Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2023年8月31日にJONATHON CERDA が投稿したブログ(https://sysdig.jp/blog/whats-new-in-sysdig-august-2023)を元に日本語に翻訳・再構成した内容となっております。
「Sysdigの最新情報」2023年8月号をお届けします!テキサス州ダラスを拠点とするJonathon Cerdaです。Sysdigチームが最新の機能リリースをご紹介します。
Sysdig、クラウドセキュリティのための革新的なジェネレーティブAI防御を発表!Sysdig Sageは、クラウドセキュリティのために特別に設計された独自のAIアーキテクチャー上に構築されたジェネレーティブAIアシスタントです。Sysdig Sageは、一般的なAIチャットボットの枠を超え、マルチステップ推論とマルチドメイン相関を採用し、クラウド特有のリスクを迅速に発見、優先順位付け、修復します。また、Sysdigのランタイムインサイトのパワーを活用し、通常であれば検出されないリスクとセキュリティイベント間の隠れたつながりを明らかにします。詳細はこちらをご覧ください。
Sysdigからのさらなるアップデートにご期待ください!
GitHub organizationsは、SysdigエージェントレスCDRで保護されるようになり、サポートされるソースのリストに最初のGitプロバイダが追加されました。GitHubにSysdigアプリをインストールすることで、Falcoを利用した脅威検知機能を有効にすることができます。その方法はドキュメントをご覧ください。また、当社の脅威リサーチチームによって常に提供および維持されているポリシーとルールに加えて、独自のカスタム ポリシーとルールを作成することもできます。
SysdigエージェントレスCDRは、Oktaのサポートを追加することで、対応範囲を拡大しました。Okta organizationsをSysdigに接続し、Falcoのルールで脅威を検知することができます。Falcoのルールのカスタマイズ性とともに、Sysdigは常に更新されるマネージドポリシーとルールを提供します。
Sysdig Secure → Policiesの下に、2つの新しい権限項目が追加されました:
これらの権限項目により、管理者はAPIを含むZonesとPosture Policiesへのアクセスを編集できるユーザを制御できるようになります。
既存のロールは以下の権限で更新されます:
exceptionを適用してルールを調整し、ノイズの多いイベント通知をオフにする、インターフェイスが簡素化され、改善されました。
改善された機能の使い方は Events フィードでご覧ください。Insightsからもアクセスできます。
チームがKubernetesコストを可視化し、最適化できるよう支援するSysdigのジャーニーにおいて、重要なマイルストーンを発表できることを嬉しく思います。Cost Advisorは現在一般的に利用可能で、私たちは重要な改善を行いました。
Sysdigは最近、ユーザーが手動でアラートのトリガーを解決できる新機能を導入しました。この機能強化により、ユーザはアラート解決プロセスを直接制御することができます。さらに、Sysdig Monitor には、孤立したアラートの発生を自動的に非アクティブ化する機能が含まれるようになりました。孤立したアラート発生とは、データのレポートがなくなったエンティティによってトリガされたアラートのことです。この自動無効化プロセスにより、Sysdig Monitor に積極的にデータを提供しているエンティティからのみアラートが発生するようになります。例えば、数ヶ月前に廃止されたデータベースによってアラートがトリガーされる状況を防御し、潜在的な混乱を排除します。
さらに、Sysdig Monitor には、PromQL アラート用のアラート解決遅延機能が搭載されました。この機能は、アラート条件が正式に解決されたとマークされる前に、ユーザー定義の期間解決されたままでなければならないという要件を課すことによって、ノイズの多いアラート解決を抑制するように設計されています。この機能により、解決プロセスに精度の高いレイヤーが追加され、より効率的なアラート管理ワークフローが実現します。
Metrics Usageは、2つの新機能(総時系列カウントパネル、時系列変化とラベル探索のメトリクス毎)に更新されました。
Sysdig エージェントでControl groups v2 (cgroups v2) がサポートされるようになりました。特に、cgroups v2 を使用する場合、v1 フリーザサブシステムがマウントされないため、互換性の問題が発生する可能性があります。
Sysdig Agent はデフォルトで、ノードに設定された node-role.kubernetes.io/*
ラベルを収集できます。
sysctl -n fs.fanotify.max_user_groups
ファイルを開き、 sysctl -w fs.fanotify.max_user_groups=<new_limit>
を使用して新しい値を設定します。cat /proc/sys/fs/fanotify/max_user_groups
ファイルを開き、 echo <new_limit> > /proc/sys/fs/fanotify/max_user_groups
を実行します。 <new_limit>
を任意のコンテナリミットに置き換えてください。Sysdig Agentからコンプライアンスマネージャー機能が削除されました。この機能はサポートされなくなり、セキュリティ監査で脆弱性があることが判明しました。これらの理由により、この機能は削除されました。
Prometheus k8s-podsジョブの設定が変更され、実行中でないPodからのスクレイピングが削除されるようになりました。
システム全体がFIPS準拠モードでなくても、エージェントがFIPS準拠(連邦情報処理標準)モードを有効にできるようになりました。
Sysdig Agent は、コレクターが切断されたときに、未承認のポリシーイベントの再送を試みます。
