Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、2020年6月18日にAlex Lawrenceが投稿したブログ(https://sysdig.com/blog/observer-and-secure-azure-aro-openshift-arctiq/)を元に日本語に翻訳・再構成した内容となっております。
Hart Ripley、Alex Lawrence、Dan Papandreaによる記事。
来ました!Azure Red Hat OpenShift 4がついに一般利用可能となりました。さあ、チームのセキュリティをさらに細かくして、修理時間(MTTR)をより速くするにはどうすればよいでしょうか?
そうです!Sysdigです。
管理の負担なしにOpenShiftクラスターをAzureにデプロイする合理化された方法があるのは理にかなっていますか?クラウドアプリケーションを世の中に出すと、すぐに制御不能になる可能性があります。見込み客や顧客と話していると、さまざまなプラットフォーム、複数のイメージリポジトリ、異なるパイプラインがすべてこれに大きく貢献していることがわかります。OpenShiftのようなプラットフォームを使用すると、これをある程度合理化できます。ただし、これには管理者の運用オーバーヘッドに関する独自の課題が伴います。プラットフォームをデプロイして実行するには深い知識が必要です。
Azure(ARO)での Managed OpenShiftの活用により、運用と知識のオーバーヘッドが簡素化されるだけでなく、相互接続されたツールのより大きなエコシステムへのアクセスを取得することで、企業はクラウドアプリケーションをより速くシップできます。これには、ビルドパイプライン用のAzure DevOpsと、イメージを格納する場所としてのAzure Container Registryが含まれます。これにより、OpenShiftが一貫した高速な方法でテーブルにもたらすすべての機能が強化されます。Sysdigをこの方程式(OpenShift + Azure + Sysdig)で導入すると、自信を持ってすぐにアプリケーションを実行および実行できるエンタープライズソリューションを実現できます。
Sysdigは、ARO上のアプリケーションに統一された可視性とセキュリティを提供します。サービスレベルのパフォーマンスとセキュリティのモニタリングにより、Kubernetes、インフラストラクチャー、カーネルレベルの深い洞察が得られるため、信頼性の高い安全なコンテナを提供できます。Sysdigを使用すると、より多くの情報を表示し、より速く解決できます。
クラスターをデプロイする方法はいくつかあります。マイクロソフトは、Azure CLIの"az"コマンドツールセットを拡張して、"az aro"を拡張機能としてインストールできるようになりました。デプロイメントワークフロー全体を自動化して、AnsibleやTerraformなどのツールを使用して、さまざまな環境や地域への再現性を確保することもできます。
デプロイメントの前提条件:
Kubernetesオペレーターを見てみましょう。OpenShift 4は、Kubernetesアプリケーションのデプロイと管理に重点を置いたオペレーターです。以前は、補完的なツールセット、エージェント、およびセキュリティの統合が課題でした。ただし、Operatorを使用すると、アプリケーションのライフサイクルが管理され、アップグレードはシームレスで一貫性を得られます。オペレーターを使用する利点を得るだけでなく、アプリケーション開発者は、エクスペリエンスの向上と効率の向上により、プラットフォームの利用に集中することもできます。Sysdigを用いたクラウドネイティブの可視性がOperatorHubにやってきました。
さらに、1つのポータルからすべてのAzureサービスを可視化します。これにSysdigを追加すると、組み込みのセキュリティ、可用性の追加、コンプライアンス機能を提供する「ワンストップ」の低リソース使用率ツールが可能になります。
Sysdig Agent Operatorをロールアウトするための詳細な手順は、GitHubにリストされています。これにより、エージェントをインストールして自動的に更新することができます。
必要なのは、Sysdigエージェントオペレーターをデプロイできるように、Sysdig UIから利用できるアクセスキーだけです。完了すると、デプロイされたエージェントがイベントの収集とSysdig SecureおよびSysdig Monitorへのストリーミングを開始します。
Sysdigは、リソースの使用状況、イベント、コンプライアンスなど、Azure Redhat Openshift環境のクラスターレベルのビューを含む幅広い可視性を提供します。
Sysdigで確認できるもう1つの例は、Azure Redhat Openshift Cluster のノードレベルのビューです。これには、リソースの使用状況、イベント、コンプライアンスも含まれます。
SysdigモニターのExplore機能を使用すると、OpenshiftとKubernetesのネイティブな方法でインフラストラクチャーを横断することができます。環境内のタグを活用して、インフラストラクチャーとアプリケーションを視覚化できます。上記の例では、2つのタグを使用しています。
Kubernetes.cluster.name > kubernetes.node.name
これにより、クラスターレベルとノードレベルの両方でデータを視覚化できます。次のようなこともできます:
