Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2021年3月23日にChris Kranzが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-march-2021/)を元に日本語に翻訳・再構成した内容となっております。
Sysdigの最新情報をお届けします。私たちのチームは、すべてのお客様に素晴らしい新機能を自動的に、かつ無料で提供するために努力を続けています。今月は、コンプライアンスとPromQL Query Explorerについてです。詳細は以下をご覧ください。
コンプライアンス・ダッシュボードのページに、いくつかの新しいコンプライアンス基準を追加しました。これにより、お客様は監査での評価を素早く(そして継続的に)確認することができます。また、お客様には、現在の設定を改善するために何ができるかというガイドラインも提供しています。
さらに、何千ものメトリクスをナビゲートし、最も意味があり最高の利益をもたらすビューを得るために適切なPromQLクエリーを選択しようとする課題についても耳にしました。そこで、お客様の日々の作業をより快適にするために、PromQL Query Explorerを開発し、今月発表しました。これにより、より良い、より意味のあるダッシュボードを構築することができるので、これらのメトリクスやクエリーのすべてを全員に覚えさせる必要はありません。
また、Windowsスキャンのサポート、UIベースのアドミッション・コントローラーの設定、IBMクラウド機能のサポートなど、多くの優れた機能を追加しました。詳しくは以下をご覧ください。
いつものように、製品アップデートの詳細については、リリースノートを確認し、ここで取り上げる内容について質問がある場合は、最寄りのSysdigに連絡してください。
Sysdigのコンプライアンス機能に3つの新しいコンプライアンス規格が追加されました。SOC 2、NIST 800-53 rev4、およびNIST 800-53 rev5です。
コンプライアンス検証機能に、以下の機能のチェックが追加されました。
アドミッション・コントローラー、ネットワーク・セキュリティ・ポリシー、ノード・アナライザー。
使用方法の詳細や実装されているコントロールについては、Complianceのドキュメントを参照してください。
現在のコンプライアンス態勢とエクスポージャーを継続的に最新の状態で把握することがビジネスには不可欠であり、監査人からも日常的に求められているとの声をお客様からいただきました。現在、いくつかの組織ではランダムな内部監査を実施しており、コンテナ環境のコンプライアンスを証明するために、コンプライアンスダッシュボードが非常に有効なツールであることがわかっています。新しいコンプライアンス基準により、お客様の適用範囲が広がり、どの監査が合格しているか、またはリスクがあるかをすぐに確認できるようになりましたと述べています。
Windows Scanning Inspectorのベータ版がリリースされました。これは、WindowsコンテナをスキャンするためのSysdigの新機能です。
注意: これは現在、スタンドアロンのスキャン・エンジンです。一元化されたUI、管理、履歴データなどはありません。これらの機能は将来のリリースを予定しています。
こちらもご覧ください:Windowsコンテナ・イメージ・スキャン[BETA].
コンテナの導入が急激に進む中で、Windowsコンテナの導入・利用も積極的に行われるようになってきました。当社のお客様は、コンテナ全体で同じレベルの保証と検証を求めており、これがWindows Scanningサポートを導入した主な利点です。
Kubernetesのアドミッションコントローラーは、クラスターで許可されるリクエストを定義し、カスタマイズするのに役立ちます。アドミッション・コントローラーは、Kubernetes APIへのリクエストを傍受し、オブジェクトの永続化の前に処理しますが、リクエストが認証され、認可された後に処理します。
Sysdigのアドミッション・コントローラ(UIベース)は、Kubernetesをベースに、イメージスキャナの機能を強化し、CVE(Common Vulnerabilities and Exposures)、設定ミス、古いイメージなどをチェックして、スキャンポリシーを検知から実際の防止にまで高めます。設定されたアドミッション・ポリシーを満たさないコンテナ・イメージは、ノードに割り当てられて実行が許可される前に、クラスターから拒否されます。
参照:アドミッション・コントローラー
多くのお客様は、当社の最初のアドミッション・コントローラーを使用していますが、その管理を簡素化したいと考えていました。新しいUIベースのインターフェイスにより、より広い範囲での導入が可能になっただけでなく、アドミッション・コントローラーがどこで使われているかをより明確に把握できるようになりました。これにより、コンテナのライフサイクルの構築段階で、セキュリティとベストプラクティスが採用されていることを確信できるようになったとのフィードバックをいただきました。
スキャン結果のUIに改良を加え、より分かりやすく、重要な情報に素早くたどり着けるようにしました。お客様からは、重要なトップレベルの情報に素早く集中できるよう、よりすっきりとした表示にしてほしいという要望がありました。トップレベルのスキャン結果ページが更新され、どのスキャンエンジンがスキャンを実行したかがすぐにわかるようになりました。これは、アプリケーションのライフサイクルのどこでスキャンが実施され、セキュリティポリシーが適用されたかを識別するための優れた方法です。さらに、ユーザーはレジストリで素早くフィルタリングすることができます。多くのお客様は複数のレジストリをお持ちで、それぞれのスナップショットを素早く取得したいとお考えですが、画像ソースに基づいて関連性をフィルタリングすることもできます。
ページ上部のサマリーチャートはダイナミックに表示されるため、フィルターを変更したり、範囲を狭めたりすると、これらの統計データも変化します。これにより、次のような一般的な質問に素早く答えることができます。"スキャンエンジンごとにいくつのフェイルしたイメージがあるのか?個々のイメージのスキャン結果をさらに深く掘り下げて、発見された脆弱性を見てみると、重要な情報やメタデータに注目できるように、ユーザビリティの向上が図られています。これにより、注意が必要な重要な領域に、より簡単に注目することができます。
