コンテナ・Kubernetes環境向けセキュリティ・モニタリング プラットフォーム

本文の内容は、2020年11月24日にChris Kranzが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-november-2020/を元に日本語に翻訳・再構成した内容となっております。

Sysdigの最新情報を毎月お届けしています。私たちのチームは、すべてのお客様に素晴らしい新機能を自動的に、そして無料でお届けするために努力を続けています。今月は素晴らしい新機能や機能の開発以外にも、コンテナとの対戦カードを使ったイベントを開催しました。見逃してしまった方は、ぜひYouTubeでご覧ください。

Sysdig Secure

• Kubernetesネットワークポリシー
• スキャン結果の更新
• アクティビティ監査情報のフォーワード
• ベンチマークのサポートアップグレード
• Falcoのルール更新

Sysdig Monitor

• ダッシュボードでの欠損データの可視化
• Exploreワークフローの強化
• ダッシュボードの所有権を移管
• ダッシュボードをナビゲートするための機能強化

Sysdig Agent

• Sysdig Agent
• Helm Chart
• ノードイメージアナライザー
• インラインスキャンエンジン

SDK、CLI、ツール

• Sysdig CLI
• Python SDK
• Terraform provider
• Falco Visual Studio コードエクステンション
• Sysdigクラウドコネクター

PromCatリソース

新しいウェブサイトのリソース

Kubernetesネイティブネットワークセキュリティ

今月の大きなリリースは、Sysdig Secure内でネイティブKubernetesネットワークポリシーを作成して検証することでした!

これにより、Sysdigユーザーは、ワークロードを保護するために使用できるネイティブKubernetesネットワークポリシーを生成することができます。これは追加のファイアウォールやその他のオーバーヘッドがかかるものではなく、単にKubernetesに既に存在する機能を利用するだけです。Kubernetesのマントラである不可知性とロックインの回避を維持しつつ、セキュリティの適用を容易にするために設計されています。

ゼロトラストネットワークのセキュリティがどのように機能するかのハイレベルの図

すべてのお客様がこの新機能から得られるトップベネフィットのハイライトです。

ネイティブなKubernetesの機能を使用する。

• 既存のスキル投資を維持できる
• 追加のオーバーヘッドがない（既に存在するネットワーク機能を使用する）

実施前に検証する

• 変更がどのような影響を与えるかを視覚化
• どのような変更が行われるかについての柔軟性
• また、既存のルールに対して新しいアプリケーションの変更をモデル化

チームのコラボレーションを支援

• 会話の中にセキュリティを取り入れる
• アプリケーションのマイクロサービスのコンテキストを提供
• 開発者がpolicy-as-codeを採用できるようにする

ネットワークポリシー機能についてのご意見をお待ちしています。テストをご希望のお客様のために、ベータ機能として徐々に展開していきます。これは、Sysdigの将来を形作るためにご協力いただき、運用上のフィードバックを提供していただく機会です。

その他の製品アップデート

製品アップデートの詳細については、弊社のリリースノートをご確認いただき、ここに記載されている内容についてご質問がある場合は、お近くのSysdigにお問い合わせください。

Sysdig Secure

Kubernetesネットワークポリシー

これは私たちにとって本当にエキサイティングな新しいリリースであり、以前にも述べたように、お客様に大きなメリットをもたらします。この機能にはいくつかの重要なコンポーネントが含まれており、以下で詳しく説明します。

• Sysdigプラットフォームは実行中のアプリケーションを分析し、特定のKubernetesネイティブネットワークポリシーの生成を可能にします。
• Sysdigプラットフォームは、ユーザーが接続を検証して確認できるように、ネットワーク接続を可視化するのに役立ちます。
• 生成されたポリシーは、必要とされるすべてのユースケースに100%フィットするように要求された場合に修正することができます。観察されたトラフィックの中には、結局望ましくないものもあるかもしれません!

本日、これはベータ機能としてリリースされており、ユーザーのフィードバックを募集しています。試してみたい方は、Sysdigの担当者に連絡してください。この機能にはSysdig Agent 10.6以降が必要です。

エンティティを選択

関連するKubernetesクラスターを選択し、次にNamespaceを選択し、分析したいオブジェクトの種類(Service、Deployment、DaemonSet、StatefulSet、またはJob)を選択します。これを実行すると、そのスコープ内にあるエンティティのリストが表示されます。KNP モデリングに使用を開始したいものを選択します。

観測された期間を設定する

ネットワークトラフィックの監視を開始するようにSysdigに指示する必要はありません。これは、同じ製品に監視機能がネイティブに搭載されていることの多くの利点の一つです。トラフィックの監視に使用する期間を選択するだけです。

