Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2020年10月22日にChris Kranzが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-october-2020/)を元に日本語に翻訳・再構成した内容となっております。
Sysdigの最新情報を毎月更新しています。
今月の大きな発表は、CloudTrailとFargateスキャンのサポートに関するものでした。CloudTrailのサポートにより、Sysdig SecureはCloudTrailイベントをインジェストする機能を提供します。これらはランタイムセキュリティエンジンにフィードされ、Falcoルール言語を使用してルールを作成することができます。これにより、コンテナ、プロセス、またはKubernetesランタイムだけでなく、AWSクラウドにもランタイムセキュリティ検出を提供できるようになり、Sysdig Secureの顧客へのリーチが広がりました。CloudTrailは170以上のAWSサービスをサポートしており、Sysdigはこれらのいずれかのアクティビティを検出する機能を提供しています。私たちの初期の例では、IAMで特権ユーザーを作成したり、TLSを使わずにロードバランサーを作成したり、パブリックS3バケットを作成したりといったアクションが含まれています。
Fargateイメージスキャンは、DevOpsパイプラインとワークフローに直接フィットします。Sysdigは、Fargateワークロードのセキュリティスキャンを提供するために、いくつかの方法で使用することができます。自動化されたFargateイメージスキャンはここでは新しいものですが、AWSワークロードのカバレッジを提供するすべての方法を再確認する価値があります。
ちなみに、これらのスキャンジョブはすべてローカルで実行できるので、イメージがAWSアカウントを離れることはありませんし、アクセスを公開するように要求されることもありません。
セキュリティが向上し、egressコストを節約できます。
先月発売したばかりのものだけではないので、パートナーのページでAWSとの連携を確認してみてください!
いつものように、製品アップデートの詳細については、リリースノートを確認し、また、ここに記載されている内容についてご質問がある場合は、お近くのSysdigのお問い合わせ先にご連絡ください。
イベントの転送にKafka と Webhook が追加されました。
Sysdig Secure Event Forwarderに新たにサポートされた2つの統合が追加されました。
Kafkaトピックの統合には、以下のサポートが含まれています。
Webhook の統合には、以下の機能が含まれています。
お客様はどのようにこれを使用しているのか
このリクエストは、複数のソースからのセキュリティイベントを一元化されたプラットフォームに集約したいと考えているお客様からのものでした。これは、可視性と管理のための集中型SIEMを可能にするためのものでしたが、分析目的でこれを行っているお客様も複数いらっしゃいます。Kafkaストリームは、さらなる分析のためにビッグデータ/データウェアハウスプラットフォームにセキュリティイベントを保存するために使用することができます。
脆弱性例外処理の強化
Sysdig Secure の脆弱性例外機能が再設計され、強化されました。
これにより、以下の機能が提供されるようになりました。
移行:機能アップグレード後も、現在の環境での例外や評価の動作は維持されます。特に以下の点に注意してください。
脆弱性例外とグローバルリストの管理も参照してください。
お客様はどのようにこれを使用しているか
脆弱性を評価したり、その脆弱性を緩和するためのさまざまな方法を検討したりする間、一時的な例外を許可したいというフィードバックをいただいたお客様もいました。私たちが見てきた多くの脆弱性は、使用されていないライブラリや引退したライブラリに由来しているため、お客様は、次のスプリントで更新されたイメージがプッシュアウトされるまでの間、一時的な例外を適用できるようにしたいと考えていました。
多くの顧客は、特定の脆弱性を分析した後、追加の緩和策を実施し、潜在的な脅威が無視できる程度であると判断したために、より恒久的な例外要件を設定しています。監査を受ける際には、例外を設けるだけでは何の役にも立たないので、例外にメモを追加できる機能は非常に重要であり、何が行われたのか、なぜ特定の除外ルールが導入されたのかを誰もが理解できるようにすることを意味しています。