上部のクイックフィルターを使えば、情報を素早く簡単に絞り込むことができます。準備ができたら、クリックするだけで、より詳細な情報に入り、特定の脆弱性の詳細を知ることができます。詳細情報では、お客様からの要望が多かった、脆弱性の説明やソースを確認することができます。
多くのお客様にとって、最初の分析時には膨大な量の脆弱性に圧倒されてしまいます。お客様は、特定の脆弱性に焦点を当てる必要があるときに、追加情報をすばやくフィルタリングして掘り下げることができることが、修正や緩和の優先順位を決める上で重要であるとおっしゃっています。
v0.10.5が最新のルールセットで、先月取り上げました。
PromQL Query Explorerは、ダッシュボードやアラートで使用する前に、メトリクスとそのラベルや値を理解し、クエリーを迅速に作成するのに役立ちます。PromQLは、Prometheusのエンドポイントから収集したメトリクスだけでなく、エージェントが収集したSysdigのネイティブ・メトリクスにも使用できます。
詳しくは、Prometheus Alert Rulesのインポートをご覧ください。
多くのお客様がPrometheusを愛用されており、すでにPromQLダッシュボードに投資されているお客様は、Sysdigダッシュボードへの移行や採用が容易であることを実感されています。しかし、アプリケーションがPrometheusでインスツルメンテーションされればされるほど、より多くのメトリクスが生成されます。当社のお客様は、さまざまなメトリクスを素早く調査・比較し、発見されたメトリクスやクエリをワンクリックでダッシュボード・パネルやアラートに変換できることで、効率化を実現していると語っています。これにより、Sysdigの導入が簡素化され、より多くのユーザーが大きな時間をかけずに有益なインサイトを得られるようになりました。
Sysdig MonitorでIBM Cloud Functionsを通知チャネルとして使用できるようになりました。Sysdigは、IBM Cloud Function Channelへのアラート通知の自動送信をサポートしています。一般的には、以下のようなユースケースで使用します。
詳しくは「IBM Cloud Function Channelの設定」をご覧ください。
これにより、お客様は、通知のためのより高度なルーティング(IBM Cloud Functionの通知内容に基づいて意思決定を構成する)や自動アクションの実装を開始しました。この統合により、さらに多くのユースケースが出てくることは間違いありません。
SysdigはSAMLシングル・ログアウトをサポートしています。この機能により、ユーザーがSysdigからログアウトした際に、アイデンティティ・プロバイダーから自動的にログアウトするように設定することができます。この機能は現在、SaaSリージョンのUS-WestとEU-Centralで利用可能です。
詳細については、「SAML シングル・ログアウトの設定」を参照してください。
Sysdigのお客様の多くは、さまざまなシステムの運用方法について、中央でセキュリティ・ガバナンスを行っています。SAMLシングル・ログアウトをサポートすることで、SAML認証されたすべてのアプリケーションを強制的にログアウトさせる標準的なポリシーを、Sysdigも含めて拡張することができます。
小さな、しかし便利なアップデートです。以前訪れたダッシュボードに戻ったとき、UIは最後に使用したスコープを保持します。
Sysdig Agentの最新リリースは11.0.0です。 前回のアップデートで紹介した10.9.1以降のアップデートの差分を以下に示します。
Thin Cointerfaceは、エージェントとKubernetes API Serverの両方でKubernetesのメタデータを処理するために必要なメモリを削減します。メモリ使用量の削減は、多数のポッド(10,000以上の範囲)を持つKubernetesクラスターや、Replication Controllersを多用するクラスターで顕著です。
この機能を使用すると、Sysdigのバックエンドに同じデータが返され、Sysdigのどの機能にも影響しません。Thin Cointerface機能はデフォルトでは無効になっています。
こちらもご参照ください:エージェントのメモリ消費量の削減。
エージェント・コンポーネントの追加セットに対して、コンポーネントごとのファイル・ロギング機能が有効になりました。
詳細については、「エージェントコンポーネントのファイルロギングを管理する」を参照してください。
エージェントのメモリ消費量を削減するために、取り込まれるPrometheusの時系列の数が制限されました。この制限は、Prometheusの再ラベル付けルールが適用された後、エージェントのメトリクスフィルタとメメトリクスリミットの前に適用されます。
特定の名前のプロセスが不適切に集約され、特定の状況下でメトリクスの欠落が発生する問題を修正しました。
kubernetesのラベルセレクタを処理する際に、エージェントのcointerfaceプロセスが連続して再起動する問題を修正しました。
Helm Chart 1.11.7が最新バージョンです。以下は、前回のアップデートで取り上げたv1.11.3以降のアップデートの差分です。
バージョン0.1.10をリリースしました。前回のアップデートで取り上げたv0.1.9から、以下の差分のアップデートが含まれています。
Node Image Analyzerは、Sysdig Agentのインストールの一部としてインストールできます。
バージョン2.3.2がリリースされました。前回のアップデートで取り上げたv2.3からの差分アップデートは以下の通りです。
こちらもご覧ください:CI/CDツールとの統合。
Sysdig CLIのv0.7.5が最新のリリースです。以下は、前回のアップデートで取り上げたv0.7.4以降のアップデートの差分です。
v0.14.13がまだ最新のリリースです。
v0.5.12がリリースされました。以下は、先月取り上げたv0.5.11からの差分変更点です。ドキュメントをご覧になってみてください。
v0.1.0 はまだ最新のリリースです。
Sysdig Cloud Connector v0.5.1がリリースされました。先月ご紹介したv0.4.4からのアップデートの差分です。
v3がまだ最新版です。
Sysdig Secure Jenkins Plugin v2.1.4がリリースされました。以下は、先月取り上げたv2.1以降のアップデートの差分です。