Ingress＆Egress

これは、この特定のオブジェクトに(ingress)に入り、(egress)からアウトバウンドで開始された観測されたトラフィックを示します。これは、クラスター内ネットワーク通信と未解決のIP（つまり外部トラフィック）の両方を表示するために分離されています。ルール作成を簡単にするために、類似したトラフィックは可能な限り一緒に「折りたたまれて」います。

クラスター内エンティティについては、上部のドロップダウンボックスから、すべてをブロックする、すべてを許可する、またはネームスペース内の接続のみを許可するを選択できます。また、チェックボックスを使用して、特定の観測されたネットワーク接続を特別に許可することもできます。

未解決の IP については、サブネットマスクを作成して、異なるエンティティをカバーするルールを作成します。以下の例では、192.229.173.0/24、10.43.0.0.0/16 を選択します。

トポロジー

トポロジービューには、本当に便利な2つの目的があります。まず、環境のトラフィックを視覚化するのに役立ちます。Ingress & Egress ページには表形式の詳細がありますが、ネットワークの流れを単純に可視化する方が簡単な場合が多いです。また、Ingress & Egress タブの設定を変更して、影響を受ける接続を表示すると、トポロジービューも自動的に更新されます。次のスクリーンショットは、許可されなくなる接続をいくつか選択したことを示しており、赤でハイライトされています。これは、ネットワークポリシーを使用する前に検証するのに最適な方法です。

生成されたポリシー

Generated Policyタブでは、Ingress & Egressタブで選択して設定した内容に基づいて動的に作成されたKubernetes Network Policyが表示されます。あなたはその後、あなたのKubernetesクラスターにこれをコピーすることができるだろう、またはあなたが最初にいくつかのマイナーな変更を行いたい場合。あなたはここで完全に制御することができ、完全にネイティブのネットワークポリシーを使用して終了します。素晴らしいのは、Kubernetesのネイティブ機能を使用することで、Sysdigは完全にアウトオブバンドであり、すでにネットワークポリシーを使用して設定しているチームがある場合には、非破壊的ということです。

お客様がこの機能をどのように利用しているか

私たちはこの機能を開発するにあたり、複数のお客様と緊密に協力してきましたが、圧倒的なフィードバックは、セキュリティをネイティブに処理できることが大きなメリットであるというものでした。

誰も他のファイアウォールを使いたいと思っていません。パフォーマンスに大きな影響を与えるだけでなく、信頼性にも大きな影響を与えると聞いています。顧客は、すでに利用可能なネイティブ機能を活用したいと言っていました。

当社のお客様は、Kubernetesクラスタのネットワークセキュリティを本当に強化し、ゼロトラストセキュリティ設計に移行するためにこれを使用しています。外部トラフィックをブロックするだけでなく、クラスター内の通信を本当に制御するegressルールを定義できるので、これによっていくつかのオープンソースアプリケーションの信頼性が向上したという話を何人かのお客様から聞いています。

スキャン結果の更新

私たちは常にユーザーエクスペリエンスを向上させる方法を模索していますが、これはお客様とのいくつかの議論から生まれたものです。ユーザーは、イメージのソースやイメージがどのようにスキャンされたかなどを素早く確認でき、数百や数千のコンテナイメージをスケーリングして保護を開始する際に簡単にフィルタリングできるようにしたいと考えていると聞いていました。スキャンされたイメージのリストの UI が更新され、いくつかの機能とデザインが改善されました。

• ステータス列（PassedまたはFailed）がフィルタリング可能になりました。
• Image Origin (インラインスキャナ、ノードイメージアナライザーなど)が表示され、フィルタリングが可能になり、マルチ選択オプションが追加されました。
• イメージレジストリがテーブルに表示されるようになりました。
• 追加された日付（デフォルト）またはイメージ名でソートできるようになりました。
• 柔軟なフリーテキスト検索: registry/repo:tag、repo:tag、repo などでフィルタリングできます。

こちらも参照してください：スキャン結果のレビュー

お客様がこの機能をどのように利用しているか

お客様からは、この機能は何がスキャンされたのか、どのようにスキャンされたのかをすぐに把握することができると聞いています。Sysdigプラットフォーム内の様々な方法でイメージをスキャンするため、お客様からは、ユーザーがどのようにSysdigを使用し、統合しているのかが不明瞭になることがあると言われています。今回のスキャン結果のアップデートは、その点を監査し、すべてが最適な方法でスキャンされているかどうかを検証するのに最適な方法です。