そしてもちろん、事業部門によってルールは異なります。当社の顧客の多くは金融サービスのため、特定のインフラストラクチャーのワークロードでは例外を追加しても問題ないかもしれませんが、金融データやカード決済サービスなどを扱うアプリケーションでは、異なるルールのセットが必要になることがよくあります。ビジネスの異なる領域に適用するための異なるルールを柔軟に作成できることは非常に重要であり、Sysdigではいつものように、Kubernetesやコンテナイメージリポジトリ、コンテナやホスト自体に既に存在するネイティブラベルを使用することができます。
Sysdigは、クラウドネイティブの運用セキュリティエンジンをデプロイするCloudFormation Templateの一般提供を開始しました。AWS CloudTrailとFalco言語を活用することで、AWSアカウントの予期せぬ動作や不要な動作を検知することができます。
Sysdig Cloud Connectorは、AWSアカウントのガバナンス、コンプライアンス、運用監査、リスク監査を可能にするための真実のソースとしてAWS CloudTrailを活用しています。
インフラストラクチャーリソース上のすべてのAPIアクションは、CloudTrailエントリのセットとして記録されます。統合がインフラストラクチャにデプロイされると、Sysdig Cloud Connectorはこれらのエントリをリアルタイムで分析し、柔軟なセキュリティルールに照らし合わせてフィルタリングすることでAWSの脅威を検知します。
このリリースに含まれる検出ルールの例:
Sysdig Cloud Connectorでは、AWS CloudWatchやAWS Security Hubへのセキュリティ調査結果の送信など、いくつかの通知オプションが用意されています。設定しておけば、クラウドコンソールから離れることなくセキュリティイベントを把握することができます。
参照:https://sysdiglabs.github.io/cloud-connector/
お客様はどのようにこれを利用しているのか
これは既存のSecure Runtimeの機能を大きく拡張したもので、まだ非常に新しい機能ですが、すでにAWSアカウントの可視性を得るために利用されています。具体的には、管理者権限を持つ全てのIAMユーザ/ロールの明確な記録を必要とする監査要件や、全てのロードバランサがTLSを使用しているかどうかを検証するために使用されています。これは、コンプライアンス要件のボックスのいくつかをチェックするのに非常に有用であると言われています。
Sysdigは、AWS Elastic Container Service (ECSまたはFargate)を使用して作成されたタスクに使用されているベースイメージを自動的に分析するためのSysdigインラインスキャン機能を活用した新しい統合機能の一般提供を発表しました。
CloudFormationテンプレートを使用した簡単なデプロイメント - 必須のパラメータはSysdig APIトークンのみです。
インラインスキャンがAWSアカウント内に常駐しているため、セキュリティの向上が期待できます。
AWS ECS/Fargateに新しいタスクをデプロイするたびに、EventBridgeイベントがトリガーされ、lambda関数がCodeBuildパイプラインジョブでどのイメージを解析する必要があるかを解析します。
お客様はどのようにこれを利用しているのか
何人かのお客様がこの機能を楽しみにしていたので、すぐに使い始めました。当社のECRとCodePipelineの統合と組み合わせることで、Fargateで実行されるワークロードの最も一般的な脅威モデルまでカバー範囲が広がります。コンテナがどこから来たかに関係なく、Sysdigはこれをカバーしています。
これは、複数のアカウントがある大規模な環境でも素晴らしいと聞いていますし、一部のアカウントはより自由にアクセスできるので、様々な外部ソースからイメージを引き出すことができます。これは、外部または代替のレポから来たものであっても、Fargateで実行されるすべてのものがスキャンされたことを確認するための保護の最終ゲートを提供します。当社の顧客の中には、ユーザーが好むレポやビルドパイプライン技術を選択できるようにしているところもあります(または、企業の合併や買収による複数の技術を扱っているところもあります)。これにより、最終ゲートを提供することができるので、Sysdigをすべてのビルドパイプラインやリポジトリに統合していなくても、管理されていないリポジトリをサポートする必要があっても、コンテナが環境内で実行された後にイメージスキャンによる保護を受けることができます。
