Sysdig

SCSK株式会社

×

サイト内検索

ブログ

HOME Developer Square ブログ 【SCSK技術者によるブログ】Serverless AgentがAzure Container Appsに対応しました

AzureAzure Container AppsFalcoSCSK技術者ブログSysdigSysdig PlatformSysdig Secureコンテナ・セキュリティ

【SCSK技術者によるブログ】Serverless AgentがAzure Container Appsに対応しました

皆さんこんにちは。
第24回担当の渡邊です。

先日、SysdigのServerless AgentがAzureのContainer Appsへの対応となりました。
今回はその導入を行ってみました。

注) 本記事で扱っているバージョンは5.4.0です。最新の情報についてはドキュメントをご確認ください。

前提条件と必要なもの

  • 監視したいコンテナのDockerfile
  • コンテナレジストリ

導入手順

1. 監視したいコンテナのDockerfileの書き換え

今回はsysdiglabs/security-playgroundのコンテナを監視してみます。
Container Appの監視は、監視対象のコンテナにSysdigの監視機能を直接組み込むことで実現します。
組み込みはDockerfileの書き換えによって行います。

以下はsecurity-playgroundリポジトリのDockerfileです

FROM python:3.9-slim

RUN pip install --upgrade pipenv

WORKDIR /app
COPY . .
RUN pipenv install --system --deploy

EXPOSE 8080

ENTRYPOINT ["./entrypoint.sh"]

これを次のように書き換えます。
橙色が追記部分です。

FROM quay.io/sysdig/workload-agent:latest AS workload-agent

FROM python:3.9-slim

RUN pip install --upgrade pipenv

WORKDIR /app
COPY . .
RUN pipenv install --system --deploy

COPY --FROM=workload-agent /opt/draios /opt/draios

EXPOSE 8080

ENTRYPOINT ["/opt/draios/bin/instrument", "./entrypoint.sh"]

差分とその解説を以下の画像にまとめました。
橙色の部分を追記するだけで組み込みは完了です。

20250423-1.png

コンテナイメージをビルドし、任意のコンテナレジストリへ格納します。

registry_name="sysdiginstrumentedcontainer.azurecr.io"
az acr build --image security-playground-with-sysdig:20250410 --registry $registry_name --file Dockerfile .

2. コンテナのデプロイ

Container Appsから新しくContainer Appを作成します。

20250423-2.png

20250423-3.png

20250423-4.png

画像3枚目のCPU and memoryはコンテナに割り当てられるリソースですが、
Serverless Agentを利用しない場合よりもリソース消費が増えますので、モニタリングツールなどを使いながら設定してください。

下記のドキュメントにも記載されていますが、Environment Variablesは次の4つを指定します。
https://docs.sysdig.com/en/sysdig-secure/azure-container-apps/#deploy-the-secured-image
--------
SYSDIG_COLLECTOR...情報の送信先
SYSDIG_COLLECTOR_PORT...ポート番号
SYSDIG_ACCESS_KEY...Access Key
SYSDIG_WORKLOAD_ID...任意で付与するID
--------

設定例

20250423-5.png

IngressはDisableでも動作しますが、今回は動作確認も行うため8080/TCPを解放します。

20250423-6.png

特に問題が無ければ Create + review を選択してデプロイします。

3.動作確認

ふるまい検知が動作するか確認します。
Azure上で仮想端末を開き、コンテナの脆弱性を突きます。

20250423-7.png

Sysdigでも通知されることを確認できました。

20250423-8.png

最後に

Serverless AgentをAzure Container Appsに導入してみましたが、いかがでしたでしょうか。
AWS以外にもSysdigが監視出来る環境は着々と増えてきました。
本記事がコンテナやプラットフォームのセキュリティを考える際の一助となれば幸いです。

使用したリソース・参考情報

sysdiglabs/security-playground: https://github.com/sysdiglabs/security-playground
Sysdig Docs - Azure Container Apps: https://docs.sysdig.com/en/sysdig-secure/azure-container-apps/

担当者紹介

SCSK 渡邊
担当者名
渡邊
コメント
コード好き。アニメやドラマにターミナルの画面が出てくると、その内容がどのぐらい正確か必ずチェックします。
保有資格
Certified Kubernetes Administrator
Certified Kubernetes Application Developer

SCSK技術者ブログ

Platform Engineering Kaigi 2025 参加レポート

Platform Engineering Kaigi 2025 参加レポート
検知から対応をシームレスに! Sysdigの新機能「Response Action」でインシデント対応を迅速化

検知から対応をシームレスに! Sysdigの新機能「Response Action」でインシデント対応を迅速化
【SCSK技術者によるブログ】生成AIでSysdigエージェントのアップグレードを効率化 〜Helm values.yamlの移行作業を自動化〜

【SCSK技術者によるブログ】生成AIでSysdigエージェントのアップグレードを効率化 〜Helm values.yamlの移行作業を自動化〜
【SCSK技術者によるブログ】Sysdigの「Search」機能を体験!生成AIでクエリの学習コスト無しに脆弱性調査

【SCSK技術者によるブログ】Sysdigの「Search」機能を体験!生成AIでクエリの学習コスト無しに脆弱性調査
【SCSK技術者によるブログ】ゼロトラスト文脈でのクラウドセキュリティ、そしてSysdig

【SCSK技術者によるブログ】ゼロトラスト文脈でのクラウドセキュリティ、そしてSysdig
【SCSK技術者によるブログ】Sysdigと組み合わせて効果的なソリューションのご紹介 ~ネットワークポリシー編~

