TLSの多テナント大規模導入における自己サービス型ソリューションの設計と実裝

はじめに

現代のクラウドネイティブアーキテクチャでは、KubernetesクラスターとKafkaクラスターを組み合わせた微サービスアーキテクチャが広く採用されています。この環境では、1000以上のワークロードが存在する多テナント構成において、TLSベースのMTLS（Mutual TLS）認証を実現する必要があります。本記事では、CNCF（Cloud Native Computing Foundation）のSearch Managerを活用した、自己サービス型のTLS証明書管理ソリューションの設計と実裝を解説します。このアプローチは、多テナント環境における証明書ライフサイクル管理、信頼チェーンの柔軟な管理、Kafka ACLとの統合を実現します。

技術的背景と課題

環境構成

• クラスター構成：複數のKubernetesクラスターとKafkaクラスターを含む
• アーキテクチャ：マイクロサービスベースで、1000以上のワークロードが存在
• 多テナント設計：共有クラスター內で異なる名前空間を用いたテナント分離

安全性要件

• KafkaにおけるMTLS認証の導入
• 未認証アクセスの防止
• データの暗號化と信頼性確保

初期課題

• Kafkaはネイティブな認証メカニズムを持たないため、TLS認証の導入が必要
• 伝統的な認証フローは自動化環境に不向き
• 証明書のライフサイクル管理や信頼チェーンの柔軟性が求められる

ソリューションの設計

ツール選定と設計思想

• 初期試行：Spiffy/Spirを用いたワークロード識別
• 最終選定：CNCFプロジェクトのSearch Managerを採用
• 設計目標：
  • 多テナント環境における自己サービス型証明書発行
  • 短いライフサイクルの証明書管理
  • Kafka ACLとの統合（X509 SVIDsによるアクセス制御）
  • 信頼チェーンの柔軟な管理とCA根証明書のローテーション

技術的実裝詳細

1. Search Managerの構成

• 多テナント隔離：

  • 共有根CAを採用し、獨自のPKIを構築しない
  • ClusterIssuerを用いて証明書発行権限を制御
  • Ingress Shimの無効化で非意図的な証明書リクエストを防ぐ
  • ServiceAccountを用いたアクセス制御とコントローラーのアイデンティティプロバイダーを構築

• 証明書フォーマット要件：

  • URI屬性（例：spiffe://cluster.namespace/workload）を含む
  • 信頼ドメイン（Trust Domain）をクラスター識別として定義

• 証明書発行フロー：

  • ユーザーがServiceAccountの注釈を介してコントローラーをトリガー
  • Search ManagerがSecretにTLS.crt/TLS.keyを発行
  • 証明書がKafkaクライアントPodに自動マウントされる

2. 信頼チェーン管理

• 誤った実裝例：

  • CA.CRTを直接クライアントの信頼ストレージにマウント
  • CA根証明書のローテーションが困難でサービス中斷のリスクあり

• 正しい実裝例：

  • Trust Managerを導入し信頼チェーンを管理
  • Bundle Resourceで信頼源（例：企業CA）を定義
  • ConfigMapを介してコンテナに信頼チェーンをマウント
  • CAローテーション時にはTrust Bundleの更新だけでサービス中斷を防ぐ

3. ポリシーと制御

• 承認ポリシー（approvals policy）：

  • 証明書フォーマットと発行ポリシー（名前空間バインディング）を定義
  • 多テナント環境での自動承認を実現
  • プラグイン機構で証明書発行範囲を制御

• CSIドライバ統合：

  • CSIドライバの証明書リクエストを考慮するが、現時點では実裝未実施

キーポイントと解決策

• 証明書ライフサイクル：
  • 自動化された短ライフサイクル証明書発行
• 信頼チェーンローテーション：
  • Trust Managerによる信頼源管理で平滑な過渡期を実現
• 多テナント隔離：
  • 名前空間とServiceAccountによるアクセス制御
• Kafka ACL統合：
  • 証明書URI屬性をKafka ACLのアクセス制御に利用

今後の改善點

• V2版の改善點：
  • Search Managerリソースを再開放し、approvals policyで証明書発行を管理
  • 名前空間バインディングポリシーを導入し、テナント環境と証明書の関連性を確保
  • CSIドライバと信頼チェーン管理の統合を進める

技術的リスクと注意點

• 信頼チェーンの誤配置：
  • CA.CRTの直接マウントはローテーション失敗の原因
• 証明書フォーマットの互換性：
  • URI屬性がKafka ACLルールと一致することを確認
• 多テナント衝突：
  • ServiceAccountのアクセス権限を厳密に制御し、テナント間の証明書漏洩を防ぐ

信頼管理アーキテクチャ

• Trust Managerの導入：
  • 多CAの信頼チェーン管理を可能に
  • ConfigMapを介した信頼チェーンのマネジメント
  • 名前空間セレクター（Namespace Selector）を用いた自動デプロイ
• CA移行戦略：
  • 新しい企業CAを信頼チェーンに追加し、Kafkaなどのサービスに順次移行
  • Trust Managerを用いたCA切り替えでサービス中斷を防ぐ
  • 舊CAの完全移行後、信頼チェーンから削除

多テナントと名前空間ポリシー

• 承認ポリシーの導入：
  • 証明書リクエストの承認を名前空間レベルで制御
  • 名前空間URI前綴やDNS名後綴ルールを適用
  • クライアント証明書とサービス証明書の別個のポリシーをサポート
  • CSIドライバを用いたストレージ層のセキュリティ強化

自動化と監視

• Search Managerによる自動化：
  • 証明書ライフサイクルを自動管理
• 監視構築：
  • Prometheus/Grafanaを用いたメトリクス監視
  • 自社CAの監視：有効期限近い証明書のトラッキングとアラーム設定
  • サーバー証明書更新時にアプリケーションが新証明書を即座に読み込む

安全アーキテクチャ

• Hashicorp Vaultの導入：
  • 私有CAの管理とポリシー制御
  • 追加のセキュリティレイヤーを設定
  • テナント間での証明書の混用を防ぐ
  • 名前空間別のIssuerで証明書発行を分離

キーテクノロジー

• Trust Manager：多CA信頼チェーン管理を可能に
• 承認ポリシー：テナントレベルでの証明書制御
• 自動更新メカニズム：サービス中斷を防ぐ
• 監視システム：証明書の有効性と安全性を確保
• モジュール設計：多様な証明書ポリシーへの対応

結論

本記事では、多テナント環境におけるTLSの信頼管理と自己サービス型証明書管理の設計を解説しました。Search Managerを活用した信頼チェーン管理、Kafka ACLとの統合、自動化されたライフサイクル管理が、大規模なクラウドネイティブ環境でのセキュリティ確保に有効です。実裝時には、信頼チェーンの柔軟性、多テナント隔離、監視體制の構築が重要です。今後の改善點として、CSIドライバとの統合やポリシーの柔軟性向上が求められます。