当社のお客様の中には、チームが使用を許可されているコンテナイメージリポジトリを厳しく管理しているところもあり、イメージが適切な場所から送られてきているか、デプロイルールが正しく設定されているかを確認するために、簡単に概要を知ることができます。

アクティビティ監査情報のフォーワード

Sysdig Secure Event Forwarderでは、アクティビティ監査データを外部プラットフォームに転送するサポートが追加されました。以前にも取り上げましたが、アクティビティ監査は完全な監査ログを必要とする多くのコンプライアンス要件にとって非常に重要です。Sysdigのアクティビティ監査は、Kubernetes-APIを介して要求された認証済みアクションに対してコンテナ内のアクティビティ（コンテナユーザーに対して識別されます）を照合します。これにより、通常の監査記録よりもはるかに詳細な監査記録が得られます。

お客様がこの機能をどのように使用しているか

当社のお客様の多くは、SIEMにSysdigのアクティビティ監査を取り込むために、この機能を使用しています。コンプライアンスの目的で使用していますが、異なるシステム全体のユーザーアクティビティとアクションを相関させるのにも最適な方法です。当社のお客様は、これを使用して、すべてのシステムでより完全なアクティビティを記録し、表示しています。

ベンチマークサポートのアップグレード

kube-bench が v1.6 にアップグレードされ、以下のベンチマーク領域の様々な機能をカバーするようになりました。Kubernetes ベンチマークを使用して、GKE と EKS のために顧客が選択したベンチマークチェックを提供するようになりました (Kubernetes のデフォルトだけではなく)。

• Kubernetes ベンチマーク 1.6: コントロールプレーン、ノード、etcd、ポリシー
• Google Kubernetes Engine (GKE) ベンチマーク 1.0.：コントロールプレーン、ノード、etcd、ポリシー、マネージドサービス
• Amazon Elastic Kubernetes Service (EKS) Benchmark 1.0：コントロールプレーン、ノード、ポリシー、マネージドサービス

Falcoルールの更新

Falcoルールの最新バージョンは「Sysdig 0.10.1」です。

• CSRF トークン保護を追加しました。

ルールの変更点

• 新しいルール「C2（コマンドアンドコントロール）サーバーへのアウトバウンド接続」を「禁止されたネットワークアクティビティ」ポリシーへ追加

まもなく、CloudTrail対応のルールも多数公開します。実際には、あまりにも多くのルールがありすぎて、ここにすべての詳細を記載することはできません。いつものように、これを使いやすくするために、さまざまなルールにタグを付けていますので、どのタグが自分に関連しているのかをすぐに確認できます。予想通り、ポリシーの多くは、PCI、CIS、各種NISTポリシー、そしてMITRE ATT&CKフレームワークのようなコンプライアンス標準の共通コントロール要件にマッピングされています。

MITREのタグの概要は以下の通りです：

初期アクセス

• 公開されているアプリケーションを悪用する
• 有効なアカウント

永続性

• 冗長アクセス
• アカウントの作成
• リソースの乗っ取り

防衛回避

• セキュリティ制御を無効にする。
• ホスト上でのインジケータの削除
• ツールからのインジケータの削除

クレデンシャルアクセス

• ブルートフォース
• アプリケーションのアクセストークンを盗む

ディスカバリー

• ファイルとディレクトリのディスカバリー

コレクション

• クラウドストレージのオブジェクトからのデータ

Exfiltration

• クラウドアカウントにデータを転送

インパクト

• ストアデータの操作
• データの破壊
• アカウントアクセスの削除
• サービス停止

Sysdig Monitor

ダッシュボードでの欠損データの可視化

ダッシュボードでは、ヌルまたは欠落しているデータ値をゼロではなくギャップとして表示するようになりました。オプションで、欠落しているデータは、フォームベースと PromQL パネルの両方で点線または実線として表示することができます。StatsD メトリクスは、設定で上書きされない限り、NULL 値をゼロとして表示し続けます。

詳細については、欠落データの表示を参照してください。

お客様がこの機能をどのように使用しているか

これは、バッチジョブなどの散発的なメトリクスがある場合に便利です。当社のお客様は、これらの断続的なジョブの実際の処理時間を可視化してレポートを作成するためにこれを使用しています。

Exploreワークフローの機能強化

Exploreのインターフェイスが改善され、より迅速なトラブルシューティングが可能になりました。エクスペリエンスに移動すると、ドリルダウン ビューが直接表示されるようになりました。階層化されたスコープ ツリーを使用して、インフラストラクチャーをグループ化してナビゲートすることもできます。