【SCSK技術者によるブログ】Sysdigと組み合わせて効果的なソリューションのご紹介 ~ネットワークポリシー編~
【SCSK技術者によるブログ】生成AIで過検知対策を効率化!Sysdig Sageの実力検証

【SCSK技術者によるブログ】生成AIで過検知対策を効率化!Sysdig Sageの実力検証
【SCSK技術者によるブログ】なぜ今、Sysdigが選ばれるのか?動画で解説!クラウドネイティブセキュリティの最前線 - SCSKの日本語伴走サポートで安心導入

【SCSK技術者によるブログ】なぜ今、Sysdigが選ばれるのか?動画で解説!クラウドネイティブセキュリティの最前線 - SCSKの日本語伴走サポートで安心導入
【SCSK技術者によるブログ】Serverless AgentがAzure Container Appsに対応しました

【SCSK技術者によるブログ】Serverless AgentがAzure Container Appsに対応しました
【SCSK技術者によるブログ】システムコール分析における生成AIの活用

【SCSK技術者によるブログ】システムコール分析における生成AIの活用
【SCSK技術者によるブログ】Sysdig情報アップデート~AWS連携にS3オプションが追加されました~

【SCSK技術者によるブログ】Sysdig情報アップデート~AWS連携にS3オプションが追加されました~
【SCSK技術者によるブログ】Falco初学者講座 - Exceptions編

【SCSK技術者によるブログ】Falco初学者講座 - Exceptions編
【SCSK技術者によるブログ】Falco初学者講座 - List/Macro編

【SCSK技術者によるブログ】Falco初学者講座 - List/Macro編
【SCSK技術者によるブログ】コンテナの電力消費をSysdig Monitorで監視してみよう

【SCSK技術者によるブログ】コンテナの電力消費をSysdig Monitorで監視してみよう
【SCSK技術者によるブログ】Sysdigの脅威検知はFalcoだけじゃない ~Contianer Drift編~

【SCSK技術者によるブログ】Sysdigの脅威検知はFalcoだけじゃない ~Contianer Drift編~
【SCSK技術者によるブログ】~Falco初学者に送る~ Sysdig SageでFalcoを勉強してみよう②

【SCSK技術者によるブログ】~Falco初学者に送る~ Sysdig SageでFalcoを勉強してみよう②
【SCSK技術者によるブログ】~Falco初学者に送る~ Sysdig SageでFalcoを勉強してみよう①

【SCSK技術者によるブログ】~Falco初学者に送る~ Sysdig SageでFalcoを勉強してみよう①
【 SCSK技術者によるブログ】Sysdigの設定をTerraformで管理してみた(Monitor編)

【 SCSK技術者によるブログ】Sysdigの設定をTerraformで管理してみた(Monitor編)
【SCSK技術者によるブログ】Falco初学者講座 - condition編

【SCSK技術者によるブログ】Falco初学者講座 - condition編
【SCSK技術者によるブログ】Sysdig Sageを使ってみた

【SCSK技術者によるブログ】Sysdig Sageを使ってみた
【SCSK技術者によるブログ】Sysdigと組み合わせて効果的なソリューションのご紹介 ~ポリシーエンジン編②~

【SCSK技術者によるブログ】Sysdigと組み合わせて効果的なソリューションのご紹介 ~ポリシーエンジン編②~
【SCSK技術者によるブログ】Sysdigをセキュアに使おう~IP Allowlist編~

【SCSK技術者によるブログ】Sysdigをセキュアに使おう~IP Allowlist編~
【SCSK技術者によるブログ】Node ExporterをSysdig Monitorに連携してみた

【SCSK技術者によるブログ】Node ExporterをSysdig Monitorに連携してみた
【SCSK技術者によるブログ】Sysdigの設定をTerraformで管理してみた

【SCSK技術者によるブログ】Sysdigの設定をTerraformで管理してみた
【SCSK技術者によるブログ】CNAPPの理解とSysdigのカバレッジ

【SCSK技術者によるブログ】CNAPPの理解とSysdigのカバレッジ
【SCSK技術者によるブログ】Sysdigの脅威検知はFalcoだけじゃない ~マルウェア検知編~

【SCSK技術者によるブログ】Sysdigの脅威検知はFalcoだけじゃない ~マルウェア検知編~
【SCSK技術者によるブログ】Sysdigのライセンス体系

【SCSK技術者によるブログ】Sysdigのライセンス体系
【SCSK技術者によるブログ】Sysdig とMicrosoft Entra ID間でSAML認証設定を試してみた

【SCSK技術者によるブログ】Sysdig とMicrosoft Entra ID間でSAML認証設定を試してみた
【SCSK技術者によるブログ】Sysdigと組み合わせて効果的なソリューションのご紹介 ~ポリシーエンジン編~

【SCSK技術者によるブログ】Sysdigと組み合わせて効果的なソリューションのご紹介 ~ポリシーエンジン編~
【SCSK技術者によるブログ】Sysdigの脅威検知はFalcoだけじゃない ~AWSサインインなりすまし検知編~

【SCSK技術者によるブログ】Sysdigの脅威検知はFalcoだけじゃない ~AWSサインインなりすまし検知編~
【SCSK技術者によるブログ】Sysdig SecureのRisks機能を試してみた

【SCSK技術者によるブログ】Sysdig SecureのRisks機能を試してみた
【SCSK技術者によるブログ】Sysdigの防御機能Kill Processを試してみた

【SCSK技術者によるブログ】Sysdigの防御機能Kill Processを試してみた
ページトップへ