コンテナ・Kubernetes環境向けセキュリティ・モニタリング プラットフォーム

本文の内容は、2021年5月25日にChris Kranzが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-may-2021)を元に日本語に翻訳・再構成した内容となっております。

毎月恒例のSysdigの最新情報をお届けします。Eid Mubarak! 私たちのチームは、すべてのお客様に素晴らしい新機能を自動的に、そして無料で提供するために努力を続けています。

最も重要なのは、最近の資金調達です。資金調達の詳細については、こちらをご覧いただきたいと思います。しかし、私たちは、資金を調達してお客様にお届けできる新機能の改善に大いに期待しています。

5月は、KubeCon、SUSECON、DockerConのバーチャルイベントが開催されるなど、イベントの多い月でした。今回は、KubeCon、SUSECON、DockerConのバーチャルイベントが開催されました。これらのイベントに参加できなかった方は、ほとんどの録画をオンラインで見ることができます。KubeConでの個人的なハイライトをいくつかご紹介します：

• 初心者のためのKubernetesセキュリティへのハッキング
• We Didn't Start the Fire: コミュニケーション・ブレークダウンとそれを防ぐ方法
• Shaping Kubernetes Community Culture
• KubernetesにおけるIsolationレベルの理解
• CNCFのサンドボックス。探検とガイドツアー
• FalcOMG それは素晴らしい

製品アップデートの詳細については、リリースノートをご覧ください。https://docs.sysdig.com/en/release-notes.html また、ここで取り上げた内容についてご質問がある場合は、お近くのSysdigの担当者にお問い合わせください。

Sysdig Secure

ISO27001:2013とHIPAAに対応した規制コンプライアンスが登場

Sysdig Secureのコンプライアンス機能に、新たに2つのコンプライアンス規格が追加されました。

• ISO27001:2013
• HIPAA (医療保険の相互運用性と説明責任に関する法律)

こちらもご覧ください：各セキュリティ規格でSysdigがカバーする具体的なコントロールについては、「コンプライアンス」を参照してください。

ホストOSとコンテナのスキャンツールが新しくなりました。

Sysdigでは、お客様のセキュリティ対策とコンプライアンスの向上に努めています。この取り組みの一環として、ホストのベンチマーク結果を生成するための新しいフレームワークの導入、ホストスキャンの導入、イメージスキャンメカニズムのバックエンドの改善を行っています。

インストール手順

この新機能を利用するには、ノードアナライザーと呼ばれる新しいコンポーネントをインストールする必要があります。インストールを自動化したり、既存のNode Image Analyzerデーモンセットをアップグレードするためのインストールスクリプトを提供しています。

コンポーネントをインストールまたはアップデートすると、UIには自動的にホストスキャンと新しいベンチマークの機能が表示されます（従来のベンチマークにもアクセスできます）。

ホストスキャン：新機能

コンテナイメージをスキャンするSysdig Secureの豊富なツールに加えて、ホストもスキャンできるようになりました。

• ホストをスキャンして、脆弱性や詳細なSoftware Bill of Materials (SBoM)を確認できます
• OS（例：rpm）および非OS（例： ,Java, Ruby, Python）パッケージのサポート
• スキャン結果の比較と差分

ホストベンチマーク ：アップデート

• より多くのチェック
• より良い結果が得られます
• クラスター化された集計。単一の環境だけでなく、お客様の環境のポスチャーを把握することができます

イメージスキャン：アップデート

• スキャンされていないイメージを自動的にスキャンします。

Falcoルール

v0.16.0が最新バージョンです。以下は、先月取り上げたv0.12.1からの変更点のdiffです。

これらのバージョンの間には、膨大な数の変更がありました。これには以下が含まれます：

• Launch Root User Containerなどの新しいルール
• 共通のマイナープールポートへのアウトバウンド接続の検出のような既存のルールの変更は、追加の既知のマイナードメインをチェックするようになりました
• 多くのルールに追加された例外フィールド
• 多くのルールに影響を与えることになるマクロの変更。例えば、spawned_processが成功した実行ファイルのみを考慮するようになりました

