コンテナ・Kubernetes環境向けセキュリティ・モニタリング プラットフォーム

本文の内容は、2021年8月31日にChris Kranzが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-august-2021/）を元に日本語に翻訳・再構成した内容となっております。

毎月恒例のSysdigの最新情報をお届けします。今月の大きな発表は、マネージドサービスとしてのPrometheusの新しいサポートです。これにはいくつかの特徴があり、以下で詳しく説明しますが、その概要は以下の通りです。

• SysdigがPrometheusマネージドサービスでremote writeとより多くのカスタムメトリクスを提供
• 痛みを伴わず、より多くの恩恵を得ることができます。Sysdig Monitorがオープンソースをベースにした監視統合の根本的な簡素化を実現！

また、Kubernetes 1.22がリリースされたので、何を見るべきかについてのレビューを紹介します。まだご覧になっていない方は、Kubernetes 1.22における新機能は? をご覧ください。

製品アップデートの詳細については、いつも通りリリースノートをご覧ください。

Sysdig Secure

アドミッションコントローラーとKubernetes Audit

今月は、Sysdig Secure Admission Controllerの一部としてKubernetes Audit機能の一般提供を開始したことを発表します。

背景：
Kubernetesアドミッションコントローラーは、オペレータに入力されるAPIリクエストを検証および/または変化させる機能を提供します。アドミッションコントローラはKubernetesのコア機能であり、その多くはデフォルトで有効になっています。


Sysdig Secureは以前から、k8s_audit Falcoルールを使ってKubernetesの監査ログに対するポリシーを作成することで、KubernetesのAPIセキュリティを提供してきました。しかし、いくつかの複雑な問題がありました。

解決策は？

アドミッションコントローラーを介してKubernetesのAPIリクエストに直接タップし、お客様が長い間信頼してきた既存のk8s_auditルールを使用します。インストール手順をご覧ください。

Falcoルール

v0.33.0が最新バージョンです。以下は、先月取り上げたv0.20.1からの変更点の差分です。

これらのバージョンでは、より多くのクラウドセキュリティルールをお届けし、コンテナセキュリティルールを改善するために、多くの変更と改善が行われています。これには以下が含まれます。

• フィルタリングを容易にするための例外ルールの追加、および誤検知への対応
• GCPイベントルールの追加

変更点の完全なリストについては、Falco Rules Changelogをご覧ください。

Sysdig Monitor

監視インテグレーション

Sysdigは、PromCatを介して管理された監視インテグレーションを設定することで、お客様の環境で実行されているサービスを発見し、より深いアプリケーション・パフォーマンスとヘルス・テレメトリの可視性を提供します。インテグレーションを構成できるサービスを簡単に確認し、既存のインテグレーションのステータスをチェックし、アラートライブラリの厳選されたコンテンツやすぐに使えるダッシュボードを活用できます。

Sysdig Monitorのインテグレーションビュー

詳細は、 (Limited Availability) Configure Monitoring Integrationsを参照してください。

アラートライブラリ

Sysdig Monitorのアラートライブラリは、お客様のインフラストラクチャーで実行されているサービスに基づいて、設定すべきアラートの推奨リストを提供します。Sysdigが提供する厳選されたコンテンツにより、どのアラートを設定すべきかを推測する必要がなくなり、完全な監視を迅速に行うことができます。

Sysdig Monitorのアラートライブラリ

詳細は、アラートライブラリを参照してください。

Kubernetesダッシュボードの強化

アウトオブボックスKubernetesのダッシュボードにいくつかの改良を加えました：

Sysdig Monitorのクラスターキャパシティプランニングダッシュボード

• ワークロード・ダッシュボードは、関連するステータスとゴールデン・シグナルでリフレッシュされます。
• パネルの位置とカラーコードによるUXの向上。
• Kubernetesの初心者が簡単に使えるように、いくつかのワークフローが簡素化されています。
• キャパシティプランニング機能の向上。
• テキストボックスが読みやすくなり、関連するパネルの近くに配置されるようになりました。

セッション有効期限のカスタマイズ

セッション有効期限とは、セッションが自動的に終了または失効するまでの、ユーザーがアイドル状態でいられる時間のことです。セッションの有効期限が切れると、ユーザは再度Sysdigアプリケーションにログインする必要があります。

Sysdigでは、Sysdigアプリケーションのアイドルセッションの有効期限を短くしたり、長くしたりすることができます。ユーザーのブラウザが一定時間アイドル状態になると、自動的にログアウトされます。詳しくは、「カスタマイズされたセッション有効期限の設定」をご覧ください。

