コンテナ・Kubernetes環境向けセキュリティ・モニタリング プラットフォーム

本文の内容は、2022年5月26日にChris Kranzが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-may-2022/)を元に日本語に翻訳・再構成した内容となっております。

2022年も「Sysdigの最新情報」へようこそ! 本ブログは私が編集監督をおこなっています。こんにちは、テキサス州ダラスを拠点に、Sysdig US West Corporateチームで働くセールスエンジニアのウェス・マッケイです。コンテナ化、パーソナルクラウドストレージ、家庭生活の自動化に熱中しています。余暇には、近くの美味しいタイ料理と寿司のレストランをいつも探しています。

今月のハイライトは、トラブルシューティングを迅速に行うための新機能 Sysdig Advisor と、実行時のコードの逸脱を検出する コンテナドリフトです。

Sysdigプラットフォームアーキテクチャー

Sysdig Platform Audit Trail

Sysdig プラットフォームアーキテクチャーは、システム内のすべての変更に関する追跡、ログ記録、レポート機能をサポートするようになったことをお知らせします。これは、すべてのSaaSのお客様に対してデフォルトで有効になっています。また、この機能に対するイベント転送のサポートも近い将来含まれる予定です。

詳細については、SecureとMonitorのリリースノートをご覧ください。

Sysdig for Cloud

Sysdigは、AWS Well Architected Framework Partnersの「セキュリティ管理」カテゴリでバッジを取得し、「管理とガバナンスのクラウド環境ガイド」に追加されました。

Sysdig Monitor

Advisor

Sysdig Monitorの新しいKubernetesトラブルシューティング製品であるAdvisorを発表しました。この製品はトラブルシューティングを最大10倍加速させます。Advisorは、問題の優先順位付けされたリストと関連するトラブルシューティングデータを表示し、最大の問題領域を浮上させ、解決までの時間を加速させます。

現在、Advisorはすべてのお客様が追加費用なしで利用でき、今後数週間のうちにトラブルシューティングの機能が追加される予定です。

強化されたメトリクスストア

Sysdigは、次世代メトリクスストアを立ち上げ、多くの新機能を導入するとともに、Sysdig Monitorの一部の機能を変更・削除しました。

いくつかの改良点は以下の通りです：

• メトリクスは、Prometheusと互換性のある命名規則で統一されました。
• 既存のダッシュボード、アラート、通知は、自動的に新しい命名規則に移行されます。
• クエリーの実行速度が向上し、より大量のデータを処理できるようになりました。
• 数値パネル、テーブル、ヒストグラム、トップリストパネルで、エンティティの最新値を表示できるようになりました。
• 異なるスクレイピング間隔でメトリクスを表示することができます。例えば、10秒と1mを同じグラフに表示することができます。

新機能と変更点の全リストは、リリースノートをご覧ください。

Sysdig Secure

Falcoルール

v0.67.1が最新版です。ここでは、4月に取り上げたv0.50.5からの変更点のハイライトを紹介します。

以下のルールを追加しました：

• コンテナ内のセキュリティソフトウェアに対する改ざん
• ld-linuxを使用したバイナリの実行
• BPFを使用したバックドアの可能性

詳細と完全な変更履歴は、Sysdigのドキュメントでご覧いただけます。

Sysdig エージェント

Sysdigエージェントの最新リリースはv12.5.0です。以下は、前回の更新で取り上げた v12.2.0 以降の更新の差分です。

• Slim エージェントのデフォルトの可用性
• コンテナドリフトコントロール ：コンテナランタイムのドリフトの検出と防止
• セキュアモードの Syscall の無効化