これらの更新の全範囲は、Falco ルールの変更ログで確認してください。

Sysdig Monitor

アラート通知の消音

Sysdig Monitorでは、指定した範囲のアラート通知を事前に定義した時間の間、消音させることができ、事前に消音をスケジュールすることができます。消音されても、アラートはトリガーされ、イベントフィードやグラフオーバーレイに投稿されますが、消音されたことが表示されます。使用できる通知チャネルの種類は、Eメール、Slack、Amazon SNSです。

通知は、消音ウィンドウの開始時間の30分前と終了時間の30分前に行われます。また、アクティブな消音を簡単に延長または終了することができます。この機能にアクセスするには、Monitor UIの Alerts > Silence に移動します。

詳細は、サイレンスアラート通知を参照してください。

ワークロードラベル

Sysdig Monitorは、kubernetes.workload.nameとkubernetes.workload.typeという2つの新しいラベルをサポートしており、ダッシュボードのスコープやグルーピングの設定に使用できます。


これまでは、オブジェクトの種類（デプロイメント、レプリカセット、ステートフルセットなど）ごとに固有のものがありました。そのため、異なるタイプのKubernetes Dashboardsと異なるGroupingを使用する必要があり、その結果、異なるタイプのKubernetesオブジェクトがリストアップされるn/aが発生していました。

詳細については、Unified Workload Labels を参照してください。

新しいKubernetesダッシュボード

Available Resources Calculator：新しいアプリケーションをデプロイするのに十分なキャパシティがクラスターにあることを確認します。

Application Status & Overview：パフォーマンス、ポッドの健全性、およびリソースの使用状況を監視することで、クラスター内で実行されているアプリケーション（ワークロード）の状態を把握することができます。

Cluster Capacity Planning：Kubernetesクラスターのキャパシティを監視し、新しいアプリケーションのデプロイ時にサポートできるよう、クラスターのサイズが適切であることを確認します。

Container Resource Usage & Troubleshooting：インフラストラクチャー上のポッドで実行されているさまざまなコンテナのパフォーマンスを把握し、異常な動作をしているコンテナを特定します。

Node Status & Overview：クラスターで実行されているノードの健全性、リソース使用状況、ネットワーク統計を監視します。

Pod Rightsizing & Capacity Optimization：ポッドのサイズが正しく設定されていることを確認することで、インフラストラクチャーを最適化し、クラスターの支出をより適切にコントロールします。メモリやCPUのリクエストを減らすことで、リソースを解放できるかどうかを理解できます。

Pod Scheduling Troubleshooting：リソースが不足しているためにポッドをスケジューリングできない場合、このダッシュボードを使用して、リソースのボトルネックがどこにあるかを特定します。

Pod Status & Overview：ワークロードの一部として実行されているポッドの健全性、リソース使用量、ネットワーク統計を監視します。

拡張ラベルセット

拡張ラベルセットにより、PromQLクエリーの実行がよりスムーズかつ高速になりました。拡張ラベルセットは、入力データにインフラに関連する豊富なメタデータを追加し、PromQLで利用できるようにすることで作成されます。インフラの問題をトラブルシューティングしたり、ダッシュボードやアラートを構築するために、複雑なクエリーを書く必要がなくなりました。詳細については、Run PromQL Queries Faster with Extended Label Set を参照してください。

Microsoft Team チャネル

Microsoft TeamsをSysdig Monitorの通知チャネルとして使用できるようになりました。


詳しくは、Microsoft Teamsチャネルの設定をご覧ください。

オンプレミス向けキャプチャーファイルのS3互換ストレージ

Sysdig Monitorでは、MinioやIBM Cloud Object StorageなどのS3互換ストレージをSysdigのキャプチャーファイルの保存先として設定することがサポートされました。この機能は、(SaaS) カスタムS3ストレージ・エンドポイントの設定 にあるように、システムを適切に設定することでオンにすることができます。