セッション有効期限オプションは、Sysdig設定の認証パネルにあります。

Sysdig Agent

Sysdig Agent

Sysdigエージェントの最新リリースは11.4.0です。前回のアップデートでご紹介した11.3.0以降のアップデートの差分を以下にご紹介します。

機能強化

• プローブビルダー - プローブビルダーを使って、Sysdig Agentのカーネルモジュールを構築できるようになりました。プローブビルダーは、Dockerがインストールされているホストであれば、エアギャップされたホストも含めて実行することができます（準備が必要です）。プローブビルダーが有効になり、 https://github.com/draios/probe-builder で利用できるようになりました。詳細はReadmeをご覧ください。
• Promscrape v2 - Promscrape v2 (Prom_service_discoveryがPrometheusで有効になっている場合に使用されます)は、エージェントと同じノードで稼働しているKubernetesポッドのみを検出するように変更されました。これにより、大規模なクラスターにおけるKubernetes APIサーバーの負荷が軽減されるはずです。
• 統合ワークロードメトリクスの欠落フィールドの追加 - ワークロードレベルのメトリクスをサポートするために、デーモンセットの可用性（status.numberAvailable、status.numberUnavailable、status.updatedNumberScheduled）、およびレプリカセットの可用性（status.availableReplicas）を示すKubernetesメトリクスフィールドを追加しました（SaaSのみ）。

既知の問題

依存関係が見つからないため、App check-in agent-slimが動作しないという問題がありました。この問題は、今後リリースされるHotfixで解決される予定です。

不具合の修正

• 複数のホストが同じポッドをレポートしない - UUIDが両方のホストで同じである場合、複数のホストが同じポッドをレポートする問題を修正しました。
• Duplicate StasD Metrics Are Reported Correctly - ホストから報告されたコンテナに対応する重複したStatsDメトリクスの処理に関する問題を修正しました。
• Stale Markers Are Sentured for Dropped Targets - スクレイプターゲットが利用できなくなった場合やpromscrape.v1を使用している場合に、Prometheusメトリクス用のstale Markerを適切に生成します。
• Report a Positive Time Delta Value - file.time.in、file.time.out、file.time.other、file.time.totalの値が無効になることがある不具合を修正しました。
• App CheckまたはPrometheusが有効な場合にエージェントがクラッシュすることがなくなりました - App CheckまたはPrometheusが有効な場合にエージェントがクラッシュすることがある不具合が修正されました。
• Secure Captures No Longer Causes Host Shutdown - サンプル・ハンドラ・スレッドで発生した明らかなストールによるエージェントの再起動を防ぎます。

Sysdig Serverless Agent

Sysdig Serverless Agentの最新リリースは2.0.0で、前回のアップデートで取り上げました。

Sysdig Agent - Helm Chart

Helm Chartの最新版は1.12.8です。以下は、前回のアップデートで取り上げたv1.12.7以降のアップデートの差分です。

• nodeAnalyzer.apiEndpointのデフォルト値がないことを反映して、values.yamlとREADME.mdを更新しました。

https://charts.sysdig.com/

変更点: https://github.com/sysdiglabs/charts/blob/master/charts/sysdig/CHANGELOG.md

Node Analyzer

バージョン0.1.13はまだ最新のリリースで、前回の更新でカバーしました。

ノード・イメージ・アナライザーはSysdig Agentのインストールの一部としてインストールできます: https://docs.sysdig.com/en/scan-running-images.html

インラインスキャンエンジン

v2.4.5が最新のリリースです。前回のアップデートで紹介したv2.4.3以降のアップデートの差分を以下に示します。

変更点

• ClamAVのバージョンを最新(0.103.3)にしました。
• ベースイメージを更新して、最新のセキュリティフィックスを取得しました（2021年7月）。
• レジストリからイメージをプルする際にリトライする仕組みを追加しました。
• PATHオプションに -write-json を追加し、jsonログをファイルに保存できるようにしました。

修正

• ホットフィックス：verbose フラグを使用している場合、無効な json が出力される。
• イメージがファイルの読み取り権限を持っていない場合、マルウェアのスキャンに失敗することがありました。
• タグリストをサポートしていないレジストリのイメージ取得に失敗することがありました。