これは、規制コンプライアンス検証エンジンの最初のリリースです。このリリースには、イメージスキャン、Falcoルール、ランタイムポリシー、キャプチャー、トポロジーマップなどの機能を使用してSysdigがカバーしているPCI-DSSコントロールチェックが含まれています。このリリースにより、将来的には他の規制コンプライアンスフレームワークへの拡張が可能になりますが、この最初のリリースではPCI-DSSに焦点を当てています。
この新機能は、Sysdigが提供するカバレッジに対して様々なコンプライアンスコントロールをマッピングし、カバレッジが現在満たされていない場合には、カバレッジを提供する方法を示すガイダンスを提供します。このレポートは、現在のコンプライアンスの状態を迅速に把握できるように設計されており、監査人が実施されているコントロールを検証するために使用することができます。
この機能は10月12日の週に完全リリースされる予定で、現在は限定リリース中です。これを読んでいてこの機能が有効になっていないが、テストしてみたいという方は、Sysdigの担当者に連絡してみてください。
お客様はどのようにこれを使用しているか
金融サービスのお客様からは、これは非常に便利な機能であり、コンプライアンスの義務を追跡するために使用して、自分たちが思っていた通りのカバレッジを確保しているかどうかを確認していると聞いています。お客様からは、現在のコンプライアンス態勢とエクスポージャーを継続的に最新の状態で把握することは、自社のビジネスにとって不可欠であり、また監査人が求め始めていることでもあるとのお声をいただいています。いくつかの組織では、現在、無作為化された内部監査を実施しているため、コンプライアンスダッシュボードは、コンテナ化された環境のコンプライアンスを証明するための非常に有用なツールであることが証明されています。
Falcoルールの最新バージョンはSysdig 0.10.0です。
新しいタグが追加され、要件やユースケースに関連するルールを簡単に見つけることができるようになりました。
ルール変更(執筆時点で最新の0.10.0と先月取り上げた0.8.3との差分)
サービスディスカバリーは、クラスターや環境内のメトリクスをスクレイプするエンドポイントを見つける方法です。エージェントv10.5.0では、SysdigはネイティブのPrometheusサービスディスカバリーをサポートしています。Sysdig の prometheus.yaml ファイルに、バニラの Prometheus で行うのと同じように、任意の設定を追加することができます。これをPromscrape v2と呼んでいます。
今までは、Sysdigエージェントは prometheus: セクションの下にある dragent.yaml の process_filter ルールを使って、どのエンドポイントをスクレイプするかを自動的に検出していました。
現在は、 dragent.yaml の prometheus: セクションの prom_service_discovery: true で Prometheus native Service Discovery が有効になっている場合、新バージョンの Promscrape は、設定された prometheus.yaml を使用して、スクレイプするエンドポイントを検出します。
デフォルトの prometheus.yaml は Sysdig エージェントコンテナと弊社のドキュメントサイトにあります。カスタマイズしたい場合は、外部ボリューム、通常はKubernetes ConfigMapを通してマウントすることをお勧めします。
Promscrape v2は、Federationを介して既存のPrometheusサーバからメトリクスを収集したり、blackbox-exporterで典型的に使用されるマルチターゲットエクスポーターパターンなどの高度なユースケースをサポートするために、あらゆるタイプのスクレイピング設定をサポートしています。
完全な設定オプションと詳細については、Sysdigのドキュメントを参照してください。
お客様がどのように使用しているか
PrometheusをSysdigで使用する際には、ネイティブの互換性を維持しつつ、可能な限り簡単に使用できるようにしたいと考えています。この設定方法では、フェデレーションとマルチターゲットエンドポイントを主な使用例として、バニラのPrometheus環境で使用するのと同じ設定を維持することができます。
私たちは、何千もの時系列を放出するアプリケーションを持っていて、そのアプリケーションが必要としていないという話を何人かの顧客から聞いています。不要なメトリクスを削除するルールを簡単に作成できることで、重要なメトリクスに集中しやすくなり、スケーリング能力が向上します。