Webhookチャネルの強化

Sysdigは、Webhookチャネルの統合において以下をサポートします：

• Insecure connections：TLSの検証をスキップすることができます。
• Custom headers：Webhook統合で追加のヘッダやデータが必要な場合、UIでカスタムヘッダを使用してアラートフォーマットに追加することができます。このオプションは、カスタムヘッダーをプログラム的に追加する既存のAPI機能に加えて使用します。

詳細については、Webhook チャネルの構成 を参照してください。

LogDNAのアラートをSysdigのイベントとして表示する

LogDNAとSysdigの両方を使用している環境では、関連するLogDNAアラートをSysdigのイベントとして表示することができます。これらのSysdigイベントは、Sysdigの他のタイプのイベントと同様に動作します。イベントはSysdigのグラフに重ねて表示され、イベントフィードにリストアップされ、Sysdig Platformでアラートを作成するのに使用できます。イベントの詳細で提供されるリンクは、さらなる調査が必要な場合に備えて、LogDNAプラットフォームにリダイレクトされます。詳細については、LogDNAイベント を参照してください。

Sysdig Agent

Sysdig Agent

Sysdig Agentの最新リリースは11.2.1です。以下は、前回のアップデートで取り上げた11.1.2以降のアップデートの差分です。

• コンテナユーザ情報の報告
  • コンテナのユーザ情報のトラッキングを開始し、その情報をコンテナイベントでアクセスできるようにしました。これらのイベントは、コンテナが開始されたことを示します。この機能は、DockerおよびCRI-Oコンテナエンジンに対応しています。
  • コンテナユーザー情報の報告は、必要なCRI-O情報を提供しないため、OpenShift 4.xでは機能しません。
• エージェントコンソール
  • Sysdigは、エージェントをトラブルシューティングするためのコマンドラインインタラクティブツールであるAgent CLIをサポートしています。このツールは、Sysdigのサポートがユーザの問題を迅速かつ効率的に解決するのに役立ちます。現在、デフォルトでは無効になっており、お客様にオンにしていただく必要があります。
  • 詳細は、エージェントコンソールの使用 を参照してください。
• IKS用Slimエージェント
  • OCP の場合は、OCP 用の新しいデーモンセットを使用します。
  • IKS の場合、エージェントは IKS Agent Script を使用してデフォルトでインストールされます。
  • フルエージェントをインストールするには、-af オプションを使用します。
• Kubernetes APIサーバーの負荷軽減
  • Kubernetes APIサーバーの負荷を軽減するために、終了したポッドが収集されなくなりました。
• 監査サーバーがすべてのインターフェイスをリッスン
  • 監査サーバーは、デフォルトでKubernetes監査イベントのすべてのインターフェイスをリッスンするようになりました。これにより、構成を変更することなく、エージェント内のKubernetes監査イベントとの統合が容易になります。
• アクティビティ監査のノイズリダクションフィルタの改善
  • アクティビティ監査のノイズリダクションフィルタが改善されました。フィルタリングされたデータはすべて重複します。
• CRI-Oのバージョンが正しいイメージIDを報告するようになりました。
  • 新しいCRI-Oバージョン（1.19+、おそらく1.18）では、container.image.idが正しく報告されるようになりました。
• 重複したホストコンテナグループのログレベルの変更
  • 重複するホストコンテナグループに関するログを警告からデバッグレベルに降格しました。
• CVE-2021-28831の修正
  • Slim Agent コンテナの CVE-2021-28831 を修正しました。

Sysdig Serverless Agent

最新の Sysdig Serverless Agent のリリースは 1.0.1 です。以下は、前回のアップデートで取り上げた1.0.0以降のアップデートの差分です。

