コンテナ・Kubernetes環境向けセキュリティ・モニタリング プラットフォーム

本文の内容は、2021年1月26日にChris Kranzが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-january-2021/)を元に日本語に翻訳・再構成した内容となっております。

Sysdigの最新情報を毎月お届けしています。私たちのチームは、自動的に、そして無料で、すべてのお客様に素晴らしい新機能をお届けするために努力を続けています。何よりもまず第一に、新年おめでとうございます。2020年が私たちのほとんどにとってどれほどひどい年だったかを言及するのは、今では陳腐なことのように思えますが、本当に大変でした。Sysdigのスタッフ一同、2021年があなたに幸運、幸運、幸福、成功（そしてあなたが望むその他のポジティブな結果）をもたらしてくれることを願っています。

今月は、いつも好評の第4回Sysdigコンテナセキュリティと使用状況レポートを発表します。この実世界のデータは、当社のお客様が過去1年間に実行してきた約10億個のユニークなコンテナから、セキュリティリスク、コンテナの利用状況、使用されているサービスについての洞察を提供しています。

このレポートでは、以下のことがわかります。

1. シフトレフトするだけでは十分ではないこと。ランタイムセキュリティも必要です。
2. 新しいコンテナランタイムとレジストリの人気がどれだけ高まっているか。
3. どのようなオープンソースのツールや標準が増えているか。

このレポートをダウンロードして、過去1年間のコンテナの安全性と使用に関して、あなたの組織がどのような状況にあるかを確認してください。

製品アップデートの詳細については、弊社のリリースノートをご覧ください。

Sysdig セキュア

イベント転送ランタイムポリシー

ランタイムポリシーイベントのJSONフォーマットがアップグレードされ、フルスコープ情報、ルールラベル、イベントフィールドのキーと値の1行表現が含まれるようになりました。

既存の統合との下位互換性を維持するために、古いJSONフォーマットを使用することができます（移行時にデフォルトで使用されます）。

Event Forwarder ページの "Data to Send," の下にある古い JSON フォーマットには "Policy Events (Legacy)" というラベルが付けられており、新しいフォーマットには "Runtime Policy Events" というラベルが付けられています。

イベント転送も参照してください。

Sysdig モニター

アラートの改善点

アラートのインターフェイスが改善され、より高速な閲覧と管理が容易になりました。詳細については、アラートを参照してください。

Prometheus Staleness Marker

この機能の重要性は、以前は時系列を人為的に5分延長していたので、Prometheusのメトリクスのno-data条件がより早く検出されることです。スタールネスマーカーについては、こちらの記事で詳しく解説しています。

これは何を意味するのでしょうか？

1. PromQL パネルは、人為的に 5 分間延長された欠落データを表示しなくなりますが、より速く（通常は 2 回のスクレイプ期間の後に）表示されます。
2. データがない場合の PromQL アラートは、デフォルトで 5 分間遅れて表示されなくなります。

absent()関数を使用することで、Prometheusのデータなし状態をキャッチしてアラートを出すことができることに注意してください。

CloudWatchの改善点

表面的には、これは機能的な影響をもたらさないマイナーな変更ですが、効率性に大きな影響を与える可能性があります。私たちはCloudWatchの統合を行う方法にいくつかの変更を加えましたが、これにより効率が大幅に向上し、使用するAPIコールの数が大幅に減少しました。一部のお客様にとっては、これはCloudWatchとAPIコールに関連するコストの削減を意味するはずです。

Sysdigエージェント

Sysdigエージェント

Sysdig Agentの最新リリースは10.9.0です。以下は前回のアップデートで取り上げた10.8.0からのアップデートの差分です。

新機能と機能強化

• Kubernetes CronJobsに対応しました。ネットワーク通信をレポートする際に、Kubernetes CronJobsがサポートされます。

修正

• ランタイムポリシーとルールはエラーなしでロードされます。Sysdigバックエンドから複数のメッセージが連続して受信された場合、ランタイムポリシーとルールが正しくロードされない可能性がある競合状態を修正しました。
• Cluster Overviewでコンプライアンススコアが表示されるようになりました。コンプライアンスに関連する Statsd メトリクスが、関連する Kubernetes メタデータを持たず、Cluster Overviewで表示されない問題が修正されました。

Helm Chart

Helm Chart1.11.3がリリースされました。先月取り上げた1.11.1からの変更点は以下の通りです。

変更点

• Agent(10.9.0)の最新イメージを使用しました。
• Node Image Analyzer (0.1.7)の最新のイメージを使用しました。
• livenessとreadinessプローブの初期遅延をカスタマイズできるようにしました。

