Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2021年8月31日にChris Kranzが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-august-2021/)を元に日本語に翻訳・再構成した内容となっております。
毎月恒例のSysdigの最新情報をお届けします。今月の大きな発表は、マネージドサービスとしてのPrometheusの新しいサポートです。これにはいくつかの特徴があり、以下で詳しく説明しますが、その概要は以下の通りです。
また、Kubernetes 1.22がリリースされたので、何を見るべきかについてのレビューを紹介します。まだご覧になっていない方は、Kubernetes 1.22における新機能は? をご覧ください。
製品アップデートの詳細については、いつも通りリリースノートをご覧ください。
今月は、Sysdig Secure Admission Controllerの一部としてKubernetes Audit機能の一般提供を開始したことを発表します。
背景:
Kubernetesアドミッションコントローラーは、オペレータに入力されるAPIリクエストを検証および/または変化させる機能を提供します。アドミッションコントローラはKubernetesのコア機能であり、その多くはデフォルトで有効になっています。
Sysdig Secureは以前から、k8s_audit Falcoルールを使ってKubernetesの監査ログに対するポリシーを作成することで、KubernetesのAPIセキュリティを提供してきました。しかし、いくつかの複雑な問題がありました。
アドミッションコントローラーを介してKubernetesのAPIリクエストに直接タップし、お客様が長い間信頼してきた既存のk8s_auditルールを使用します。インストール手順をご覧ください。
v0.33.0が最新バージョンです。以下は、先月取り上げたv0.20.1からの変更点の差分です。
これらのバージョンでは、より多くのクラウドセキュリティルールをお届けし、コンテナセキュリティルールを改善するために、多くの変更と改善が行われています。これには以下が含まれます。
変更点の完全なリストについては、Falco Rules Changelogをご覧ください。
Sysdigは、PromCatを介して管理された監視インテグレーションを設定することで、お客様の環境で実行されているサービスを発見し、より深いアプリケーション・パフォーマンスとヘルス・テレメトリの可視性を提供します。インテグレーションを構成できるサービスを簡単に確認し、既存のインテグレーションのステータスをチェックし、アラートライブラリの厳選されたコンテンツやすぐに使えるダッシュボードを活用できます。Sysdig Monitorのインテグレーションビュー
詳細は、 (Limited Availability) Configure Monitoring Integrationsを参照してください。
Sysdig Monitorのアラートライブラリは、お客様のインフラストラクチャーで実行されているサービスに基づいて、設定すべきアラートの推奨リストを提供します。Sysdigが提供する厳選されたコンテンツにより、どのアラートを設定すべきかを推測する必要がなくなり、完全な監視を迅速に行うことができます。Sysdig Monitorのアラートライブラリ
詳細は、アラートライブラリを参照してください。
アウトオブボックスKubernetesのダッシュボードにいくつかの改良を加えました:Sysdig Monitorのクラスターキャパシティプランニングダッシュボード
セッション有効期限とは、セッションが自動的に終了または失効するまでの、ユーザーがアイドル状態でいられる時間のことです。セッションの有効期限が切れると、ユーザは再度Sysdigアプリケーションにログインする必要があります。
Sysdigでは、Sysdigアプリケーションのアイドルセッションの有効期限を短くしたり、長くしたりすることができます。ユーザーのブラウザが一定時間アイドル状態になると、自動的にログアウトされます。詳しくは、「カスタマイズされたセッション有効期限の設定」をご覧ください。セッション有効期限オプションは、Sysdig設定の認証パネルにあります。
Sysdigエージェントの最新リリースは11.4.0です。前回のアップデートでご紹介した11.3.0以降のアップデートの差分を以下にご紹介します。
依存関係が見つからないため、App check-in agent-slimが動作しないという問題がありました。この問題は、今後リリースされるHotfixで解決される予定です。
Sysdig Serverless Agentの最新リリースは2.0.0で、前回のアップデートで取り上げました。
Helm Chartの最新版は1.12.8です。以下は、前回のアップデートで取り上げたv1.12.7以降のアップデートの差分です。
https://charts.sysdig.com/
変更点: https://github.com/sysdiglabs/charts/blob/master/charts/sysdig/CHANGELOG.md
バージョン0.1.13はまだ最新のリリースで、前回の更新でカバーしました。
ノード・イメージ・アナライザーはSysdig Agentのインストールの一部としてインストールできます: https://docs.sysdig.com/en/scan-running-images.html
v2.4.5が最新のリリースです。前回のアップデートで紹介したv2.4.3以降のアップデートの差分を以下に示します。
こちらもご参照ください:CI/CDツールとの統合
v3.4.1が最新のリリースです。以下は、前回のアップデートで取り上げたv3.4.0以降のアップデートの差分です。
https://docs.sysdig.com/en/admission-controller.html
v0.7.12 が最新のリリースで、前回のアップデートで紹介しました。
https://github.com/sysdiglabs/sysdig-platform-cli/releases/tag/v0.7.12
https://sysdiglabs.github.io/sysdig-platform-cli/
v0.16.2 は前回のアップデートで取り上げた最新のリリースです。
https://github.com/sysdiglabs/sysdig-sdk-python/releases/tag/v0.16.2
v0.5.16が最新のリリースです。前回のアップデートで紹介したv0.5.15以降のアップデートの差分を以下に示します。
v0.1.0 はまだ最新のリリースです。
https://github.com/sysdiglabs/vscode-falco/releases/tag/v0.1.0
Sysdig Cloud Connectorのv0.8.1がリリースされました。先月はv0.7.13をご紹介しました。
ここでは、これらのバージョンの差分のハイライトを紹介します。
詳しい内容は変更点の一覧をご確認ください。
v3.2.0が最新のリリースです。以下は、前回のアップデートで取り上げたv3.0.2以降のアップデートの差分です。
https://github.com/marketplace/actions/sysdig-secure-inline-scan
v2.1.11が最新のリリースです。以下は、前回のアップデートで取り上げたv2.1.9以降のアップデートの差分です。
https://plugins.jenkins.io/sysdig-secure/