Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2023年7月27日に CURTIS COLLICUTT が投稿したブログ(https://sysdig.com/blog/whats-new-in-sysdig-july-2023/)を元に日本語に翻訳・再構成した内容となっております。
「Sysdigの最新情報」2023年7月号をお届けします!カナダのトロントを拠点とするCurtis Collicuttです。Sysdigチームは、最新の機能リリースをご紹介できることをとても楽しみにしています。
今月は、Sysdig Secure Liveを全ユーザに提供します!
Secure Liveは、インフラストラクチャーのセキュリティイベント、脆弱性、設定ミスの対応と調査を1つの画面で支援する強力なツールです。
Sysdigのさらなるアップデートにご期待ください!
Sysdig Secure Liveが全ユーザで利用可能になりました。この機能の詳細については、以下をご覧ください:
非推奨のお知らせ: エージェントのパフォーマンスを改善し、Kubernetes APIの負荷を減らすために、Kubernetesワークロードメタデータは、2023年10月18日から有効なスコープ構成ではなくなります。
理由: これらのスコープの1つを持つポリシーが適用されると、すべてのエージェントがすべてのクラスターに対してKubernetes APIからメタデータを要求する必要があります。私たちは、ほとんどのポリシーがネームスペース、クラスター、またはエージェントにローカルなその他のメタデータに対して作成されていることを発見しました。このメタデータをスコープに使用したポリシーの多くは、そのポリシー内のすべてのルールを例外化するために使用されていました。Sysdig は、特定のルールに含まれるプロセス、コンテナ、イメージなどに的を絞った Falco の例外をサポートし、より優れたパフォーマンスとセキュリティカバレッジを提供する、より的を絞ったセキュリティルールを実現します。
内容:以下のワークロードメタデータはポリシースコーピングから非推奨となります:
kubernetes.daemonset.namekubernetes.deployment.namekubernetes.statefulset.namekubernetes.replicaset.namekubernetes.cronjob.namekubernetes.cron.name*
結果: これらのスコープを持つ既存のポリシーは引き続き機能しますが、同じラベルで変更することはできません。これらのラベルをスコープに含む新しいポリシーを作成することはできません。
推奨:これらのスコープを使用してルールまたはルールセットを適用している場合は、 kubernetes.namespace.name + container.name のスコープに置き換えてください。
例: kubernetes.deployment.nameの置き換え
古いスコープ:
kubernetes.namespace.name = default AND
kubernetes.deployment.name = nginxCode language: JavaScript (javascript)
デプロイメント nginx の中に nginx というコンテナがあるとします。置き換えますと:
kubernetes.namespace.name = default AND
container.name = nginxCode language: JavaScript (javascript)
イメージを使ってより具体的にすることもできます:
kubernetes.namespace.name = default AND
container.name = nginx AND
container.image.repo = quay.io/nginxCode language: JavaScript (javascript)Admission Controller v0.11.3がリリースされました。このリリースでは、レガシースキャンのセキュアイベントからKubernetesワークロード名が削除され、これらのイベントをSecure Events Overview ダッシュボードに集約できるようになりました。
パイプライン、レジストリ、ランタイムの脆弱性スキャン結果の一覧表示とフィルタリング、および詳細なスキャン結果をJSON形式で取得するための、以下の新しいAPIエンドポイントがTechnical Previewでリリースされました:
GET /secure/vulnerability/v1beta1/pipeline-resultsGET /secure/vulnerability/v1beta1/registry-resultsGET /secure/vulnerability/v1beta1/runtime-resultsGET /secure/vulnerability/v1beta1/results
これらのAPIエンドポイントは、現在の脆弱性スキャン エンジンにのみ適用されます。
Sysdigは、OpenIDシングルログアウトのサポートを追加しました。シングルログアウトを使用すると、ユーザはログアウトを開始し、各セッションから個別にログアウトすることなく、すべてのセッションを終了することができます。
詳細については、OpenID シングルログアウトの設定を参照してください。
Sysdig Platform Auditが強化され、ユーザーIDとチームIDに加えて、ユーザー名とチーム名が監査情報に含まれるようになりました。この機能は一般に利用可能です。
詳細については、Sysdig Platform Auditを参照してください。
キャプチャーページが改善され、キャプチャーを開始するだけでなく、キャプチャーを検査できるようになりました。以前は、Exploreでのみキャプチャーを開始できました。
詳細については、キャプチャーを参照してください。
このバージョンのSysdig Agentでは、Sysdig Secureのプロセスツリー可視化のサポートが追加され、ワークロードベースのイベントのイベントフィードが充実しました。これにより、問題のあるプロセスに至るすべてのプロセスを特定することができます。
この機能を有効にするには、以下の手順に従います:
enrich_with_process_lineage=true を設定します。Sysdig Agentのバージョン12.10.0から12.14.1では、Javaの依存関係がJava 7をサポートしないバージョンにアップグレードされました。その結果、これらのバージョンでは、Java 7 JDK/JRE上でJMXメトリクスを収集するJavaプロセスを実行できません。このリリースでは、依存関係を Java 7 をサポートするバージョンにダウングレードします。
