Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2023年2月23日にKATARINA ZIVKOVIC が投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-february-2023)を元に日本語に翻訳・再構成した内容となっております。
Sysdigの最新情報、2023年2月版で再び登場です 私はイギリス在住のエンタープライズセールスエンジニア、Michael Rudloffと申します。
今月は、Sysdig Secureにいくつかの新機能が追加されました。Risk Spotlightにレポートを追加しました。Risk Spotlightは、Kubernetes環境全体で実行中のコンテナで現在どの脆弱性を持つパッケージが使用されているかを表示することができます。また、Sysdig Monitorの新機能として、Kubernetes環境の予測可能なコスト分析とコスト削減の見積もりを提供するCost Ad visorなどが追加されました。
Kubernetesの予測可能なコスト分析ツールであるCost Advisorがプレビューで利用可能です。Cost Advisorの特徴は以下の通りです:
コストアドバイザーは、現在AWS環境でのみサポートされています。Azure & GCPのサポートは近日中に開始します。
クラウドプロバイダー間でKubernetesクラスター上で動作するワークロードのコストを見積もり、そのコストとアプリケーションのパフォーマンスメトリクスを関連付けることは、クラウドでアプリケーションを実行しているすべての企業にとって必要なことです。
クラウドの課金レポートにはKuberenetesのコンテキストが含まれていないため、コストをグループ化したり、異なるワークロードを通じて分解したりすることは不可能です。
Cost Advisorは、Kubernetesのコストを可視化し、そのコストを削減するための領域を自動的に特定するのに役立ち、Cost Advisorのお客様は、平均で40%も無駄な支出を削減しているとのことです。
Cost Advisorのプレビューに興味をお持ちの方はご登録ください。
Advisorは、次のような機能を提供するために改善されました。
カスタムWebhook通知チャネルを作成し、サードパーティのWebhookベースの統合に転送されるアラート通知のHTTPペイロードを完全にカスタマイズすることができるようになりました。Sysdig Templating Languageを使用すると、アラート名や重要度などのアラートメタデータ、インフラストラクチャーラベルやタイムスタンプなどのイベントコンテキストを動的に補間することができます。これにより、Sysdig Monitorがネイティブにサポートするもの以外の統合も可能になります。
メトリクスとイベントに対して、オプションで警告の閾値を設定できるようになりました。詳細については、「マルチスレッショルドアラート」を参照してください。
メトリクスがレポートを停止すると、Sysdig Monitorは、通常データポイントを期待する場所にデータを表示しません。このようなサイレント・インシデントを検出するために、メトリクスがデータのレポートを停止したときに通知するアラートを設定することができます。詳細については、「データなしに関するアラート」を参照してください。
ダッシュボードが改良され、以下の機能が提供されます。
以下のintegrationsが追加されました。
Agents and Jobs Time Series
) を追加しました。VMレポート機能において、 Risk Spotlight 機能(In Use)とAccepted Risks が、追加のメタデータカラムと設定可能なフィルタの両方として利用できるようになりました。一致するすべての脆弱性には、これら2つの新しい追加カラムと、一致する真偽のフィルターがあります。
Sysdigの多くのお客様は、Risk Spotlight for Runtime Scanを日常的に使用して、どの脆弱性が 'In-Use' で修正可能か、またどの脆弱性が悪用可能かを判断しています。Kubernetesコンテナの実行中にどのパッケージが 'In-Use' であるかを表示する機能は、多くの環境においてゲームチェンジャーとなっています。レポート機能を使えば、修正可能で悪用可能な脆弱性やパッケージを判断することはできますが、'In-Use' パッケージのレポート機能を追加することで、開発者は結果を手動で分類することなく、実用的なレポートを得ることができます。
Sysdigは、cli-scannerのバージョン1.3.3とJenkins Pluginのバージョン2.2.7をリリースしました。
スキャナの修正 バグフィックス:一部ポリシー評価に影響する不具合を修正しました。
プラグインの更新:
Helmは推奨するインストール方法ですが、コンテナを全く使用せずにホストをスキャンしたい場合は、スタンドアロンバイナリやRPMパッケージも提供しています。
