Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2020年11月24日にChris Kranzが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-november-2020/を元に日本語に翻訳・再構成した内容となっております。
Sysdigの最新情報を毎月お届けしています。私たちのチームは、すべてのお客様に素晴らしい新機能を自動的に、そして無料でお届けするために努力を続けています。今月は素晴らしい新機能や機能の開発以外にも、コンテナとの対戦カードを使ったイベントを開催しました。見逃してしまった方は、ぜひYouTubeでご覧ください。
今月の大きなリリースは、Sysdig Secure内でネイティブKubernetesネットワークポリシーを作成して検証することでした!
これにより、Sysdigユーザーは、ワークロードを保護するために使用できるネイティブKubernetesネットワークポリシーを生成することができます。これは追加のファイアウォールやその他のオーバーヘッドがかかるものではなく、単にKubernetesに既に存在する機能を利用するだけです。Kubernetesのマントラである不可知性とロックインの回避を維持しつつ、セキュリティの適用を容易にするために設計されています。
ゼロトラストネットワークのセキュリティがどのように機能するかのハイレベルの図
すべてのお客様がこの新機能から得られるトップベネフィットのハイライトです。
ネットワークポリシー機能についてのご意見をお待ちしています。テストをご希望のお客様のために、ベータ機能として徐々に展開していきます。これは、Sysdigの将来を形作るためにご協力いただき、運用上のフィードバックを提供していただく機会です。
製品アップデートの詳細については、弊社のリリースノートをご確認いただき、ここに記載されている内容についてご質問がある場合は、お近くのSysdigにお問い合わせください。
これは私たちにとって本当にエキサイティングな新しいリリースであり、以前にも述べたように、お客様に大きなメリットをもたらします。この機能にはいくつかの重要なコンポーネントが含まれており、以下で詳しく説明します。
本日、これはベータ機能としてリリースされており、ユーザーのフィードバックを募集しています。試してみたい方は、Sysdigの担当者に連絡してください。この機能にはSysdig Agent 10.6以降が必要です。
関連するKubernetesクラスターを選択し、次にNamespaceを選択し、分析したいオブジェクトの種類(Service、Deployment、DaemonSet、StatefulSet、またはJob)を選択します。これを実行すると、そのスコープ内にあるエンティティのリストが表示されます。KNP モデリングに使用を開始したいものを選択します。
ネットワークトラフィックの監視を開始するようにSysdigに指示する必要はありません。これは、同じ製品に監視機能がネイティブに搭載されていることの多くの利点の一つです。トラフィックの監視に使用する期間を選択するだけです。
これは、この特定のオブジェクトに(ingress)に入り、(egress)からアウトバウンドで開始された観測されたトラフィックを示します。これは、クラスター内ネットワーク通信と未解決のIP(つまり外部トラフィック)の両方を表示するために分離されています。ルール作成を簡単にするために、類似したトラフィックは可能な限り一緒に「折りたたまれて」います。
クラスター内エンティティについては、上部のドロップダウンボックスから、すべてをブロックする、すべてを許可する、またはネームスペース内の接続のみを許可するを選択できます。また、チェックボックスを使用して、特定の観測されたネットワーク接続を特別に許可することもできます。
未解決の IP については、サブネットマスクを作成して、異なるエンティティをカバーするルールを作成します。以下の例では、192.229.173.0/24、10.43.0.0.0/16 を選択します。
トポロジービューには、本当に便利な2つの目的があります。まず、環境のトラフィックを視覚化するのに役立ちます。Ingress & Egress ページには表形式の詳細がありますが、ネットワークの流れを単純に可視化する方が簡単な場合が多いです。また、Ingress & Egress タブの設定を変更して、影響を受ける接続を表示すると、トポロジービューも自動的に更新されます。次のスクリーンショットは、許可されなくなる接続をいくつか選択したことを示しており、赤でハイライトされています。これは、ネットワークポリシーを使用する前に検証するのに最適な方法です。