Sysdig Agent は、thin cointerface を使用している場合に、ノード・コスト・メトリクスをサポートするようになりました。
エージェントの OpenSSL バージョンを 1.1.1t にアップグレードすることで、CVE-2023-0286 に対応しました。
Sysdigエージェントは、Secureモードとsecure_lightモードの両方で同じメトリクスセットをレポートするようになりました。これは、Secureモードのプログラムメトリクスも、dragentプロセスまたはコンテナに制限されることを意味します。
エージェントのI/Oメトリクスが正しくレポートされない原因となっていた特定のイベントに対するシステムの実行時間アカウンティングを修正しました。
Ubuntu v20.04を含む最近のs390x Linuxディストリビューションでは、カーネルモジュールのビルド時にコンパイラが -march=z13/-mtune=z15 フラグをサポートする必要があります。s390xプラットフォーム用のagent-kmoduleイメージで使用されているgccのバージョンは、必要なフラグをサポートするgcc-12にアップグレードされています。
v0.7.14が最新リリースです。ツールの使用方法と以前のバージョンのリリース・ノートは、以下のリンクから入手できます:
https://sysdiglabs.github.io/sysdig-platform-cli/
Python SDKはv0.16.6のままです。
Terraform Provider 1.10.0をリリースしました。このリリースには以下が含まれます:
https://docs.sysdig.com/en/docs/developer-tools/terraform-provider
v0.1.0が最新リリースです。
https://github.com/sysdiglabs/vscode-falco/releases/tag/v0.1.0
新しい Cloud Connector(v0.16.43)が helm chart 0.8.2 の下でリリースされました:
helm chart 0.11.3における新しいAdmission Controller (v3.9.24)がリリースされました。
Sysdig CLI Scanner は v1.5.0 のままです。
https://docs.sysdig.com/en/docs/sysdig-secure/vulnerabilities/pipeline/
最新リリースはv3.5.0のまま変更はありません。
https://github.com/marketplace/actions/sysdig-secure-inline-scan
Sysdig Secure Jenkins Pluginのバージョンはv2.3.0のままです。
https://plugins.jenkins.io/sysdig-secure/
Prometheus インテグレーションの新しいリリースが利用可能です:
https://github.com/draios/prometheus-integrations/releases/tag/v1.16.0
インテグレーション:
オンプレミス・リリースv6.3は7月11日から提供しています。
ここ数ヶ月の間に、いくつかのバージョンのルールがリリースされました。以下は、直近のルール変更に関するリリースノートです。
https://docs.sysdig.com/en/docs/release-notes/falco-rules-changelog/
Falco 0.35.1 が利用可能になりました。
https://github.com/falcosecurity/falco/releases/tag/0.35.1
Architecting Cloud Instrumentation
How to Deal with Hundreds of Fixes? Choosing the Right Vulnerability Management Solution
SCARLETEEL 2.0: Fargate, Kubernetes, and Crypto
Cloud Defense in Depth: Lessons from the Kinsing Malware
July 13 - Black hat webinar Unpacking Supply Chain & Cloud Security Risks
July 18 - Spotting Vulnerabilities at Rest and at Runtime
July 27 - OWASP Kubernetes Top 10 Projects: What Risks You Need to Prioritize in 2023
How mx51 manages security and risk without impacting innovation and efficiency
Lessons from the Trenches: Maintaining Effective Security in Cloud
Navigating Cloud and Container Security Risk
Shift Cloud Security Left and Right with CNAPP, Powered by Runtime Insights
Monitoring Integrations - https://learn.sysdig.com/monitoring-integrations
Windows Monitoring (hands-on lab) - https://learn.sysdig.com/windows-monitoring
Intro to Secure (video) - https://www.youtube.com/watch?v=jJv4_HTxwVI
Intro to Monitor (video) - https://www.youtube.com/watch?v=SyD_4sNadAQ
Vulnerability Management Landing Page (video) - https://www.youtube.com/watch?v=1_uPQnVKZAI
Sysdig Live - https://www.youtube.com/watch?v=bo1D-jQssw8
Process Trees - https://www.youtube.com/watch?v=wqf_ZY_cqwQ