sysdig-deploy Helmチャートバージョン 1.5.34
より、Kubernetesの監視とスケジューリングに合わせ、脆弱性ランタイムスキャナーコンポーネントの健全性をチェックするlivenessProbeとreadinessProbeが追加されました。
これは、vuln-runtime-scannerのバージョン >= v1.4.4が必要があることに注意してください。
本リリースでは、Threat Detection ルールライブラリを強化し、ルールをグループ化して表示するほか、カスタムルールだけを表示する機能を追加しました。
Insightsの視覚化では、ユーザーごとにイベントをグループ化して表示できるようになり、異常値を発見する能力が大幅に向上しました。また、特定のユーザーからのすべてのイベントを逆時系列で表示することもできます。詳細については、Insights のドキュメントを参照してください。
Sysdig Agentの最新リリースはv12.11.0です。以下は、1月のアップデートで取り上げたv12.10.1からの更新内容の差分です。
今月のリリースでは、目立った機能強化はありません。
Containerdのイベントエミッションは、eventsで設定します。YAML設定の>containerd:セクションで設定できます。
エージェントPodのネームスペースを取得するためのフォールバックメカニズムが追加されました。app: sysdig-agentのラベルを持つすべてのPodとそのネームスペースがリストアップされるようになりました。
監視 UI で、Linux ホストの正しい CPU 使用率が表示されるようになりました。
cointerface プロセスは、IPV6 アドレスのみを持つ IP を持つ Kubernetes クラスターとの通信を継続します。
エージェント 1v2.10.x で k8s_delegated_nodes が 0 に設定されている場合に cointerface プロセスが失敗することがあった問題を修正しました。
EKS+Bottlerocket で使用される CRI ソケットパスは、エージェントによって自動的に検索されるパスのセットに追加されます。
エージェントが失敗したスクレイプに対して、staleマーカーではなく、無効なPrometheus値を送信することが断続的に発生する問題を修正しました。
Fedora v35+のcloud variantsで、カーネルヘッダが利用できない場合にエージェントの起動に失敗する問題を修正しました。
インスツルメンテーションスタックのデプロイに使用されていたローカルインストーラは、サポートされなくなりました。
Serverless Agent 4.0.0 は、ローカルで実行でき、CI/CDパイプラインに統合できる新しいコンテナ型テンプレートパッチャーである serverless-patcher を提供します。
Serverless Agent 4.0.0は、Cloud上のテンプレートをインストルメントする(つまりパッチを当てる)ための自動化をデプロイするための新しいCloudFormationテンプレートであるinstrumentation.yamlを提供します。
デプロイ時にアクセスキーやプロキシパスワードなどのシークレットを自動的に取得し、オーケストレーターエージェントに提供することができるようになりました。
オーケストレーターエージェントは、カスタムCA証明書のアップロードをサポートします。これにより、OnPremバックエンドやプロキシのSSL証明書検証が可能になりました。
ログをコンポーネント単位で細かく調整・制御することができます。これにより、特定のコンポーネントからの過剰なログ取得を回避したり、トラブルシューティングのために特定のコンポーネントからの追加ログ取得を有効にしたりすることができます。
メインプロセスが終了するときにランタイムインスツルメンテーションが終了するため、他のプロセスの終了を待つ必要がなく、コンテナを生かすことができる。
CloudFormationテンプレートorchestrator-agent.yamlのGatewayパラメータがNetworkTypeに名称変更されました。
CloudFormationのスタックでは、latestではなくexactタグが使われるようになりました。
orchestrator-agent の TaskRole から冗長なワイルドカードパーミッションが削除されました。
ランタイムインスツルメンテーションは、SIGINTとSIGTERMシグナルをインスツルメンテッドワークロードに伝搬するようになりました。
サイレントログモードは、環境変数がプリントされるのを防止します。
OptIn/OptOut コンテナへのリストセパレータとして、コロンが必要になりました。カンマはサポートされなくなりました。
例:TaskDefinition では、タグを利用して、タスクの一部のコンテナを明示的にインストルメント化したり、多数のコンテナがインストルメント化されないようにしたりすることができます。たとえば、次のタグは、テンプレート パッチングが OptOut モード(デフォルト)で実行される場合に、myContainer1 と myContainer2 がインストルメント化されないようにします。
