みなさん、こんにちは！
SCSK技術者によるSysdigブログ。第22回を担当するのは鳥飼です。

今回はSysdigクラウド機能のアップデートについて、詳細をご紹介します。
すでにクラウドセキュリティをご利用の方も、これからクラウドセキュリティを検討する方も必見の内容となっております。

アップデート内容

SysdigではAWS連携を実施することで、クラウド上のログ検知(CDR)やアイデンティティ管理(CIEM)が可能となります。
SysdigのAWS連携について、既存のEventBridgeを利用する方式に、S3のSNS通知を連携する方式が追加されました。
EventBridge方式ではEventBusを用いてCloudTrailの操作ログをSysdigバックエンドへ送信するのに対し、S3方式ではCloudTrail/S3のSNS通知機能を活用し、S3にログが保存されたことをきっかけとして操作ログをSysdigバックエンドへ送信します。
CDR、CIEMについて、詳しく知りたいという方は、こちらのページをご参照ください。
https://www.scsk.jp/sp/sysdig/cnapp.html

では、S3連携を選択することで、どんなメリットがあるのでしょうか。

S3連携のメリット

EventBridge方式とS3方式の特徴を表にまとめました。

S3方式のメリットはEventBridge方式と比べると安価に利用できることです。
反対に、検知までのラグや検知対象の範囲はEventBridge方式が優れています。

検知対象がCloudTrail(クラウド上の操作ログ)であり、多少のラグは許容される場合には、S3連携を選択するのがよいでしょう。

上記の情報からEventBridge連携もしくはS3連携どちらを選択するか判断できたと思います。
それでは、どのように連携するのでしょうか。
連携方法について、Sysdig UIのスクリーンショットを参照しながら、確認していきましょう。

AWS連携方法(S3)

前提条件

• Sysdig CSPM Essentialもしくは、CNAPP Enterpriseライセンス
• Sysdigの管理者権限を持つユーザ
• インストールに必要な権限を持つAWSユーザまたはロール (詳細につきましては右記をご参照ください。 - https://docs.sysdig.com/en/docs/sysdig-secure/connect-cloud-accounts/aws/#permissions-required-to-install)
• Terraform v1.3.1以上がインストールされている環境、もしくはCloud Formationにアクセスできる権限が付与されているAWSユーザ

連携方法

連携に必要なコンポーネントをデプロイするツールとして、TerraformとCloudFormationが対応しています。
今回はTerraformを利用した場合の連携方法をご紹介します。

1. 管理者権限を持つユーザでSysdig UIにログインします。
   「Integrations > AWS > Add AWS Account」をクリックします。
   
2. OrganizationもしくはSingle Accountをクリックします。
3. 遷移後の画面にて、以下の通り操作を行います。
   • Configure Installation Permissions: Nextを押下します。
   • Setup Account ID: 連携するAWSアカウントのIDを指定します。
   Configure Terraform: Nextを押下します。 Deploy Terraform: "terraform {" から始まる内容をコピーし、terraformコマンドがインストールされている環境において、main.tfにペーストする
   • Deploy Terraform: main.tfが配置されているディレクトリにて、 "terraform init && terraform apply" を実行する
   • IAM Roleなどがデプロイされ、CSPM機能が有効になりました。
4. 「Go to Integration」を押下します。
   
5. 連携したAWSアカウントをクリックします。
   
6. 「Setup Cloud Detection and Response」をクリックします。
   
7. 「Go to Set up」をクリックします。
   
8. 「S3」をクリックします。
   本ブログで紹介した連携方法の選択にあたります。
   
9. 遷移後の画面にて、以下の通り操作を行います。
   • Configure Installation Permissions: Nextを押下します。
   • Check your Account Details: 連携済みのAWS Account IDが入力済みであることを確認します。
   • Check your Trail Configuration: アカウント上のCloud Trailを選択し、Nextを押下します。
   • Check your Cloud Logs Notification Service Details: SNS notification delivery is not configuredを選択し、任意のSNS名を入力。Nextを押下します。
   • Select Regions: 監視対象のRegionすべてを選択します。
   • Configure Terraform: Nextを押下します。
   • Deploy Terraform: "module "cloud-logs" {"から始まる記述を コピー、log_ingestion.tfにペーストし、"terraform init && terraform apply" を実行する
   • ※注意： log_ingestion.tfはmain.tfが配置されているディレクトリに置きます。
   • Enable SNS: コンソール、もしくは、AWS CLIにて、Cloud TrailのSNS通知を有効にします。
   • "Go to Account Overview"を押下します。
10. Identity and Access Management、Cloud Detection and ResponseがEnabledになっていることを確認する。
    
11. [ Threats > Cloud ]にて、CDRイベントが表示されている場合、正しくAWS連携ができています。
    ※　しばらく経ってもイベントが表示されない場合、Sysdigサポートまたは弊社サポートにお問い合わせください。
    

最後に

クラウドセキュリティというと、CSPMと呼ばれるリソースの設定チェックが重視されますが、クラウド環境が侵害されていることにいち早く気付くために、CDRと呼ばれるクラウド上の操作ログ検知も重要な機能です。

以前より安価にCDR導入が可能なオプションが追加されたため、ぜひSysdigのCDR機能も活用し、AWSの利用をよりセキュアにしましょう！

担当者紹介

担当者名

鳥飼

コメント

Sysdigを中心にコンテナ、Kubernetes、クラウド領域の業務に従事しています。

保有資格

Certified Kubernetes Administrator