Generated Policyタブでは、Ingress & Egressタブで選択して設定した内容に基づいて動的に作成されたKubernetes Network Policyが表示されます。あなたはその後、あなたのKubernetesクラスターにこれをコピーすることができるだろう、またはあなたが最初にいくつかのマイナーな変更を行いたい場合。あなたはここで完全に制御することができ、完全にネイティブのネットワークポリシーを使用して終了します。素晴らしいのは、Kubernetesのネイティブ機能を使用することで、Sysdigは完全にアウトオブバンドであり、すでにネットワークポリシーを使用して設定しているチームがある場合には、非破壊的ということです。
私たちはこの機能を開発するにあたり、複数のお客様と緊密に協力してきましたが、圧倒的なフィードバックは、セキュリティをネイティブに処理できることが大きなメリットであるというものでした。
誰も他のファイアウォールを使いたいと思っていません。パフォーマンスに大きな影響を与えるだけでなく、信頼性にも大きな影響を与えると聞いています。顧客は、すでに利用可能なネイティブ機能を活用したいと言っていました。
当社のお客様は、Kubernetesクラスタのネットワークセキュリティを本当に強化し、ゼロトラストセキュリティ設計に移行するためにこれを使用しています。外部トラフィックをブロックするだけでなく、クラスター内の通信を本当に制御するegressルールを定義できるので、これによっていくつかのオープンソースアプリケーションの信頼性が向上したという話を何人かのお客様から聞いています。
私たちは常にユーザーエクスペリエンスを向上させる方法を模索していますが、これはお客様とのいくつかの議論から生まれたものです。ユーザーは、イメージのソースやイメージがどのようにスキャンされたかなどを素早く確認でき、数百や数千のコンテナイメージをスケーリングして保護を開始する際に簡単にフィルタリングできるようにしたいと考えていると聞いていました。スキャンされたイメージのリストの UI が更新され、いくつかの機能とデザインが改善されました。
こちらも参照してください:スキャン結果のレビュー
お客様からは、この機能は何がスキャンされたのか、どのようにスキャンされたのかをすぐに把握することができると聞いています。Sysdigプラットフォーム内の様々な方法でイメージをスキャンするため、お客様からは、ユーザーがどのようにSysdigを使用し、統合しているのかが不明瞭になることがあると言われています。今回のスキャン結果のアップデートは、その点を監査し、すべてが最適な方法でスキャンされているかどうかを検証するのに最適な方法です。
当社のお客様の中には、チームが使用を許可されているコンテナイメージリポジトリを厳しく管理しているところもあり、イメージが適切な場所から送られてきているか、デプロイルールが正しく設定されているかを確認するために、簡単に概要を知ることができます。
Sysdig Secure Event Forwarderでは、アクティビティ監査データを外部プラットフォームに転送するサポートが追加されました。以前にも取り上げましたが、アクティビティ監査は完全な監査ログを必要とする多くのコンプライアンス要件にとって非常に重要です。Sysdigのアクティビティ監査は、Kubernetes-APIを介して要求された認証済みアクションに対してコンテナ内のアクティビティ(コンテナユーザーに対して識別されます)を照合します。これにより、通常の監査記録よりもはるかに詳細な監査記録が得られます。
当社のお客様の多くは、SIEMにSysdigのアクティビティ監査を取り込むために、この機能を使用しています。コンプライアンスの目的で使用していますが、異なるシステム全体のユーザーアクティビティとアクションを相関させるのにも最適な方法です。当社のお客様は、これを使用して、すべてのシステムでより完全なアクティビティを記録し、表示しています。
kube-bench が v1.6 にアップグレードされ、以下のベンチマーク領域の様々な機能をカバーするようになりました。Kubernetes ベンチマークを使用して、GKE と EKS のために顧客が選択したベンチマークチェックを提供するようになりました (Kubernetes のデフォルトだけではなく)。
Falcoルールの最新バージョンは「Sysdig 0.10.1」です。
まもなく、CloudTrail対応のルールも多数公開します。実際には、あまりにも多くのルールがありすぎて、ここにすべての詳細を記載することはできません。いつものように、これを使いやすくするために、さまざまなルールにタグを付けていますので、どのタグが自分に関連しているのかをすぐに確認できます。予想通り、ポリシーの多くは、PCI、CIS、各種NISTポリシー、そしてMITRE ATT&CKフレームワークのようなコンプライアンス標準の共通コントロール要件にマッピングされています。