詳細については、v12.5.0 リリースノートを参照してください。

SDK、CLI、ツール

Sysdig CLI

v0.7.14がまだ最新リリースです（ダウンロードリンク）。ツールの使用方法と旧バージョンのリリースノートは、以下のリンクから入手できます。

https://sysdiglabs.github.io/sysdig-platform-cli/

Python SDK

v0.16.3はまだ最新のリリースで、10月のアップデートで取り上げました。

https://github.com/sysdiglabs/sysdig-sdk-python/releases/tag/v0.16.3

Terraform プロバイダー

v0.5.37 が最新リリースです。

ドキュメント - https://registry.terraform.io/providers/sysdiglabs/sysdig/latest/docs

Githubのリンク - https://github.com/sysdiglabs/terraform-provider-sysdig

Terraformモジュール

AWS Sysdig Secure for Cloud: v0.8.2が最新版です。

GCP Sysdig Secure for Cloud: v0.8.5が最新版です。

Azure Sysdig Secure for Cloud: v0.8.0が最新版です。

注：Azure Sysdig Secure for Cloudは、AzureRM Providerの新しいv3.0バージョンに合わせるためのブレークチェンジを含んでいます。

Falco VS Code Extension

v0.1.0が引き続き最新リリースです。

https://github.com/sysdiglabs/vscode-falco/releases/tag/v0.1.0

Sysdig Cloud Connector

Sysdig Cloud Connector は、v0.16.8 にアップデートされました。

特徴は以下の通りです：

• 環境変数でCloud Connectorの設定とlog_levelを設定できるようになりました。
• クラウドリスクアセスメント

詳細については、変更点のリストをご確認ください。

アドミッションコントローラー

Sysdig Admission Controller が v3.9.2 にアップデートされました。

このリリースでは、以下の機能が追加されました。

• デバッグを有効にしない限り、std http サーバーエラーを表示しないようにしました。

ドキュメント - https://docs.sysdig.com/en/docs/installation/admission-controller-installation/

ランタイム脆弱性スキャナー

新しい vuln-runtime-scanner がリリース v1.0.3 に更新されました。

このリリースには、以下の変更が含まれています。

• Kubernetes API で実行されるリクエストの最適化

ドキュメント -

https://docs.sysdig.com/en/docs/sysdig-secure/vulnerabilities/runtime

Sysdig CLI スキャナー

Sysdig CLI スキャナー のバイナリが v1.0.2 に更新されました。

注意：開発環境でローカルスキャンにこのバイナリを使用している場合、またはパイプラインが自動的に最新のバイナリを取得しない場合は、アップデートすることをお勧めします。ドキュメントの指示に従って、最新のバイナリを取得します。CI/CDパイプラインがインターネットにアクセスできる場合は、ドキュメントの手順もパイプラインでうまく機能します。

ドキュメント -

https://docs.sysdig.com/en/docs/sysdig-secure/vulnerabilities/pipeline/

イメージアナライザー

Sysdig Image Analyzerがセキュリティパッチを適用して更新されました。

新しいリリースはv0.1.17です。

ホストアナライザー

Sysdig Host Analyzerは、セキュリティパッチが適用され更新されました。

新しいリリースはv0.1.7です。

ドキュメント - https://docs.sysdig.com/en/docs/installation/node-analyzer-multi-feature-installation/#node-analyzer-multi-feature-installation

Sysdig Secure Inline Scan for Github Actions

v3.2.0がまだ最新リリースで、11月号で取り上げました。

https://github.com/marketplace/actions/sysdig-secure-inline-scan

Sysdig Secure Jenkins Plugin

プラグインの新バージョンがリリースされました。リリースはv2.1.14です。

前回のレポートからの変更点：

• 修正: 接続タイムアウトをカスタマイズし、Pingを許可するようにしました。
• 脆弱性テーブルで深刻度と修正可能のフィルタリング。
• 脆弱性テーブルをcsv形式でダウンロードできるようにしました。
• ポリシーテーブルでポリシー名を表示するようにしました。
• テーブルの生成に必要なjsonファイルが存在しない場合、警告エラーを表示するようにしました。
• docker-java-coreの明示的な依存関係をapache.commons.lang3に追加しました(#52)。
• 一部の環境でクラスが見つからない問題を修正しました。

