Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2019年8月6日にSysdigのMateo Burilloが投稿したブログ(https://sysdig.com/blog/secure-policy-editor/)を元に日本語に翻訳・再構成した内容となっております。
Sysdig Secureバージョン2.4は、他の多くの機能の中で、新しく改善されたランタイムポリシーエディターを提供しています。脅威研究チームがすぐに使えるランタイムポリシー、コンテナ固有のコンプライアンス標準、Kubernetesセキュリティ、およびFalcoオープンソースコミュニティルールを組み合わせた包括的なライブラリを備えています。
このUXの見直しにより、すべてのSysdig Secureユーザーに3つの大きな改善がもたらされます。
ルールライブラリを簡単に見てみましょう。
ランタイムルールのプロパティを一目で視覚化できます。
これらのタグは、インポートされたFalcoルールのタグ属性から取得されますが、セキュアUIから直接作成または削除することもできます。
上部の検索パネルを使用して、ルール名またはタグでフィルタリングできます。 たとえば、これは、コンテナに関連付けられているすべてのmitre ラテラル ムーブメント ランタイムルールを取得する方法です。
ライブラリインターフェイス自体から、ルールの構文を視覚化し、構文の一部を編集することもできます。
例を見て行きましょう。クラスター内に新しい特権コンテナーが生成された場合にトリガーするデフォルトのランタイムセキュリティルールがあります。 デプロイする必要がある既知のイメージの例外を追加するとします。
既存のルールを視覚化および編集することに加えて、もちろん、新しいランタイムセキュリティルールを作成できます。
ルールで次のセットをホワイトリストまたはブラックリストに登録する必要がある場合:
[Add Rule]ボタンから直接アクセスできるクイックフォームがあります。
あるいは、より高度な条件と論理演算子のセットを必要とするランタイムルールが必要な場合は、UIから直接、本格的なFalcoルール構文も活用できます。
前述のように、Falcoルールは通常、マクロとリストを参照して、コードの再利用性と読みやすさを向上させます。 上記のFalcoルールには、条件(kevt、namespace、kcreate)を構成するさまざまなマクロとallowed_namespacesのリストがあります。
セキュリティルールに関連する許可/禁止要素のリストの更新は、非常に一般的なタスクです(例:新しい有効なnamespaceを追加する)。
この新しいバージョンのインターフェイスでは、FalcoリストとFalcoマクロを作成および編集することもでき、これらの種類の反復更新を簡単に実行できます。
ルールは、アクション可能な項目になるためにポリシーの一部として含まれる必要があります。 これらのポリシーは、新しいSysdig Secureポリシーインターフェースからリスト、作成、または編集できます。
新しいセキュアポリシーエディターインターフェイスを使用すると、次のことができます。
この新しいワークフローにより、さまざまな環境で簡単に再利用できるランタイムセキュリティルールのグループを作成し、各ケースに関連する修正を適用できます。
Sysdig Secure 2.4でリリースされたポリシーエディターの改良は、生産性と使いやすさの改善を超えて、新しい機能セットを実現しました。
Sysdig Secureバージョン2.4向けにリリースされている他の多くの機能を見逃したくない場合は、こちらで詳細をご覧ください。