Secure modeとSecure_light modeでは、追加のメトリクスが収集されます。secure および secure_light モードの protobuf 出力に、ネゴシエートされたメトリクス間隔に重み付けされた aggrSamplingRatio 集計フィールドが含まれるようになりました。
v0.7.14が最新リリースです。ツールの使用方法と以前のバージョンのリリース・ノートは、次のリンクから入手できます:
https://sysdiglabs.github.io/sysdig-platform-cli/
Python SDKはv0.16.6のままです。
Terraform Provider 1.12.0をリリースしました。このリリースには以下が含まれます:
https://docs.sysdig.com/en/docs/developer-tools/terraform-provider
v0.1.0が最新リリースです。
https://github.com/sysdiglabs/vscode-falco/releases/tag/v0.1.0
新しいCloud Connectorは、helm chart 0.8.2で(v0.16.47)に変更されました:
新しい Admission Controller のリリース (3.9.25) は、helm chart 0.11.3 です。
Sysdig CLI Scannerがv1.5.1に変更されました。
--json-scan-result
パラメーターを指定して cli-scanner を実行すると、JSON キーの深刻度が大文字で表示されなくなりました。例えば:
"vulnTotalBySeverity": {
"Critical": 2,
"High": 65,
"Low": 24,
"Medium": 107,
"Negligible": 417
},
Code language: JavaScript (javascript)
...以下に変更されました:
"vulnTotalBySeverity": {
"critical": 2,
"high": 65,
"low": 24,
"medium": 107,
"negligible": 417
},
Code language: JavaScript (javascript)
この変更は、次のJSONオブジェクトに影響します:
vulnTotalBySeverity
fixableVulnTotalBySeverity
https://docs.sysdig.com/en/docs/sysdig-secure/vulnerabilities/pipeline/
最新リリースはv3.5.0で変更はありません。
https://github.com/marketplace/actions/sysdig-secure-inline-scan
Sysdig Secure Jenkins Pluginのバージョンはv2.3.0のままです。
https://plugins.jenkins.io/sysdig-secure/
Prometheus Integrationのバージョンは1.16.0のままです:
https://github.com/draios/prometheus-integrations/releases/tag/v1.16.0
インテグレーション:
istio_build
と pilot_proxy_convergence_time_bucket
のメトリクスを保持するようにしました。On-prem release v6.4が最新リリースです!
サポートされるアップグレード元:5.0.x、5.1.x、6.x
完全なサポート可能性メトリクスについては、リリースノートを参照してください。このリポジトリには、オンプレミスでのインストール手順も含まれています。
ここ数ヶ月の間に、いくつかのバージョンのルールがリリースされました。以下は、直近のルールの変更に関するリリースノートです。
https://docs.sysdig.com/en/docs/release-notes/falco-rules-changelog/
Launch Root User Container
ルールの誤検知を削減しました。AWS ECS Create Task Definition
AWS RDS Master Password Update
AWS IAM Credential Report Request
network_tool_binaries
リストを改善しました。accept4 syscall
のサポートを追加しました。以下のルールを追加しました:
AWS ECS Create Task Definition
AWS RDS Master Password Update
AWS IAM Credential Report Request
Azure RDP Access Is Allowed from The Internet
ルールの条件を改善しました。Azure SSH Access Is Allowed from The Internet
ルールの条件改善ポリシーから AWS IAM Credential Report Request
ルールを削除しました。
Write below root
Set Setuid or Setgid bit
Possible Backdoor using BPF
Non sudo setuid
Launch Sensitive Mount Container
Fileless Malware Detected (memfd)
ルールのoutputを改善Sysdig Runtime Notable Eventsポリシーから Packet socket created in container
を削除しました。
Execution from /tmp
Launch Privileged Container
Packet socket created in container
Packet socket created in container
Change thread namespace
AWS SSM Agent File Write
AWSルールのダウングレード
Falco 0.35.1がリリースされました。
https://github.com/falcosecurity/falco/releases/tag/0.35.1