https://plugins.jenkins.io/sysdig-secure/

Prometheusインテグレーション

インテグレーション：

• feat：セキュリティアップデートのため、新しいエクスポートイメージタグを持つhelm chartを更新しました。
• 修正： PrometheusのデフォルトジョブにPortworxのメトリクスをドロップするフィルタを追加しました。
• 修正： kubelet PVCメトリクスにkube_namespace_nameというラベルを正しく追加しました。
• feat: helmチャートのエクスポーターイメージタグを更新しました。
• feat：Kubeletとkubelet-PVCジョブが送信するメトリクスを最適化しました。
• feat：Kubeletのスクレイプ間隔を1分に拡大しました。
• リファクタリング：KSMヘルムチャートで、ダッシュボードやアラートで不要なKSM記録ルールのリモート書き込みラベルを削除しました。
• 修正：インテグレーションダッシュボード一覧で、ダッシュボード名が表示されることがありました。
  修正：インテグレーションウィザードのドキュメントの改善とタイプミスの修正
  修正： nginx_ingress_controller_nginx_process_cpu_seconds_total のレポートメトリクスが常に存在するため、これを検出する nginx-ingress メトリクスを変更しました。
  修正：IKS クラスターで CoreDNS Prometheus ジョブを検出するように改善しました。
  修正： Prometheusジョブのフィルター内のメトリクスについて、一部のインテグレーションでトラブルシューティングメトリクスを変更しました。

ダッシュボードとアラート：

• feat：トラブルシューティングダッシュボードテンプレートにKubernetesスコープを追加しました。
• feat：レガシーなトラブルシューティングダッシュボードテンプレートのMongoDBとSQLを廃止しました。
• 修正： Kubernetes Node Status & Performance' ダッシュボードから有用でないディスクを削除しました。
• 修正：File System Usage & Performance' ダッシュボードテンプレートにコンテナFSを除外するフィルターを追加しました。また、クラスタスコープを追加し、テーブルパネルの位置を変更しました。
• 修正：ダッシュボードでの誤字："Workload Status & Performance"と "KSM Workload Status & Performance"
• 修正：ダッシュボード "Cluster Capacity Planning"において、"Unused Requested CPU by all Replicas of a container" パネルのメソッドのスコープを削除しました。
• 修正： " Cluster Capacity Planning" ダッシュボードの "Unused Requested CPU by all Replicas of a container" パネルにおけるクエリーの修正
• 修正："PCV and Storage"ダッシュボード・テンプレートの重複ファイルを削除
• 修正： Workload Kubernetesダッシュボードテンプレートのバナー内のテキスト
• feat: OOTB K8sダッシュボードは、パフォーマンス向上のため、"is "と "in "のスコープを使用するように変更しました。ダッシュボードを変更しました：
  • クラスター/ネームスペースの利用可能なリソース
  • クラスターキャパシティプランニング
  • ポッドの適切なサイジングとワークロードキャパシティの最適化
  • ポッドスケジューリングトラブルシューティング
  • Kubernetes HPA
• 修正：クラスターキャパシティプランニングダッシュボードで、特定のパネルにリミット/リクエストのあるコンテナのみが追加されていた。
• 修正：ダッシュボード"Kubernetes CoreDNS"において、一部のパネルで使用されている "job"ラベルを見直しました。