新しいグルーピング エディタを使用すると、インフラストラクチャーのグループ化を作成および管理できます。

詳細については、「Explore インターフェイス」を参照してください。

ダッシュボードの所有権を移管

管理者がダッシュボードの所有権を他のユーザに移管できるようになりました。詳細については、「ダッシュボードの所有権を移管する」を参照してください。

ダッシュボードをナビゲートするための機能強化

ダッシュボードメニューをSysdig Monitor UIのサイドバーにピン留めできるようになりました。ピン留めすることで、異なるダッシュボードを簡単にナビゲートしたり、ブラウズしたりすることができます。さらに、ダッシュボードのインターフェースが強化され、開いているカテゴリと閉じているカテゴリの好みを保持して、目的のアイテムを素早く見つけることができるようになりました。

Sysdig Agent

Sysdig Agent

Sysdig Agentの最新リリースは10.6.0です。以下は前回のアップデートで取り上げた10.5.1からのアップデートの差分です。先月のお知らせからの注意点として、エージェントリリース10.5以降には重要な修正がいくつかありますので、古いリリースをお使いの方は最新版にアップグレードすることを強くお勧めします。もし :latest を使用していない場合は、アップグレードしたいバージョンをタグ付けするためにデーモンセットを編集し、デーモンセットを再適用し、ポッドを再起動するだけです。

新機能と機能強化

• Python 2.7 はエージェントと agent-slim コンテナから削除されました (サービスとしてインストールされた Sysdig エージェントは、ホストに Python 2.7 がインストールされている限り Python 2.7 をサポートし続けます)。python_binary設定オプションで/usr/bin/python2.7を指すように明示的に定義している場合、この変更は破壊的な変更になることに注意してください。設定を壊さないようにするには、以下のいずれかを実行してください。
• python_binary 設定オプションを削除する。
• python_binary を /usr/bin/python3 に設定する。
• kube-bench が更新されました。何が含まれているかの詳細は、セキュアの項を参照してください。
• Prometheus メトリクスの有効期限の設定 - Prometheus サービスディスカバリを使用して収集された Prometheus メトリクスに対して、メトリクスの有効期限の設定が promscrape.v2 でサポートされました。
• Kubernetes クラスタ名によるスコーピングポリシーのサポート - kubernetes.cluster.name によるスコーピングポリシーのサポートを追加しました。クラスタ名は、これまで通り、構成オプションの k8s_cluster_name <CLUSTER NAME>を使用して手動で設定する必要があります。
• Prometheus Service Discoveryの改善 - デフォルト構成ではノード名ではなくIPアドレスを比較することで、KubernetesのノードマッチングをPrometheus Service Discoveryでより信頼性の高いものにしました。

修正点

• CVE の修正 - エージェントコンテナのバージョン 2.11.3 にアップグレードすることで、jackson-databind パッケージのバージョン 2.9.10.6 にある既知の脆弱性に対処しました。
• NoClassDefFoundError ログの深刻度をエラーから情報に減らす - エラーレベルでのログのスパムを減らすために、java NoClassDefFoundError クラスをエラーから情報に変更しました。これは、エージェントが com.sun.management.jmxremote オプションで起動されていない java v11 アプリケーションからメトリクスを読み込もうとすると、よく発生します。
• StatsD メトリクスが期待値よりも大きく表示されない - StatsD メトリクスが期待値の 2 倍になる原因となっていた問題を修正しました。
• Warningログの削除 - マルチコンテナポッドで Prometheus サービスディスカバリーを使用する際に、曖昧なソースラベルに関するWarningログを削除しました。
• Memory Leak Noer Longer Occurs in the Agent - thin_cointerface_enabled 構成オプションが有効な場合に、時間の経過とともにエージェントのメモリ使用量が遅く増加する可能性がある問題を修正しました。

Helm Chart

Helm Chart 1.10.4がリリースされ、Agent 10.6に対応しました。

これには以前のアップデートも含まれています。

• nodeSelectorの値を追加してAgentをスケジュールするようにしました。

すべてのChartをチェックしてみてください。

ノードイメージアナライザー

今月リリースされたバージョン0.1.5と0.1.6では、以下のアップデートが行われました。

• プロキシのサポートを有効にしました。
• OCP 4 および containerd ベースのデプロイメントでプロキシを使用しようとするとアナライザが起動しない問題を修正しました。
• 環境上でタグレスイメージをスキャンできるようにする改善（タグレスでスキャンしたイメージは、スキャン結果ページに特別なタグ（切り捨てられたダイジェスト）が表示されるようになりました。以前のオンプレミス環境では、"最新 "または "null "と表示される場合があります。)
• 依存関係をアップグレードし、最新の機能とセキュリティの修正を行いました。
• ノードイメージアナライザはSysdig Agentのインストールの一部としてインストールできます。

