Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2021年5月25日にChris Kranzが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-may-2021)を元に日本語に翻訳・再構成した内容となっております。
毎月恒例のSysdigの最新情報をお届けします。Eid Mubarak! 私たちのチームは、すべてのお客様に素晴らしい新機能を自動的に、そして無料で提供するために努力を続けています。
最も重要なのは、最近の資金調達です。資金調達の詳細については、こちらをご覧いただきたいと思います。しかし、私たちは、資金を調達してお客様にお届けできる新機能の改善に大いに期待しています。
5月は、KubeCon、SUSECON、DockerConのバーチャルイベントが開催されるなど、イベントの多い月でした。今回は、KubeCon、SUSECON、DockerConのバーチャルイベントが開催されました。これらのイベントに参加できなかった方は、ほとんどの録画をオンラインで見ることができます。KubeConでの個人的なハイライトをいくつかご紹介します:
製品アップデートの詳細については、リリースノートをご覧ください。https://docs.sysdig.com/en/release-notes.html また、ここで取り上げた内容についてご質問がある場合は、お近くのSysdigの担当者にお問い合わせください。
Sysdig Secureのコンプライアンス機能に、新たに2つのコンプライアンス規格が追加されました。
こちらもご覧ください:各セキュリティ規格でSysdigがカバーする具体的なコントロールについては、「コンプライアンス」を参照してください。
Sysdigでは、お客様のセキュリティ対策とコンプライアンスの向上に努めています。この取り組みの一環として、ホストのベンチマーク結果を生成するための新しいフレームワークの導入、ホストスキャンの導入、イメージスキャンメカニズムのバックエンドの改善を行っています。
この新機能を利用するには、ノードアナライザーと呼ばれる新しいコンポーネントをインストールする必要があります。インストールを自動化したり、既存のNode Image Analyzerデーモンセットをアップグレードするためのインストールスクリプトを提供しています。
コンポーネントをインストールまたはアップデートすると、UIには自動的にホストスキャンと新しいベンチマークの機能が表示されます(従来のベンチマークにもアクセスできます)。
ホストスキャン:新機能
コンテナイメージをスキャンするSysdig Secureの豊富なツールに加えて、ホストもスキャンできるようになりました。
ホストベンチマーク :アップデート
イメージスキャン:アップデート
v0.16.0が最新バージョンです。以下は、先月取り上げたv0.12.1からの変更点のdiffです。
これらのバージョンの間には、膨大な数の変更がありました。これには以下が含まれます:
これらの更新の全範囲は、Falco ルールの変更ログで確認してください。
Sysdig Monitorでは、指定した範囲のアラート通知を事前に定義した時間の間、消音させることができ、事前に消音をスケジュールすることができます。消音されても、アラートはトリガーされ、イベントフィードやグラフオーバーレイに投稿されますが、消音されたことが表示されます。使用できる通知チャネルの種類は、Eメール、Slack、Amazon SNSです。
通知は、消音ウィンドウの開始時間の30分前と終了時間の30分前に行われます。また、アクティブな消音を簡単に延長または終了することができます。この機能にアクセスするには、Monitor UIの Alerts > Silence に移動します。
詳細は、サイレンスアラート通知を参照してください。
Sysdig Monitorは、kubernetes.workload.nameとkubernetes.workload.typeという2つの新しいラベルをサポートしており、ダッシュボードのスコープやグルーピングの設定に使用できます。
これまでは、オブジェクトの種類(デプロイメント、レプリカセット、ステートフルセットなど)ごとに固有のものがありました。そのため、異なるタイプのKubernetes Dashboardsと異なるGroupingを使用する必要があり、その結果、異なるタイプのKubernetesオブジェクトがリストアップされるn/aが発生していました。
詳細については、Unified Workload Labels を参照してください。
Available Resources Calculator:新しいアプリケーションをデプロイするのに十分なキャパシティがクラスターにあることを確認します。
Application Status & Overview:パフォーマンス、ポッドの健全性、およびリソースの使用状況を監視することで、クラスター内で実行されているアプリケーション(ワークロード)の状態を把握することができます。
Cluster Capacity Planning:Kubernetesクラスターのキャパシティを監視し、新しいアプリケーションのデプロイ時にサポートできるよう、クラスターのサイズが適切であることを確認します。
Container Resource Usage & Troubleshooting:インフラストラクチャー上のポッドで実行されているさまざまなコンテナのパフォーマンスを把握し、異常な動作をしているコンテナを特定します。