エクスポーターイメージ：

セキュリティアップデートされた新しいエクスポーターイメージ：

• JMX:
  • quay.io/sysdig/promcat-jmx-exporter:v0.16.5
  • quay.io/sysdig/promcat-jmx-exporter:v0.16.5-ubi
• MySQL:
  • quay.io/repository/sysdig/mysql-exporter:v0.13.5
  • quay.io/repository/sysdig/mysql-exporter:v0.13.5-ubi
• Memcached:
  • quay.io/repository/sysdig/memcached-exporter:v0.9.3
  • quay.io/repository/sysdig/memcached-exporter:v0.9.3-ubi
• Nginx:
  • quay.io/repository/sysdig/nginx-exporter:v0.9.3
  • quay.io/repository/sysdig/nginx-exporter:v0.9.3-ubi
• MongoDB:
  • quay.io/repository/sysdig/mongodb-exporter:v0.11.7
  • quay.io/repository/sysdig/mongodb-exporter:v0.11.7-ubi
• ElasticSearch:
  • quay.io/repository/sysdig/elasticsearch-exporter:v1.3.2
  • quay.io/repository/sysdig/elasticsearch-exporter:v1.3.2-ubi
• PostgreSQL:
  • quay.io/repository/sysdig/postgresql-exporter:v0.10.6
  • quay.io/repository/sysdig/postgresql-exporter:v0.10.6-ubi
• Apache:
  • quay.io/repository/sysdig/apache-exporter:v0.10.5
  • quay.io/repository/sysdig/apache-exporter:v0.10.5-ubi
• Redis:
  • quay.io/repository/sysdig/redis-exporter:v1.31.6
  • quay.io/repository/sysdig/redis-exporter:v1.31.6-ubi
• Grok:
  • quay.io/sysdig/grok-exporter:v1.0.2
  • quay.io/sysdig/grok-exporter:v1.0.2-ubi

Promcat.io

• nginx-controllerのセットアップガイドにPrometheusのアノテーションを追加しました。

Sysdigオンプレミス

5.1.0 On-Premise のマイナーリリースが最新です。

リリースノートの全文はこちらをご覧ください：Sysdig ドキュメント または Github

新しいウェブサイトのリソース

ブログ (日本語:sysdig.jp）、(日本語：SCSK Sysdig特設サイト）

• Shift left is only part of secure software delivery
• Improving AWS Security Services with Sysdig Secure
• Killnet Cyber Attacks Against Italy and NATO Countries
• Building on Sysdig's Open Source Foundation
• New release of Sysdig Open Source leverages Falco plugins
• Sysdig Advisor: Making Kubernetes troubleshooting effortless
• Trends at Blackhat Asia 2022 - Kubernetes, Cloud Security and more
• Prometheus 2.35 - What's new?
• Ten considerations for securing cloud and containers
• Hunting AWS RDS Security Events with Sysdig
• Compromising Read-Only Containers with Fileless Malware
• Beekeeper Serves Up Secure Communications, Data, and Applications Across Cloud Environments with Sysdig
• Monitor and troubleshoot Consul with Prometheus

ウェビナー

• Manage Excessive Permissions and Entitlements in AWS
• CIS compliance for Azure
• Automatically Prioritize Vulnerabilities Using Runtime Intelligence
• Container and Kubernetes Security Best Practices: Forensics & Incident Response
• CSPM Best Practices for Multi-Cloud: Beyond Native Tools

トレードショー

• サイバーセキュリティシンポジウム道後 2022
• March 1 - May 20, Cloud Security Demo Forum, Virtual
• April - August, AWS Summit, Americas
• April - May, AWS Summit, Europe, Middle East, Africa
• May 10, Dockercon, Virtual
• May 10-11, Red Hat Summit, Virtual
• May 16, Cloud Native eBPF DAY, Valencia, Spain
• May 16-17, Cloud Native SecurityCon, Valencia, Spain
• May 17, Prometheus Day Europe, Valencia, Spain
• May 17-20, KubeCon, Valencia Spain
• June 6-9, RSA Conference 2022, San Francisco CA
• June 7-9, SUSECON Digital, Virtual
• June 14, DevSec Con 24, Virtual

エデュケーション

• Instrumenting with Prometheus
• Using Prometheus Exporters to Pull Data into Sysdig
• Scrape Prometheus metrics with Sysdig
• Filtering and Relabelling Prometheus Metrics
• Relabelling Prometheus metrics with Sysdig

Sysdigに関するお問い合わせはこちらから