• セグメンテーションフォールトエラーの修正
  • Sysdigのインスツルメンテーションにより、Fargateタスク内でSegmentation Faultエラーが発生する問題を修正しました。
• コンテナの定義フィールドが複雑な値をサポート
  • コンテナ定義のNameとImageフィールドの中に複雑な値をサポートするようになりました。AmazonのECS Task Definitionのドキュメントも参照してください。

Sysdig Agent - Helm chart

Helm Chart 1.12.1が最新バージョンです。以下は、前回のアップデートで取り上げたv1.11.11以降のアップデートの差分です。

• デフォルトのレジストリを docker.io から quay.io に変更しました。
• ベンチマークランナーを1.0.6.0に更新しました。
• ホストアナライザーのConfigmapのエラーを修正しました。
• ノードアナライザーを追加（nodeAnalyzer.deployをデフォルトでtrueに設定）。
• 全てのノードアナライザーの設定をvalues.yamlとREADMEで説明し、Sysdigの公式ドキュメントにリンクしました。
• ノードイメージアナライザーのデプロイを無効にしました (デフォルトでは nodeImageAnalyzer.deploy は false に設定されています)
• エージェントを11.2.1に更新しました。
• nodeImageAnalyzer.extraVolumes.volumeが正しくボリュームを作成しない問題を修正しました。
• 新しいオプションsysdig.existingAccessKeySecretにより、既存または外部のシークレットを使用できるようになりました。
• README.awsのhelm installの-nameインストールパラメータを削除しました。
• README.awsのhelm install用の-nameインストールパラメータを削除しました。このパラメータはHelm 3.xではサポートされていません。
• プローブのinitialDelayを修正しました。

https://charts.sysdig.com/

ノードイメージアナライザー

バージョン0.1.12はまだ最新のリリースで、前回のアップデートで取り上げました。

ノードイメージアナライザーはSysdig Agentのインストールの一部としてインストールできます: https://docs.sysdig.com/en/scan-running-images.html

インラインスキャンエンジン

v2.4.1が最新のリリースです。以下は、前回のアップデートで取り上げたv2.4.0以降のアップデートの差分です。

• ClamAV 0.103.2に更新しました。

こちらもご覧ください：CI/CDツールとの統合。

SDK、CLI、ツール

Sysdig CLI

v0.7.10が最新のリリースです。以下は、前回のアップデートで取り上げたv0.7.8以降のアップデートの差分です。

• 取得できるイメージの内容を増やしました。
• スキャンしたイメージがフォーマット時にエラーを返す問題を解決しました。

https://github.com/sysdiglabs/sysdig-platform-cli/releases/tag/v0.7.10
https://sysdiglabs.github.io/sysdig-platform-cli/

Python SDK

v0.16.0 が最新のリリースです。前回のアップデートで取り上げた v0.15.1 以降のアップデートの差分を以下に示します。

• SdScanningClient: query_image_contentメソッドを強化し、より多くのコンテンツタイプのサポートを追加しました。
• SdScanningClient: list all image tagsメソッドを追加しました。

https://github.com/sysdiglabs/sysdig-sdk-python/releases/tag/v0.16.0

Terraform provider

先月ご紹介したv0.5.14がまだ最新のリリースです。

ドキュメント

Falco VS Code extension

v0.1.0はまだ最新のリリースです。

https://github.com/sysdiglabs/vscode-falco/releases/tag/v0.1.0

Sysdig Cloud Connector (Sysdigクラウドコネクター)

Sysdig Cloud Connector の v0.7.1 がリリースされました。先月の v0.6.4 から数えて7回目のリリースです。

多くの変更がありました。ここでは、いくつかのハイライトを紹介します：

新機能

• Fargate用のルール
• 新しいAWS AppRunnerのルール
• GCP AuditLogイベントに詳細なスコープ情報を追加
• GCP CIS Foundation用を含む、GCP用のルールの数々
• K8s用のFalcoルールを0.28.0にアップグレードしました
• スコープをエバリュエータで処理し、セキュアノティファイアで処理しないようにしました
• Admission Controller用のpod exec / attachおよびprivate credentialsのconfigmapルールを追加しました

