Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2023年1月26日にKATARINA ZIVKOVICが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-january-2023)を元に日本語に翻訳・再構成した内容となっております。
Sysdigの最新情報、2023年1月版で再び登場です! カナダ・バンクーバー在住のカスタマー・ソリューション・エンジニア、ダスティン・クリサックと申します。
今月は、Sysdig SecureのホストスキャンとCSPMコンプライアンス機能の一般提供を開始しました。その他にも、ホストの脆弱性レポート、AWSのTerraformのIaCスキャンなど、様々な変更があります! また、SDK、CLI、ツールにもいくつかのアップデートと改良が加えられました。
最新の情報は、12月のSysdig Monitorリリースノートをご参照ください。
ホストの脆弱性管理は、いくつかのアップグレードを受け、現在一般利用可能な状態になっています。
ホストスキャン機能の開発において、多くのサポート対象OSが追加されました。1月に追加されたのは以下の通りです。
対応するホストOSの一覧はこちら。
Sysdig製品でスキャンしたHostを対象とした脆弱性レポートを定期的に作成することが可能になりました。
Sysdig Secureのレポート機能から、ランタイムワークロードとランタイムホストのどちらを対象とするかを選択できるようになりました。スコープラベルとレポートカラムは、ホストスキャンのメタデータ(ホスト名やクラウドプロバイダーリージョンなど)に従いますので、ご注意ください。
Sysdigは、新しいCSPM ComplianceのGAリリースを発表します。最も重要な環境とアプリケーションのコンプライアンス結果に焦点を当てましょう!
新しい機能が導入されました:
検出から修復までの道筋、リスクの許容、ゾーン管理、インストール、移行のガイドラインを知るには、ドキュメントをご覧ください。
なお、新しいコンプライアンス・モジュールは、IBM Cloud および OnPrem ユーザーには提供されません。引き続き、Unified Complianceをご活用ください。
Sysdigは、AWSプロバイダーのTerraformリソースのサポートをリリースしています。Git IaC Scanningを実装している場合、プルリクエストチェックでAWSリソースをスキャンし、CIS AWS Foundations Benchmarkの違反を報告するようになりました。
サポートされるリソースとソースの種類のリストが追加されました:
対応するリソースとソースの種類のリストが追加されました:
このリリースの他の変更点としては、TerraformでのKubernetesリソースのスキャンを改善し、さらなるユースケースをサポートします。
詳細については、IaC Security のドキュメントをご確認ください。
Sysdigは、Golang関連の脆弱性をより幅広く検出するためのフィードを追加しました。Golangのバイナリで宣言されているパッケージを抽出することで、そのバイナリをビルドするために使用されているライブラリの脆弱性を表面化させています。特に:
(プレビュー機能である)Host ScanningにGoogle COSのサポートが追加されました。
Host Scanningは、Helmチャートのsysdig-deployバージョン1.5.0+でデプロイする際にデフォルトでインストールされます。
デフォルトのセットに追加された新しいディレクトリは、以下のものをスキャンします。
Sysdig Agentの最新リリースはv12.10.1です。以下は、12月のアップデートで取り上げたv12.9.1以降のアップデートの差分です。
このHotfixは、Sysdig MonitorのAdvisorのYAMLタブで発見された問題を解決します。YAMLタブをクリックすると、期待どおりに動作し、PodのYAML設定が引き続き表示されます。
新しいエージェントモードである secure_light が導入され、限定されたセキュアな機能を提供することができるようになりました。このモードでサポートされる機能は以下の通りです。
secure_lightモードで動作するSysdigエージェントは、セキュアモードで動作するエージェントよりも少ないリソースを消費します。
詳細については、セキュアライトを参照してください。
Sysdigエージェントが、ポリシーに関係なく、kill、pause、stopなどの潜在的に破壊的なコンテナ操作を行わないようにする、新しいエージェントレベルの設定、ignore_container_actionが追加されました。
このオプションを有効にするには、dragent.yaml ファイルに以下を追加します:
security:
ignore_container_action: true
この設定は、デフォルトでは無効になっています。
この構成が有効で、ポリシーがコンテナ操作の実行を指示する場合、エージェントはポリシーを無視し、構成のためにエージェントがアクションを取らなかったことを示すInfoログメッセージを作成します。
また、以下を参照してください。脅威検知ポリシーの管理|コンテナ
対応するKubernetesラベルが一時的に利用できない場合、同等のコンテナラベルを使用することで、実行時ポリシーのスコープマッチングが改善されました。
以下の設定により動作が決まります。例では、デフォルト値を示しています。
Security:
use-container-labels-mapping: true
Container_labels_map:
- "kubernetes.pod.name: container.label.io.kubernetes.pod.name"
- "kubernetes.namespace.name:container.label.io.kubernetes.pod.namespace"
AWSメタデータサービス(IMDSv2)とのトークンベース通信を必要とするすべてのデプロイメントで、新しいエージェントレベルの設定であるimds_versionを2に設定する必要があります。
imds_version: 2
IMDSv1形式のAWSメタデータリクエストを継続して使用する場合は、設定を変更しないか、1に設定します。
imds_version: 1
Kubernetesは独自のリソース管理をしているため、Kubernetesで実行する際にエージェントのウォッチドッグがメモリ消費量をチェックすることを無効にしました。Kubernetesで動作しているときに、エージェントウォッチドッグによるメモリ消費量のチェックを再度有効にしたい場合は、以下の設定パラメータを設定します。
