コンテナ・Kubernetes環境向けセキュリティ・モニタリング プラットフォーム

本文の内容は、2021年12月20日にDiego Gagliardoが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-december-2021/）を元に日本語に翻訳・再構成した内容となっております。

今年最後の月刊誌「Sysdigの最新情報」をお届けします。まずは、メリークリスマス、Buon Natale、성탄을 축하드려요, С рождеством!, Vrolijk kerstfeest, Feliz Navidad!

皆様がどのようなお祝いをされるにせよ、皆様、素敵なホリデーシーズンをお過ごしください。Sysdig社員一同

まず、先日（12月18日）、移民や難民の保護に関する意識を高めるための「国際移民デー」が制定されました。私たちは彼らに心を寄せています。

今月は「Sysdigの最新情報」を担当している私、Diego Gagliardoが担当します。私は2020年8月にSysdigに入社し、イタリアのミラノを拠点とするテクニカルアカウントマネージャーとして活躍しています。オープンソースの愛好家であり、サイバーセキュリティの愛好家でもある私は、夜になると暗い空を眺め、天体写真を撮るための素晴らしい深空の天体を探しています。

Sysdigの今月のハイライトは、最近行われた資金調達ラウンドです。

製品面では、Sysdig Secure for Cloud - Azureのリリースを発表できて嬉しいです（詳細は以下をご覧ください）。

しかし、お客様にとっては、今月がlog4jと(中略)有名なCVE-2021-44228脆弱性が歴史に残ることは間違いありません。

Sysdigの公式声明は以下の通りです：

---

Sysdigのエージェントにはlog4jのライブラリは含まれていません。

SysdigはLogbackと呼ばれるログ用の代替フレームワークを使用しています。logbackフレームワークには、この問題に対する脆弱性はありません。

Sysdigのコンポーネントには、脆弱性のあるlog4jライブラリが標準配布されています。このライブラリは、互換性の理由のみで含まれており、主要なロギングには使用されていません。また、当社のセキュリティチームは、当社のアプリケーション・アーキテクチャーと既存の緩和策に基づいて、脆弱性がないと判断しています。

Sysdigは、Sysdigのクラウドプラットフォームを構成するすべてのサービスが、Apacheの脆弱性を持つlog4jライブラリを実行していることを確認しており、最新のバージョンにパッチを適用するか、ベンダーが提案する緩和策を追加しています。また、この期間中、この攻撃手法を利用した攻撃の成功は確認されていません。

アップグレードに関する詳細は以下の通りです。

• 明示的に commonsLog4jVersion = 2.17.0 を設定する。
• log4j-to-slf4j, log4j-api, log4j-coreのすべてをバージョン2.17.0にアップデートする。

---

この脆弱性についての理解を深め、お客様の環境を保護する方法については、最新のブログ記事をご覧ください（もちろんSysdigで）。

• CVE-2021-44228の悪用と緩和：Log4j リモートコード実行 (RCE)
• ランタイムベースのKubernetesネットワークポリシーによるlog4jの緩和

製品アップデートの詳細については、いつも通りリリースノートをご覧ください。また、ここで取り上げた内容についてご質問がある場合は、お近くのSysdigの担当者までお問い合わせください。

Sysdig Secure

Sysdig Secure for Azure

Sysdigは、Sysdig Secure for cloud capabilities for Azureの一般提供を開始しましたのでお知らせします。

• クラウド・セキュリティ・ポスチャー・マネジメント（CSPM)：CISベンチマークに基づき、お客様の資産に合わせてカスタマイズします。
• クラウド脅威検知：Azure用のFalcoルールを使用して、Azure環境の脅威を特定します。
• Event Hub：シンプルで信頼性が高く、拡張性のある、完全に管理されたリアルタイムのデータ取り込みサービスです。
• イメージの脆弱性スキャン：Azure Container Registryにプッシュされたイメージ、およびAzure Container Instance Groupで実行されたイメージの自動脆弱性スキャン。