バグ修正

• バケットが存在するかどうかをチェックするのに、bucket.Attrsを使わないようにしました
• 出力フィールドにJSONPointerのエスケープ文字とダッシュを許可する
• GCP Cloud Runでは、/binのバイナリは動作しません
• フィールド間にスラッシュがある出力を修正しました
• コマンドが存在しない場合のパニックを回避します
• ポッドの場合、ka.resp.nameとしてtargetNameを追加します
• in演算子との互換性を強化しました
• ECS_DEPLOYED 環境変数（タイプ）を尊重する

変更点の詳細は、変更点の一覧をご覧ください。

Github Actions用のSysdig Secure インラインスキャン

v3.0.2がリリースされました。以下は、先月取り上げたv3.0.0以降のアップデートの差分です：

• inline-scanのイメージを上書きするinline-scan-imageオプションを追加しました
• inline-scan container 2.3での出力を修正しました
• 50以上のアノテーションがある場合に、チェックランのアノテーションを作成する際の問題を修正

https://github.com/marketplace/actions/sysdig-secure-inline-scan

Sysdig Secure Jenkins プラグイン

v2.1.8をリリースしました。以下は、先月取り上げたv2.1.7以降のアップデートの差分です。

• 修正: honor buildOnFail パラメータ

https://plugins.jenkins.io/sysdig-secure/

PromCat.io

• MySQLの追加
• CoreDNSの修正
• Cassandraの更新
• Sysdig生成リソースにGLP v3を追加
• エージェントの構成をPromscrape V2に更新
• ドキュメントの全般的な見直し

チェックしてみてください！

新しいウェブサイトのリソース

ブログ　(日本語:sysdig.jp）、(日本語：SCSK Sysdig特設サイト）

• Securing the new AWS App Runner service
• Detecting and Mitigating CVE-2021-25737: EndpointSlice validation enables host network hijack
• Top 10 metrics in PostgreSQL monitoring with Prometheus
• See your logs and metrics together with LogDNA and Sysdig integration
• PromCon Online 2021 highlights
• Kubernetes capacity planning: How to rightsize your cluster
• Digging into AWS Fargate runtime security approaches: Beyond ptrace and LD_PRELOAD
• Unravel the hidden mysteries of your cluster with the new Kubernetes Dashboards
• Securing AWS Fargate workloads: Meeting File Integrity Monitoring (FIM) requirements
• How to monitor Microsoft SQL Server with Prometheus
• Easier and faster PromQL queries with ServiceVision for Prometheus
• Our $188M funding round fuels our mission to help customers confidently run modern cloud applications
• Exploiting and detecting CVE-2021-25735: Kubernetes validating admission webhook bypass
• Monitoring Ceph health with Prometheus
• How to detect EC2 Serial Console enabled
• Mitigating CVE-2021-20291: DoS affecting CRI-O and Podman
• Top 5 key metrics for monitoring Amazon RDS
• Unveil hidden malicious processes with Falco in cloud-native environments

ウェビナー

• Managing Hybrid Container Workloads with ECS/ECS Anywhere
  • May 25, 2021 12pm Pacific | 3pm Eastern
• Take the CKS Exam: Hands-on with Walid Shaari
  • June 10, 2021 9am Pacific | 12pm Eastern

他のリソース

• SANS 2021 Cloud Security Survey
• BlaBlaCar Case Study
• Securing Containers on AWS Fargate Checklist
• （日本語）AWS Fargateチェックリストでコンテナを保護する
• ユーザ事例：株式会社エヌ・ティ・ティ・データ

Sysdigに関するお問い合わせはこちらから