイン、Proxy Caching Advanced プラグインにもこの機能を追加しています。

別途注目すべきリリースとしては、decK が  v1.11 で強化され、Declarative Configuration (宣言型構成) の使用感が改善されました。

  • まず 1 点目は、decK は Schemas エンドポイントにより、プラグインだけでなくコア エンティティのデフォルト値もサポートするようになりました。これにより、Kong Gateway の管理に必要な設定ファイルを扱う際の複雑さが軽減されます。
  • 2 点目は、validate コマンドに –online フラグが追加され、Kong Gateway の状態に影響を与えずに Kong API に対して検証を行えるようになったことです。このフラグを使用すると、deck sync 経由でゲートウェイのセットアップを試みる前に設定の問題をキャッチするのに役立ちます。

Kong Gateway 2.8 へのアクセス

新機能、修正点、アップデートの完全リストについては、Kong Gateway の CHANGELOG はこちら (英語)、Kong Gateway OSS の CHANGELOG はこちら (英語) をご覧ください。 

今すぐ Kong Gateway 2.8 を使い始めるには、商用版、オープン ソース版ともに無料でのダウンロードが可能です。すでに Kong Gateway をインストールしている場合、2.8 へのアップグレードは簡単です。アップグレード ガイド (英語) をご覧ください。Kong Nation にて皆さまのご意見をお聞かせください。

Kong Gateway 2.8 のシークレット マネジメント機能については、今後のブログ記事をお見逃しなく!


Kong Enterprise の概要、価格、およびライセンス体系などの詳細は、こちらを参照してください。


記事参照: 2022 年 3 月 2 日
 
© Kong Inc. 2022
Kong Gateway 2.8: Increase Security and Simplify API Management