OpenShift上のPrometheus Pushgatewayデプロイのセキュリティ

この記事では、Red Hat OpenShift Container Platform 上で Prometheus Pushgateway インスタンスをハード化する方法について説明します。このブログの中で、実際のPushgatewayのデプロイメントシナリオを通して、なぜセキュリティを考慮せずにPushgatewayを単にデプロイすると、モニタリングシステムにとって悪影響を及ぼす可能性があるのかを説明します。

Pushgatewayの基本

Prometheus Pushgatewayは、外部エージェントからデータを受け取り、Prometheusインスタンスが監視するための「スクラップ可能な」フォーマットに変換する一般的なツールです。

Pushgatewayの詳細については、Prometheusの公式ドキュメントに記載されています

OpenShift上のPushgateway

他の多くの技術やツールと同様に、Pushgatewayもコンテナ化し、OpenShift上にデプロイすることができます。次のシナリオでは、そのようなPushgatewayの実装を説明します。次の図で、これから作業するアーキテクチャの概要を示します。

上記のアーキテクチャは自分の役割を果たしますが、セキュリティ上の脆弱性がある可能性があります。Pushgatewayにデータをプッシュする際、「プッシュするクライアント」を確認しないため、悪質なエンティティがデータを詐称してPushgatewayに送信してしまう可能性があるからです。したがって、次の図のように、監視システムが信頼性のないものになるのです。

クライアント認証

潜在的な悪質なエンティティを制限するために、クライアント認証のメカニズムを設定する必要があります。このデモのために、ユーザーとパスワードを使ってPushgatewayインスタンスを保護します。Pushgatewayにデータをプッシュしようとするすべてのクライアントは、…