Watchdog:
check_memory_for_k8s: true
インスタンス、リージョン、ゾーン、およびノードのオペレーティングシステムを識別するための追加のラベルを収集できるように、デフォルトのKubernetesラベルフィルタを変更しました。追加のラベルは、インフラストラクチャーに関連するコストの計算を支援します。
エージェントがデリゲートされているかどうかを示す statsd_dragent_subproc_cointerface_delegated メトリクスが追加されました。
DockerとCRIの両方のランタイムが利用可能な場合に、コンテナのメタデータを取得するように改善されました。これにより、ランタイムポリシーイベントでコンテナ情報が欠落している問題が軽減されます。
Sysdig Monitor の Advisor で、kubectl describe 操作と同様に Pod の構造を表示する YAML タブが、期待通りに動作しない場合があります。YAML タブをクリックすると、エージェントが再起動し、その結果、メトリクスが一時的に失われることがあります。
回避策として、dragent.yamlファイルで以下のように無効化します:
k8s_command:
enabled: false
エージェントは、1つのストレージクラスだけでなく、すべてのストレージクラスを報告するようになりました。以前は、クラスターに複数のストレージクラスが存在する場合、エージェントはメトリクス protobuf で global_kubernetes から1つのストレージクラスのみを送信していました。
イベントは group.name と user.name を正しく報告するようになりました。これは、一部のケースでコンテナに対してルート ID が N/A として解決される問題が原因でした。
コンテナのパスワードとグループ検索を実装し、コンテナのターミナルシェルが user.name に対して N/A を返さないようにしました。
アクティビティ監査で、ARM プロセッサシステム、コンテナ内で実行されるトップレベルプロセス、および関連する TTY がない場合に、コマンド実行記録が生成されない問題が修正されました。
Pod が再デプロイメントされたときにエージェントが古い Pod UID を報告するという promscrape の問題が修正されました。これは、そのPodからスクレイピングされたタイムスケールからすべてのラベルが欠落することにつながりました。
sdjagent の例外により、新しい JRE バージョンで JMX 監視が正しく機能しない問題を修正しました。
詳しくは、v12.10.1 リリースノートを参照してください。
詳細については、12月のv3.0.5リリースノートを参照してください。
v0.7.14がまだ最新リリースです。ツールの使用方法と旧バージョンのリリースノートは、以下のリンクから入手できます。
https://sysdiglabs.github.io/sysdig-platform-cli/
v0.16.4が最新版です。
https://github.com/sysdiglabs/sysdig-sdk-python/releases/tag/v0.16.4
新しいリリース v0.5.47 があります。
ドキュメント - https://registry.terraform.io/providers/sysdiglabs/sysdig/latest/docs
GitHub のリンク - https://github.com/sysdiglabs/terraform-provider-sysdig/releases/tag/v0.5.47
注:潜在的な破壊的な変更については、リリースノートを確認してください。
v0.1.0が最新リリースです。
https://github.com/sysdiglabs/vscode-falco/releases/tag/v0.1.0
AWS Sysdig Secure for Cloudに変更はございません。現在のリリースはv0.16.26のままです。
AWS Sysdig Secure for Cloudは、v0.10.3のまま変更はありません。
Sysdig Admission Controller が v3.9.14 にアップデートされました。
ドキュメント - https://docs.sysdig.com/en/docs/installation/admission-controller-installation/
新しい vuln-runtime-scanner は v1.2.13 に更新されました。
ドキュメンテーション - https://docs.sysdig.com/en/docs/sysdig-secure/vulnerabilities/runtime
Sysdig CLI Scanner は v1.3.2 のままです。
ドキュメンテーション - https://docs.sysdig.com/en/docs/sysdig-secure/vulnerabilities/pipeline/
Sysdig Node Image Analyzer のバージョンは v0.1.19 のままです。
Sysdig Host Analyzer のバージョンは v0.1.11 のままです。
ドキュメント - https://docs.sysdig.com/en/docs/installation/node-analyzer-multi-feature-installation/#node-analyzer-multi-feature-installation
最新リリースはv3.4.0のままです。
https://github.com/marketplace/actions/sysdig-secure-inline-scan
Sysdig Secure Jenkins Pluginはまだv2.2.6です。
https://plugins.jenkins.io/sysdig-secure/
PromCatチームはPrometheus Integrations v1.7.0を正式にリリースしました!Prometheus Integrations v1.7.0は以下のようになります。
インテグレーションは以下の通りです:
ダッシュボードとアラート:
内部ツールおよびドキュメント:
完全なサポート可能性マトリックスについては、Githubのリリースノートを参照してください。また、重要なインストール手順も記載されています。
不具合修正
私たちのFalcoチームは、今月は新機能の複数のリリースで忙しくしています。1月中にリリースされた内容の詳細については、こちらでご確認ください。
Sysdigトレーニングチームは、様々なトピックを学び、実践するためのキュレーションされたハンズオンラボを提供しています。1月のコースのセレクションです。