MITREのタグの概要は以下の通りです:
ダッシュボードでは、ヌルまたは欠落しているデータ値をゼロではなくギャップとして表示するようになりました。オプションで、欠落しているデータは、フォームベースと PromQL パネルの両方で点線または実線として表示することができます。StatsD メトリクスは、設定で上書きされない限り、NULL 値をゼロとして表示し続けます。
詳細については、欠落データの表示を参照してください。
これは、バッチジョブなどの散発的なメトリクスがある場合に便利です。当社のお客様は、これらの断続的なジョブの実際の処理時間を可視化してレポートを作成するためにこれを使用しています。
Exploreのインターフェイスが改善され、より迅速なトラブルシューティングが可能になりました。エクスペリエンスに移動すると、ドリルダウン ビューが直接表示されるようになりました。階層化されたスコープ ツリーを使用して、インフラストラクチャーをグループ化してナビゲートすることもできます。
新しいグルーピング エディタを使用すると、インフラストラクチャーのグループ化を作成および管理できます。
詳細については、「Explore インターフェイス」を参照してください。
管理者がダッシュボードの所有権を他のユーザに移管できるようになりました。詳細については、「ダッシュボードの所有権を移管する」を参照してください。
ダッシュボードメニューをSysdig Monitor UIのサイドバーにピン留めできるようになりました。ピン留めすることで、異なるダッシュボードを簡単にナビゲートしたり、ブラウズしたりすることができます。さらに、ダッシュボードのインターフェースが強化され、開いているカテゴリと閉じているカテゴリの好みを保持して、目的のアイテムを素早く見つけることができるようになりました。
Sysdig Agentの最新リリースは10.6.0です。以下は前回のアップデートで取り上げた10.5.1からのアップデートの差分です。先月のお知らせからの注意点として、エージェントリリース10.5以降には重要な修正がいくつかありますので、古いリリースをお使いの方は最新版にアップグレードすることを強くお勧めします。もし :latest を使用していない場合は、アップグレードしたいバージョンをタグ付けするためにデーモンセットを編集し、デーモンセットを再適用し、ポッドを再起動するだけです。
Helm Chart 1.10.4がリリースされ、Agent 10.6に対応しました。
これには以前のアップデートも含まれています。
すべてのChartをチェックしてみてください。
今月リリースされたバージョン0.1.5と0.1.6では、以下のアップデートが行われました。
Sysdigインラインスキャナスクリプトの新バージョンがリリースされました。
インライン分析コンテナは、追加のコンテナをスポーンする必要がありません。
解析ワークフローとフォーマットを追加しました。
OCI イメージを解析するためのサポートを追加しました (ディレクトリとアーカイブの両方)
コンテナストレージ(CRI-Oなど)からイメージを取得するサポートを追加しました。
以前のSysdig Inline Scanningのバージョンを2.0にアップグレードするには、新しい呼び出しパラメータを考慮に入れる必要があります。
Sysdigインラインスキャナーは、スタンドアロンでもCI/CDパイプライン(Jenkins、Tekton、CircleCIなど)内のステップとしても使用できます。今後数週間のうちに、バージョン2.0のアウトオブボックスサポートを提供するために、さまざまな統合をアップデートする予定です。
v0.6.6がリリースされ、以下のアップデートが含まれています。
v0.14.4がリリースされ、以下のアップデートが行われました。
get_dashboardsは、すべてのダッシュボードの完全な情報を取得できるようになりました。
list_whitelisted_cves メソッドを廃止しました。メソッドは以下のように置き換えられました。
イベントv2を時間でフィルタリングできるようにしました。
v0.5.4がリリースされました。以下は前回のアップデートで取り上げた v0.5.0 との差分です。
これは私たちの商用製品に限ったことではありませんが、それにもかかわらず、エキサイティングな新しいツールです。私たちの商用製品の多くのお客様が、独自のFalcoランタイムルールを書いたり修正したりする際に、これを利用されることを知っています。
最初のリリースには以下が含まれています。
先月、ランタイムセキュリティにおけるCloudTrailサポートのリリースを発表しました。これらのイベントのインジェストを有効にするためには、先月、機能させるのを忘れていたコネクターが必要です(私の心からの謝罪です!)。