詳細は、「Sysdig Secure for cloud on Azure」の導入をご覧ください。

Sysdig Agent

Sysdigエージェントの最新リリースは v12.1.1です。前回のアップデートで取り上げた v12.0.4以降のアップデートの差分を以下に示します。

• Debian 11およびLinux Kernel v5.10用のeBPFプローブをビルドできるようになりました。
• Debian 11およびFedoraカーネル用のプレビルドプローブ。
• glibc v2.33を搭載した新しいカーネル上のプローブ用に強化されたエージェントコンテナ。
• Audit Tapにファイルメトリクスを追加しました。
• promscrapeのメモリ使用量制限：promscrapeのメモリ使用量を制限できるようになりました。デフォルトでは、640 MB に設定されています。詳細は、Sysdig Agentのチューニングを参照してください。
• Falcoアクションが期待通りに動作します。kill container Falco アクションは、Azure の containerd で期待通りに動作します。
• Image Profile Shows Results Correctly: CRI エンジンを使用している場合、imageid が正しく報告されます。
• Kubernetes Daemonset and Replicaset Association Works as Expected：Kubernetesのデーモンセットとレプリカセットの関連付けが正常に機能します。Kubernetes DaemonsetとReplicasetの関連付けが無効になることがある問題を修正しました。
• Agent Updates Prometheus Configurations Correctly（エージェントがPrometheusの設定を正しく更新する）。バックエンドから特定の統合が更新されたときに、Prometheusの設定が正しくマージされない問題を修正しました。
• Duplicate Environment Variable Hashes No Longer Appear in Audit Tap：Audit tapでレポートされる環境変数とハッシュの不一致が修正されました。

SDK、CLI、ツール

Sysdig CLI

v0.7.14 はまだ最新のリリースです。ツールの使用方法や、以前のバージョンのリリースノートは、以下のリンクから入手できます。

https://github.com/sysdiglabs/sysdig-platform-cli/releases/tag/v0.7.14
https://sysdiglabs.github.io/sysdig-platform-cli/

Python SDK

v0.16.3 はまだ最新のリリースで、10月のアップデートで取り上げました。

https://github.com/sysdiglabs/sysdig-sdk-python/releases/tag/v0.16.3

Terraform Provider

v0.5.27 は最新のリリースで、前回のアップデートで取り上げました。

ドキュメント

Falco VS Code Extension

v0.1.0 が最新のリリースとなります。

https://github.com/sysdiglabs/vscode-falco/releases/tag/v0.1.0

Sysdig Cloud Connector

Sysdig Cloud Connectorのv0.13.0 がリリースされました。先月、 v0.11.3 を取り上げました。

これらのバージョンの差分のハイライトをご紹介します：

新機能

• azureスキャン機能の追加
• k8s：K8sの監査ログイベントでカスタムタグを使用できるようになりました。
• 環境変数を使用してトラッキングを無効にすることが可能
• AWSブルートフォース攻撃の有効化
• インジェスターのバッファサイズを設定できるようにした

バグ修正

• cloud-connector.yamlの設定でスキャンキーを修正
• 非標準的なイメージを持つインスタンスの実行ルールが正しいフィールドを比較しない
• AWSのスキャンルールにサービスを追加

変更点の詳細は、変更点の一覧をご確認ください。

Inline Scanner

v2.4.7 は、前回のアップデートで取り上げた最新のリリースのままです。

Sysdig Secure Inline Scan for Github Actions

v3.2.0 は前回のアップデートで取り上げた最新のリリースのままです。

https://github.com/marketplace/actions/sysdig-secure-inline-scan

Sysdig Secure Jenkins プラグイン

v2.1.12 はまだ最新のリリースです。

https://plugins.jenkins.io/sysdig-secure/

Prometheusインテグレーション

インテグレーション

• 新しいMemcached
• 更新されたKubernetes Etcd

新しいダッシュボードとアラート

• Kubernetes StorageとPCVのダッシュボードとアラート
• ワークロードダッシュボードのトラブルシューティングパネル
• コンテナやポッドのトラブルシューティングに関するKubernetesのアラート（Crash Loop Back Off、OOMkillなど）
• ノードやクラスターが消滅した場合のKubernetesアラート

バグ修正

• Pod_Rightsizing_&_Capacity_Optimization ダッシュボードのバグ修正

トレーニングと教育

全く新しいFalco 101トレーニングコースの提供を発表します。これは、コンテナランタイムセキュリティに興味があり、Falcoやそのルールの構文、アラート、設定などをより深く理解したい方に必見のトレーニングです。

新しいウェブサイトのリソース

ブログ (日本語:sysdig.jp）、(日本語：SCSK Sysdig特設サイト）

• Our $350M funding round will accelerate our cloud and container security momentum into global scale
• Visibility and Security for GKE Autopilot
• Exploiting and Mitigating CVE-2021-44228: Log4j Remote Code Execution (RCE)
• Mitigating log4j with Runtime-based Kubernetes Network Policies
• Critical vulnerability in log4j, a widely used logging library
• CSPM, CIEM, CWPP, and CNAPP: Guess who in cloud security landscape
• Threat news: TeamTNT stealing credentials using EC2 Instance Metadata
• Kubernetes 1.23 - What's new?

ウェビナー

• Forensics and Incident Response
• Monitor Plant Health & PiHole Performance with Prometheus
• Improve AWS Cloud Threat Detection and Response - MITRE ATT&CK Framework

Sysdigに関するお問い合わせはこちらから