Kubernetes.cluster.name > kubernetes.namespace.name > kubernetes.deployment.name > kubernetes.pod.name > kubernetes.container.name
これにより、ポッドが実行されているノードに関係なく、クラスター内のワークロードを表示できるため、サービスを視覚化できます。
さらに深めたい場合は、独自のタグを組み込むことができます。これは次のようになります。
Environment.name > region.name > kubernetes.cluster.name >など
この例では、カスタムタグenvironment.nameおよびregion.nameを作成し、オブジェクト全体でこれらのタグに値を適用しました。本番、テスト、開発などのenvironment.nameに値を割り当てた場合、それぞれを最上位レベルで分離し、地域の値(東、中央、西など)をregion.nameに割り当てて、さらに視覚化されているオブジェクト。これにより、デプロイメント間の関係を見つけたり、調査している領域について指摘したり、リージョン、クラスター、エンドポイント間の異常な/予期しないアクティビティを探すことさえできます。
Sysdigは、OpenShift環境にセキュリティを適用する方法にレイヤードアプローチを採用しています。アプリケーションを作成してクラウドネイティブ環境に配布する方法には、ビルドフェーズ、実行フェーズ、レスポンスフェーズという異なるフェーズがあります。
以下のためにビルドフェーズ、Sysdigはビルドパイプラインと統合します。ビルドの一部として、イメージをスキャンする呼び出しが行われ、その結果がSysdig Secureに送信されて評価されます。評価基準はポリシーにより決定されます。これらのポリシーには、条件セットに基づいてビルドを警告または停止できるゲートがあります。
他のAzureサービスを使用していますか?Azure Container RegistryでAROを補完し、GitOpsワークフローを強化し、Azure Pipelinesでパイプライン管理を強化します。Sysdig はこのための統合を持っています。
この次のレイヤーは、実行フェーズを中心としています。ランタイムの場合、Sysdig Secureは、イメージドリフト、コンプライアンス、ランタイム検出の3つの領域に重点を置いています。イメージドリフトとは、既存の実行中のイメージに新しいCVEが表示されたときにリアルタイムで警告すること、またはCVEが適用される場所を示すレポートを生成したり、重要なイメージを修正する必要がある場合を意味します。以前のイメージとその脆弱性セットを現在のイメージ(vuln diff)と比較できることも、ここで役立ちます。
ランタイムの次のステップは、継続的なコンプライアンスに集中します。Sysdig Secureは、Linux、Kubernetes、およびDockerのCISベンチマークを活用して、新しいイテレーションがスピンアップおよびダウンするときに、ベストプラクティスに従って環境を強化します。Secureは、これらのチェックをメトリクスに変換し、時間の経過に伴うこれらの標準への準拠をグラフ化します。
実行時 の3番目の柱は、リアルタイム検出です。Sysdig Secureは、脅威をリアルタイムで検出する最も先進的な方法であるFalcoを利用しています。Falcoは、ホスト全体で行われているカーネルコールの分析を行って、アクティビティを検出します。これは、保護された場所にあるファイルを読み取ることから、コンテナに対してシェルを実行すること、Kubernetesでconfigmapを編集することまで、さまざまです。
このランタイムルールのライブラリにより、比類のないアクティビティ検出機能が可能になります。ただし、Sysdig Secureには、個々のシステムコールアクティビティに至るまで、アクティビティのホワイトリストを作成するために、特定のアプリケーションが実行していることを検出する学習メカニズムもあります。承認されると、それらはランタイムポリシーになり、OpenShift環境での望ましくない、または予期しないアクティビティに対してSecureがアラート/反応できるようにします。
これらの3つの主要な機能:
この記事では、AzureにRedhatをデプロイするためのガイダンスを、単一のエージェントで追加の可視性、セキュリティ、およびトラブルシューティングを実現するための強力なツールとともに具体的な例を示しました。これで、Azure Redhat Openshiftの導入に自信を持って、チームの目標を満たすための要件としてこれらのツールを利用できるようになります。今すぐクラスターをデプロイして、Sysdigをインストールしてください!
Sysdigは、このブログの一部として、商用版Sysdigを30日間無料試用を提供しています。
Red HatとSysdigの専門家によって書かれたSysdigのOpenShift Securityガイドは、SysdigがAROクラスターを保護する方法をさらに詳しく説明しています。
このドキュメントに貢献してくれたすべての助けをしてくれたArctiqのHart Ripleyに感謝します!Arctiqは、IT変革の新しい世界に専門知識を提供するサービス主導の企業です。私たちは、クライアントが自動化、オーケストレーション、DevOps方法論、セキュリティ、カスタマイズされたワークフローを使用して継続的な改善戦略を構築するのを支援します。詳細については、https://www.arctiq.ca/ を参照してください。