インラインスキャンエンジン

Sysdigインラインスキャナスクリプトの新バージョンがリリースされました。

主な改善点

インライン分析コンテナは、追加のコンテナをスポーンする必要がありません。

• これにより、Dockerクライアントやdocker-in-dockerなどの要件がなくなります。
• これにより、docker-in-dockerが実現不可能な環境や計測が困難な環境（例：Tekton）での使用が可能になります。

解析ワークフローとフォーマットを追加しました。

• docker アーカイブを解析するためのサポートを追加しました。
• イメージを含む .tar.gz ファイル (例: "docker save" からの出力)。
• 実行例

OCI イメージを解析するためのサポートを追加しました (ディレクトリとアーカイブの両方)

• 非圧縮または圧縮されたOCIイメージフォーマット
• Jenkinsのパイプラインの例

コンテナストレージ（CRI-Oなど）からイメージを取得するサポートを追加しました。

• 実行例

追加の改善

• より高速なイメージの取り込み
• トラブルシューティングや診断のために利用可能な詳細なログを増やしました
• format JSON コマンドによる機械読み取り可能なJSON output

以前のSysdig Inline Scanningのバージョンを2.0にアップグレードするには、新しい呼び出しパラメータを考慮に入れる必要があります。

Sysdigインラインスキャナーは、スタンドアロンでもCI/CDパイプライン（Jenkins、Tekton、CircleCIなど）内のステップとしても使用できます。今後数週間のうちに、バージョン2.0のアウトオブボックスサポートを提供するために、さまざまな統合をアップデートする予定です。

SDK、CLI、ツール

Sysdig CLI

v0.6.6がリリースされ、以下のアップデートが含まれています。

機能

• イベント v2 のサポートを追加し、新しいエンドポイントを介して v1 との互換性を維持します。
• 時間によるイベントv2のフィルタリングを許可
• イベントリストのリミットを整数で定義
• イベントソースを正しく表示する
• 重症度の正しい範囲
• イベントドキュメントの更新
• 他のSysdigLabsプロジェクトと同じテーマを使用する

ドキュメントの修正

• ドキュメント内のサイトの説明文を削除
• イベントのドキュメント

Python SDK

v0.14.4がリリースされ、以下のアップデートが行われました。

get_dashboardsは、すべてのダッシュボードの完全な情報を取得できるようになりました。

• 以前のバージョンのget_dashboardsメソッドは、ダッシュボードから部分的な情報しか取得できませんでした。現在のものでは、"light "モードを無効にすることができます。

list_whitelisted_cves メソッドを廃止しました。メソッドは以下のように置き換えられました。

• list_vulnerability_exception_bundles で例外バンドルを取得します。
• get_vulnerability_exception_bundle は例外バンドルからすべての情報を取得します。

イベントv2を時間でフィルタリングできるようにしました。

Terraform provider

v0.5.4がリリースされました。以下は前回のアップデートで取り上げた v0.5.0 との差分です。

• sysdig_secure_policy はコンテナの kill をサポートするようになりました。
• ポリシーで深刻度の値 1, 2, 3, 5 を許可するようにしました。
• Falco ルールへの追加中に最小限の設定を許可します。
• ルールの追加のサポートを追加しました。
• GH Code Scanアクションを追加しました。
• メインウェブページに新しいリソースを追加したドキュメントを更新しました。

Falco VS code extension

これは私たちの商用製品に限ったことではありませんが、それにもかかわらず、エキサイティングな新しいツールです。私たちの商用製品の多くのお客様が、独自のFalcoランタイムルールを書いたり修正したりする際に、これを利用されることを知っています。

最初のリリースには以下が含まれています。

• jevt.*とka.*フィールドのIntellisense / Autocompletion
• 新しいルール、マクロ、リストのスニペット
• ルール内のフィールドのシンタックスハイライト(例: クリティカルルールは赤色で表示、警告はオレンジ色で表示など)。
• VSCodeコマンドを使用したルールの検証
• ルールにFalcoのロゴが入ったファイルアイコン

Sysdigクラウドコネクター

先月、ランタイムセキュリティにおけるCloudTrailサポートのリリースを発表しました。これらのイベントのインジェストを有効にするためには、先月、機能させるのを忘れていたコネクターが必要です（私の心からの謝罪です！）。

今月、').prop('href', src)); }); });

Sysdigに関するお問い合わせはこちらから