ノードイメージアナライザ

バージョン0.1.7は先月リリースされたもので、現在も最新版が利用可能です。

ノードイメージアナライザーはSysdig Agentのインストールの一部としてインストールできます。

インラインスキャニングエンジン

バージョン2.2はまだ最新版です。

CI/CD ツールとの統合も参照してください。

SDK、CLI、ツール

Sysdig CLI

v0.7.4がリリースされ、v0.7.0からの以下の差分アップデートが含まれています。

バグ修正

• アラートの復元時に新しいNC IDをチェックするようにしました。
• 不足しているインポートを追加しました。
• 依存関係を更新しました。
• 1 つのイメージのみではなく、イメージのリストが返されるようになりました。
• 欠落したフィールドでリストアを中断しないようにしました。

Python SDK

v0.14.13 がリリースされました。先月取り上げた v0.14.7 からの変更点は以下の通りです。

バグ修正

• ダッシュボードを最新のAPIに更新
• 作成されたイベントがスコープされない v2 イベントを解決しました。
• ページ分割なしでポリシーイベントを取得するための制限を増やしました。

ドキュメント

• download_dashboardsの例とget_dashboardsのドキュメントを更新しました。
• ドキュメントにいくつかの構造を追加しました。
• ドキュメントのビルドに readthedocs.yml を追加しました。
• readthedocs のドキュメントを更新しました。
• ドキュメントを強化しました。

Terraform プロバイダー

v0.5.10がリリースされましたが、先月取り上げたv0.5.6からの差分変更点は以下の通りです。

新機能

• 新しいリソース: sysdig_secure_vulnerability_exception_list. すべての脆弱性例外を保持する Sysdig Secure Vulnerability Exception リストを作成します。
• 新しいリソース: sysdig_secure_vulnerability_exception. Sysdig Secure Vulnerability Exception を作成します。
• 新しいデータソース: sysdig_user. 電子メールからユーザーに関する情報を取得します。
• ダッシュボードリソースの「text」パネルタイプのサポートが追加されました。公式ドキュメントの例を参照してください。
• Monitor アラート用のカスタム通知設定を追加しました。ドキュメントを参照してください。
• リソースのインポート：Terraformは既存のインフラストラクチャーをインポートできるようになりました。これにより、他の方法で作成したリソースをTerraform管理下に持ってくることができます。
• リスト、マクロ、ルールのタイムアウトを30秒から5分に増加。
• API HTTPクライアントにリトライ戦略をバックオフで追加し、レート制限の問題をより簡単に回避できるようになりました。

バグ修正

サポートされていないパネルタイプとクエリタイプでダッシュボードをインポートする際のクラッシュを解決しました。

フィールドが正しく設定されていなかった問題を解決しました。API から取得したときに、いくつかのフィールドが正しく設定されていませんでした。

• すべての sysdig_monitor_alert_* リソースのseverity。
• can_see_infrastructure_events in sysdig_monitor_team.
• can_use_aws_data in sysdig_monitor_team.
• severity は sysdig_secure_policy にあります。
• また、sysdig_secure_rule_network の tcp.ports と udp.ports がバックエンドで正しく作成されていなかったため、チェックされたポートを持たないネットワークルールが作成されていました。

Falco vs. Code Extension

v0.1.0はまだ最新版です。

Sysdig Cloud Connector

v0.4.4がリリースされました。先月取り上げたv0.4.0からのアップデートの差分は以下の通りです。

機能

• ノイズの多いルールを無効にしました。
• AWS Cloud Shell環境の作成を検知するルールを追加しました。
• GCP上にデプロイするためのガイドを追加しました。

バグ修正

• CloudWatchに送信する前にアラートがソートされていることを確認しました。

Sysdig Secure Inline Scan for Github Actions

v3はまだ最新版です。

Sysdig Secure Jenkins プラグイン

前回のアップデートからv2.1がリリースされ、いくつかの変更点をもたらしました。

• Sysdig Jenkins Plugin 2.1は、インラインスキャナv2を活用しており、スキャンパフォーマンスと実行時間が向上しています。
• このバージョンでは、マスターノードとワーカーノードの両方にプロキシサポートが導入されています。

新しいウェブサイトリソース

ブログ (日本語)

• Falco vs. AuditD from the HIDS perspective
• Sysdig 2021 container security and usage report: Shifting left is not enough
• Stackrox Acquisition: The Race to Secure Containers
• 5 Best practices for ensuring secure container images
• Detect CVE-2020-8554 using Falco
• Cooking the perfect holiday ham with IoT, Prometheus, and you

Webinars

• Container Security Best Practices: Forensics & Incident Response
• Kubernetes 1.20: Straight talk from the release team
• Kubernetes Attacks: What your cluster is trying to tell you
• Container Security Best Practices on Azure Kubernetes Service (AKS)
• Accelerate your FedRAMP journey for container security with Anitian & Sysdig

他のリソース

• Case Study: Worldpay Gains Competitive Edge with Faster Delivery of Innovative PCI-Compliant Payments Solutions Globally
• Sysdig 2021 Container Security and Usage Report

Sysdigに関するお問い合わせはこちらから