また、リラベル化により、アプリケーションやエクスポート先でのメトリクスの表示方法をチームに変更してもらうことなく、Prometheusのメトリクスをインジェストすることができます。再ラベリングにより、類似のメトリクスに対して異なるラベリング規約を使用している可能性のある、異なる環境やビジネスユニット間でのパリティをもたらすための変更を導入することができます。これにより、比較が容易になります。
Sysdig Agentの最新リリースは10.5.1です。以下は前回のアップデートで取り上げた10.4.1からのアップデートの差分です。このエージェントリリースにはいくつかの重要な修正があり、できるだけ早く10.5.xにアップグレードすることを強くお勧めします。もし :latest を使用していない場合は、デーモンセットを編集して、これを再適用し、ポッドを再起動してください。
Helm Chart 1.10.1がリリースされ、Agent 10.5.1に対応しました。前述の通り、アップグレードをお勧めします。
今月、バージョン0.1.3と0.1.4がリリースされました。最近の修正のほとんどは内部的なもので、より効率的にしたり、レガシーなコードやライブラリをクリーンアップしたり、Google COSのサポートを拡大したりしています。
まだノードイメージアナライザーを使ったことがない方には、ぜひお勧めします。ノードイメージアナライザーは、アナライザーがインストールされているホスト上で実行を開始するとすぐにイメージをスキャンする機能を提供します。通常はSysdigエージェントコンテナと一緒にインストールされます。このコンポーネントは、Sysdigバックエンド(SaaSまたはオンプレミス)内でのイメージ分析への依存度を減らすために導入されました。いくつかの利点があります。
ノードアナライザがインストールされていれば、実行中のイメージスキャンを手動でトリガーする必要がなくなります。
ノードイメージアナライザーは、Sysdigエージェントのインストールの一部としてインストールすることができます。
今月1.0.4をリリースしました。以下の変更が行われました。
v0.4.6、v0.5.0、v0.6.1がリリースされ、以下のアップデートが含まれています。
sdc-cli scanning vulnerability add_exception sdc-cli scanning vulnerability del_exception sdc-cli scanning vulnerability get_info sdc-cli scanning vulnerability bundle list sdc-cli scanning vulnerability bundle add sdc-cli scanning vulnerability bundle del
sdc-cli scanning vulnerability bundle get
https://github.com/sysdiglabs/sysdig-platform-cli/releases/tag/v0.5.0
https://sysdiglabs.github.io/sysdig-platform-cli/
v0.12.0とv0.13.0がリリースされ、以下のアップデートが含まれています。
アクセスキーのサポートを追加
SdScanningClientに脆弱性の詳細メソッドを追加しました。
SdScanningClient用の脆弱性例外メソッドを追加しました。
ダッシュボード v3 のサポートを追加
SdMonitorClientをバージョンv2とv3の両方からDashboardClientのものに分割します。デフォルトでは、SdMonitorClientはDashboardClientV3を継承するようになったため、すべてのインターフェイスを実装していますが、以下のメソッドでシグネチャーが変更されています。
https://github.com/sysdiglabs/sysdig-sdk-python/releases/tag/v0.13.0
v0.5.0がリリースされ、以下のアップデートが含まれています。
Promcat.ioは、Sysdigがお客様に全面的なサポートを提供するPrometheusエクスポーターのキュレーションセットです。これは公開されているので、お客様以外の方でも利用することができますが、正式なサポートは提供できません。
以下の新しいPrometheusエクスポーターが追加されました。
また、以下のような機能強化を行いました。
イメージスキャンアラートから未スキャンイメージをスキャンするアクションを削除します。代替方法(インライン スキャンとノード イメージ アナライザを含む)は、スキャンされていないイメージをスキャンするためのより高速で安全な方法を提供します。
ブログ (日本語)