こちらもご参照ください：CI/CDツールとの統合

アドミッションコントローラー

v3.4.1が最新のリリースです。以下は、前回のアップデートで取り上げたv3.4.0以降のアップデートの差分です。

• ネームスペースマッチャーで正規表現によるpostfixをサポートしました。

https://docs.sysdig.com/en/admission-controller.html

SDK、CLI、ツール

Sysdig CLI

v0.7.12 が最新のリリースで、前回のアップデートで紹介しました。
https://github.com/sysdiglabs/sysdig-platform-cli/releases/tag/v0.7.12
https://sysdiglabs.github.io/sysdig-platform-cli/

Python SDK

v0.16.2 は前回のアップデートで取り上げた最新のリリースです。
https://github.com/sysdiglabs/sysdig-sdk-python/releases/tag/v0.16.2

Terraform Provider

v0.5.16が最新のリリースです。前回のアップデートで紹介したv0.5.15以降のアップデートの差分を以下に示します。

• Falcoの例外処理に対応しました。詳細はこちらです。

ドキュメント

Falco VS Code Extension

v0.1.0 はまだ最新のリリースです。
https://github.com/sysdiglabs/vscode-falco/releases/tag/v0.1.0

Sysdig Cloud Connector

Sysdig Cloud Connectorのv0.8.1がリリースされました。先月はv0.7.13をご紹介しました。

ここでは、これらのバージョンの差分のハイライトを紹介します。

新機能

• GCP監査ログのサポート

バグ修正

• 想定されるロールの代わりに、そのロールを引き受けたユーザ名を表示します。
• GCP登録時のコンフィグ設定の誤字を修正しました。
• プロジェクトが空の文字列である場合のGCP登録を修正しました。
• SAMLまたはWeb経由でIDが提供されている場合のaws.userを修正しました。

詳しい内容は変更点の一覧をご確認ください。

Sysdig Secure Inline Scan for Github Actions

v3.2.0が最新のリリースです。以下は、前回のアップデートで取り上げたv3.0.2以降のアップデートの差分です。

• Rootless dockerで実行できるようにインラインスキャンの実行方法を変更しました。
• 複数のイメージがスキャンされる場合、複数のrunチェックを作成します。
• Actionsでデバッグが有効になっている場合に、デバッグ出力を追加しました。
• octokitをv5と依存関係にあるバージョンにアップしました。

https://github.com/marketplace/actions/sysdig-secure-inline-scan

Sysdig Secure Jenkins プラグイン

v2.1.11が最新のリリースです。以下は、前回のアップデートで取り上げたv2.1.9以降のアップデートの差分です。

• InjectEnvプラグインで注入された環境変数をFreestyleジョブでも尊重します。
• セキュリティレポートに、バックエンドから提供される脆弱性の公開日と修正日を含めるようにしました。
• 特定のUIDとしてインラインスキャナーを実行するための新しいオプション、runAsUserを追加しました。
• インラインスキャナーに追加のパラメータを追加するための新しいオプション、inlineScanExtraParams を追加しました。
• パイプラインのステップレベル(withEnv)またはステージレベル(environment)で設定された環境変数を尊重します。

https://plugins.jenkins.io/sysdig-secure/

ウェブサイトのリソース

ブログ (日本語:sysdig.jp）、(日本語：SCSK Sysdig特設サイト）

• Sysdig and Apolicy: Automating cloud and Kubernetes security with IaC security and auto-remediation
• THREAT ALERT: Crypto miner attack - Sysrv-Hello Botnet targeting WordPress pods
• Send your metrics to a Prometheus Remote Write endpoint without Prometheus - OpenTelemetry
• AWS GDPR compliance with Sysdig Secure
• Sysdig offers remote write and more custom metrics for its managed Prometheus service
• Having your Pi, and eating it with Prometheus remote write!
• No pain... More gain! Sysdig Monitor radically simplifies monitoring integrations based on open source
• Securing AWS IAM with Sysdig Secure
• Sysdig supports Respect in Security to remove harassment from the industry
• Kubernetes 1.22 - What's new?
• How to mitigate CVE-2021-33909 Sequoia with Falco - Linux filesystem privilege escalation vulnerability
• What is the MITRE ATT&CK Framework for Cloud? | 10 TTPs You should know of

ウェビナー

• Improve Your Capacity Planning for Kubernetes
• Simplifying the Prometheus Experience
• Modernize and Secure DevOps with Confidence
• Improve Cloud Threat Detection and Response using the MITRE ATT&CK Framework

他のリソース

• SUSE Rancher Partner Brief
• Google Cloud Partner Brief

Sysdigに関するお問い合わせはこちらから