Tags:
- Name: "kilt-ignore-containers"
Value: "myContainer1:myContainer2"
オーケストレーターエージェントに存在する以下の脆弱性を修正しました:
ワークロードエージェントに関する以下の脆弱性を修正しました。
サーバーレスインスツルメントに関する既知の脆弱性はありません。
v0.7.14がまだ最新リリースです。ツールの使用方法、旧バージョンのリリースノートは、以下のリンクから入手できます。
https://sysdiglabs.github.io/sysdig-platform-cli/
v0.16.4が最新版です。
https://github.com/sysdiglabs/sysdig-sdk-python/releases/tag/v0.16.4
新しいリリース v0.5.48 があります。
ドキュメント - https://registry.terraform.io/providers/sysdiglabs/sysdig/latest/docs
GitHub のリンク - https://github.com/sysdiglabs/terraform-provider-sysdig/releases/tag/v0.5.48
注:潜在的な破壊的な変更については、リリースノートを確認してください。
v0.1.0が最新リリースです。
https://github.com/sysdiglabs/vscode-falco/releases/tag/v0.1.0
AWS Sysdig Secure for Cloudがv0.16.28にアップデートされました。
Sysdig Admission Controller が v3.9.16 にアップデートされました。
ドキュメント - https://docs.sysdig.com/en/docs/installation/admission-controller-installation/
新しい vuln-runtime-scanner は v1.2.13 にアップデートされました。
ドキュメンテーション - https://docs.sysdig.com/en/docs/sysdig-secure/vulnerabilities/runtime
Sysdig CLI Scanner は v1.3.4 のままです。
ドキュメンテーション - https://docs.sysdig.com/en/docs/sysdig-secure/vulnerabilities/pipeline/
Sysdig Node Image Analyzer が v0.1.24 にアップデートされました。
Sysdig ホストアナライザー のバージョンは v0.1.11 のままです。
ドキュメント - https://docs.sysdig.com/en/docs/installation/node-analyzer-multi-feature-installation/#node-analyzer-multi-feature-installation
最新リリースは、まだv3.4.0です。
https://github.com/marketplace/actions/sysdig-secure-inline-scan
Sysdig Secure Jenkins Plugin が v2.2.8 に更新されました。
https://plugins.jenkins.io/sysdig-secure/
PromCatチームはPrometheus Integrations v1.9.0を正式にリリースしました!Prometheus Integrations v1.9.0では、以下の機能が追加されています。
Integrations:
最後のHotfixは5.1.8で、そのバージョンの修正リストはこちらで入手できます。
User Management Event Detected
Users Group Management Event Detected
OpenSSL File Read or Write
Modify ld.so preload
Clear Log Activities
Read sensitive file untrusted
Read Shell Configuration File
Delete Bash History
Delete or rename shell history
Detect malicious cmdlines
sensitive_kernel_parameter_files
のリストを改善しました。OpenSSL File Read or Write
ルールの例外を追加。
私たちのFalcoチームは、今月、新機能の複数のリリースで忙しくしています。2 月全体として何がリリースされたかについては、こちらでご確認ください。
Sysdigトレーニングチームは、さまざまなトピックを学び、実践するためのキュレーションされたハンズオンラボを提供しています。2月のコースのセレクションです: