コンテナ・Kubernetes環境向けセキュリティ・モニタリング プラットフォーム

本文の内容は、2019年8月6日にSysdigのMateo Burilloが投稿したブログ(https://sysdig.com/blog/secure-policy-editor/)を元に日本語に翻訳・再構成した内容となっております。

Sysdig Secureバージョン2.4は、他の多くの機能の中で、新しく改善されたランタイムポリシーエディターを提供しています。脅威研究チームがすぐに使えるランタイムポリシー、コンテナ固有のコンプライアンス標準、Kubernetesセキュリティ、およびFalcoオープンソースコミュニティルールを組み合わせた包括的なライブラリを備えています。

このUXの見直しにより、すべてのSysdig Secureユーザーに3つの大きな改善がもたらされます。

• ランタイムポリシーは、任意の数のセキュリティルールと自動生成されたイメージプロファイルをインポートできます。 コンテナ、クラウド、Kubernetesのメタデータを使用して、セキュリティポリシーのスコープを設定できます。
• Web UIからFalcoとの緊密な統合。 ルールをクリックするだけで、新しいトリガー条件を定義したり、禁止された外部IPのリストに追加したりできます。
• ルールをグループ化、分類、および検索するためのより構造化された方法。標準のクラウドネイティブ手順に従います：タグとラベル。

ルールライブラリを簡単に見てみましょう。

ランタイムルールのプロパティを一目で視覚化できます。

• このルールの出所（発行者）。 セキュリティチームは、ルールが特定のSysdig更新によるものか、組織内で作成されたカスタムルールファイルによるものか、外部ルールソース（Falcoコミュニティルールなど）によるものかを即座に認識することができます。
• 最後に更新されたのはいつですか（最終更新日）。 この情報を使用して、ルールを監査したり、定期的な更新をスケジュールする場合は、最後にいつ発生したかを確認できます。
• ルールタグ：ルールを整理するための効果的な方法。 これらのタグを使用して、ターゲットエンティティ（ホスト、k8s、プロセス）、所属するコンプライアンス標準（MITRE、PCI、CIS Kubernetes）、またはルールに注釈を付けるために使用する他の基準を記述することができます。

これらのタグは、インポートされたFalcoルールのタグ属性から取得されますが、セキュアUIから直接作成または削除することもできます。

上部の検索パネルを使用して、ルール名またはタグでフィルタリングできます。 たとえば、これは、コンテナに関連付けられているすべてのmitre ラテラル ムーブメント ランタイムルールを取得する方法です。

ライブラリインターフェイス自体から、ルールの構文を視覚化し、構文の一部を編集することもできます。

• Falco macro conditions
• List elements

例を見て行きましょう。クラスター内に新しい特権コンテナーが生成された場合にトリガーするデフォルトのランタイムセキュリティルールがあります。 デプロイする必要がある既知のイメージの例外を追加するとします。

1. ルールを一度クリックして、Falcoルール構文を含むサイドパネルを表示します。 このルールは、マクロとリストを使用して、目的のトリガー条件と例外を定義します。
2. これらのマクロとリストが強調表示され、クリックしてインライン編集ダイアログをポップアップできることを示します。 このフォームを使用して、コンテナイメージ名をuser_privileged_containersマクロに追加できます。

新規ランタイムセキュリティルールの作成

既存のルールを視覚化および編集することに加えて、もちろん、新しいランタイムセキュリティルールを作成できます。

ルールで次のセットをホワイトリストまたはブラックリストに登録する必要がある場合：

• Container images
• File system operations (read/write directories, read directories)
• TCP/UDP ports, or inbound / outbound network connections
• Spawned processes
• System calls

[Add Rule]ボタンから直接アクセスできるクイックフォームがあります。

あるいは、より高度な条件と論理演算子のセットを必要とするランタイムルールが必要な場合は、UIから直接、本格的なFalcoルール構文も活用できます。

前述のように、Falcoルールは通常、マクロとリストを参照して、コードの再利用性と読みやすさを向上させます。 上記のFalcoルールには、条件（kevt、namespace、kcreate）を構成するさまざまなマクロとallowed_namespacesのリストがあります。

セキュリティルールに関連する許可/禁止要素のリストの更新は、非常に一般的なタスクです（例：新しい有効なnamespaceを追加する）。

この新しいバージョンのインターフェイスでは、FalcoリストとFalcoマクロを作成および編集することもでき、これらの種類の反復更新を簡単に実行できます。

新しいSysdig Secureポリシーエディター

ルールは、アクション可能な項目になるためにポリシーの一部として含まれる必要があります。 これらのポリシーは、新しいSysdig Secureポリシーインターフェースからリスト、作成、または編集できます。

新しいセキュアポリシーエディターインターフェイスを使用すると、次のことができます。

• このポリシーをトリガーする1つ以上のルールをルールライブラリから直接インポートするか、このインターフェイスから新しいルールを作成します。
• ラベルとタグを使用してポリシーをスコープします。 例として、Kubernetes namespaceまたは特定のアベイラビリティゾーンのホストに対してこのルールを適用します。
• 自動復旧アクションを構成します。コンテナを停止し、キャプチャを作成して高度なコンテナフォレンジックを有効にするか、イベントをSIEMプラットフォームに転送します。

この新しいワークフローにより、さまざまな環境で簡単に再利用できるランタイムセキュリティルールのグループを作成し、各ケースに関連する修正を適用できます。

まとめ

Sysdig Secure 2.4でリリースされたポリシーエディターの改良は、生産性と使いやすさの改善を超えて、新しい機能セットを実現しました。

• インターフェースと緊密に統合されたFalcoルール、マクロ、およびリスト
• 標準のdfferentセクションを使用してタグ付けされた、すぐに使用可能なランタイムコンプライアンス標準
• ランタイムポリシーごとに複数のランタイムルールとイメージプロファイル

Sysdig Secureバージョン2.4向けにリリースされている他の多くの機能を見逃したくない場合は、こちらで詳細をご覧ください。