Node Status & Overview:クラスターで実行されているノードの健全性、リソース使用状況、ネットワーク統計を監視します。
Pod Rightsizing & Capacity Optimization:ポッドのサイズが正しく設定されていることを確認することで、インフラストラクチャーを最適化し、クラスターの支出をより適切にコントロールします。メモリやCPUのリクエストを減らすことで、リソースを解放できるかどうかを理解できます。
Pod Scheduling Troubleshooting:リソースが不足しているためにポッドをスケジューリングできない場合、このダッシュボードを使用して、リソースのボトルネックがどこにあるかを特定します。
Pod Status & Overview:ワークロードの一部として実行されているポッドの健全性、リソース使用量、ネットワーク統計を監視します。
拡張ラベルセットにより、PromQLクエリーの実行がよりスムーズかつ高速になりました。拡張ラベルセットは、入力データにインフラに関連する豊富なメタデータを追加し、PromQLで利用できるようにすることで作成されます。インフラの問題をトラブルシューティングしたり、ダッシュボードやアラートを構築するために、複雑なクエリーを書く必要がなくなりました。詳細については、Run PromQL Queries Faster with Extended Label Set を参照してください。
Microsoft TeamsをSysdig Monitorの通知チャネルとして使用できるようになりました。
詳しくは、Microsoft Teamsチャネルの設定をご覧ください。
Sysdig Monitorでは、MinioやIBM Cloud Object StorageなどのS3互換ストレージをSysdigのキャプチャーファイルの保存先として設定することがサポートされました。この機能は、(SaaS) カスタムS3ストレージ・エンドポイントの設定 にあるように、システムを適切に設定することでオンにすることができます。
Sysdigは、Webhookチャネルの統合において以下をサポートします:
詳細については、Webhook チャネルの構成 を参照してください。
LogDNAとSysdigの両方を使用している環境では、関連するLogDNAアラートをSysdigのイベントとして表示することができます。これらのSysdigイベントは、Sysdigの他のタイプのイベントと同様に動作します。イベントはSysdigのグラフに重ねて表示され、イベントフィードにリストアップされ、Sysdig Platformでアラートを作成するのに使用できます。イベントの詳細で提供されるリンクは、さらなる調査が必要な場合に備えて、LogDNAプラットフォームにリダイレクトされます。詳細については、LogDNAイベント を参照してください。
Sysdig Agentの最新リリースは11.2.1です。以下は、前回のアップデートで取り上げた11.1.2以降のアップデートの差分です。
最新の Sysdig Serverless Agent のリリースは 1.0.1 です。以下は、前回のアップデートで取り上げた1.0.0以降のアップデートの差分です。
Helm Chart 1.12.1が最新バージョンです。以下は、前回のアップデートで取り上げたv1.11.11以降のアップデートの差分です。
バージョン0.1.12はまだ最新のリリースで、前回のアップデートで取り上げました。
ノードイメージアナライザーはSysdig Agentのインストールの一部としてインストールできます: https://docs.sysdig.com/en/scan-running-images.html
v2.4.1が最新のリリースです。以下は、前回のアップデートで取り上げたv2.4.0以降のアップデートの差分です。
こちらもご覧ください:CI/CDツールとの統合。
v0.7.10が最新のリリースです。以下は、前回のアップデートで取り上げたv0.7.8以降のアップデートの差分です。
https://github.com/sysdiglabs/sysdig-platform-cli/releases/tag/v0.7.10
https://sysdiglabs.github.io/sysdig-platform-cli/
v0.16.0 が最新のリリースです。前回のアップデートで取り上げた v0.15.1 以降のアップデートの差分を以下に示します。
https://github.com/sysdiglabs/sysdig-sdk-python/releases/tag/v0.16.0
先月ご紹介したv0.5.14がまだ最新のリリースです。
ドキュメント
v0.1.0はまだ最新のリリースです。
https://github.com/sysdiglabs/vscode-falco/releases/tag/v0.1.0
Sysdig Cloud Connector の v0.7.1 がリリースされました。先月の v0.6.4 から数えて7回目のリリースです。
多くの変更がありました。ここでは、いくつかのハイライトを紹介します:
変更点の詳細は、変更点の一覧をご覧ください。
v3.0.2がリリースされました。以下は、先月取り上げたv3.0.0以降のアップデートの差分です:
https://github.com/marketplace/actions/sysdig-secure-inline-scan
v2.1.8をリリースしました。以下は、先月取り上げたv2.1.7以降のアップデートの差分です。
https://plugins.jenkins.io/sysdig-secure/