ブログ

Sysdig Secure 3.0は、Kubernetesにおいてネイティブな防止とインシデント対応を実現します

Sysdig Secure 3.0は、Kubernetesにおいてネイティブな防止とインシデント対応を実現します

本文の内容は、2019年11月12日にSysdigのPawan Shankarが投稿したブログ(https://sysdig.com/blog/sysdig-secure-3-0/)を元に日本語に翻訳・再構成した内容となっております。

本日、Sysdig Secure 3.0のリリースを発表できることを嬉しく思います! Sysdig Secureは、Kubernetesに防止とインシデント対応の両方をもたらす業界初のセキュリティツールです。

このリリースには、3つの主要な機能があります。

  1. Kubernetes Policy Advisorは、Kubernetes Podセキュリティポリシーを使用してランタイム時において脅威を防ぎます。
  2. Falco Tuningは、Falcoルールを最適化して、誤検知を減らし、アラート疲弊を低減します。
  3. Activity Auditは、インシデント対応を高速化し、コンテナとKubernetesのアクティビティを相関させる監査を可能にします。

DevOpsチームが本番環境でKubernetesを展開すると、モニタリング、キャパシティ管理、およびトラブルシューティングとさらに、セキュリティとコンプライアンスを含む責任が拡大します。 チームは、これら2つの機能を単一のSecure DevOpsワークフローに統合することを検討しています。それでは、Secure 3.0の新機能がDevOpsチームのセキュリティに関する仕組みを合理化し、Kubernetesプラットフォームの可用性を最大化する事に集中できるようになる方法を詳しく見ていきましょう。

p01.png

Kubernetes Policy Advisorはネイティブの脅威防止を提供します

Pod Security Policies(PSP)は強力なセキュリティコントロールを実現

Kubernetes Pod Security Policiesは、Podが適切な権限で実行され、必要なリソースにのみアクセスできることを保証するフレームワークを提供しています。

Pod Security Policyは、ポッドの動作を制限してセキュリティを向上させることができます。 例えば:

  • 特権ポッドが立ち上がるのを防ぎ、特権エスカレーションをコントロールする
  • Podの特定のファイルシステム、ホスト、ネットワーク、namespaceへのアクセスを制限する
  • ポッドを実行できるユーザー/グループを制限する
  • ポッドがアクセスできるボリュームを制限する
  • ランタイムプロファイル(AppArmor、SELinuxなど)や読み取り専用ルートファイルシステムなどの他のパラメーターを制限する

Pod Security Policiesは、実質的に脅威防止メカニズムです。セキュリティの制約により、攻撃がクラスター全体に広がるのを防ぎ、一般的なコンテナーブレイクアウトアプローチをブロックする最小特権モデルを適用できます。

Pod Security PoliciesはKubernetesプラットフォームの一部であるため、ポッドの構成を検証し、ランタイム時のアクセス許可を適用する場合、アプリケーションワークロードのパフォーマンスには影響しません。 コンテナインフラストラクチャを改ざんしたり、ホストバイナリとコンテナイメージを変更したりする他のツールは、セキュリティリスクをもたらし、パフォーマンスに影響を及ぼす可能性があります。

PSPを実装する際の課題

PSPは強力なツールですが、広範に実装するにはいくつかの障壁があります。

  1. PSPの設定ミスは簡単に発生します。DevOpsチームはPSPの手動設定に多くの時間を費やしています。適切なバランスを見つけるのは難しいため、制限が強すぎてアプリケーションを壊すポリシーや、許容範囲が広くポッドが露呈したままのポリシーは適切ではありません。適切なポリシーの作成は、多くの場合、複雑で時間がかかります。
  2. PSPの本番稼働させる前の検証は困難です。PSPの構成は複雑であるため、ミスをするリスクがあります。また、施行前にPSPをテストする標準的な方法はないため、PSPを大規模に自信を持って採用することは困難です。

Kubernetes Policy Advisorを使用すると、PSPを本番環境へ自信を持ってデプロイできます

SysdigのKubernetes Policy Advisorは、本番環境でKubernetes Podセキュリティポリシー(PSP)を安全に実装するためのシンプルでスケーラブルな仕組みを提供します。

p02.png

Kubernetes Policy Advisorは、PSPを簡単に実装するための3ステップのワークフローを作成します。

  1. 生成:Sysdig Secureは、yamlファイルのデプロイメント定義のpod specから制限的なPSPを自動生成します。このプロセスにより、セキュリティポリシーの設定にかかる時間を大幅に短縮できます。
  2. 検証:ポリシーアドバイザーは、適用前にポリシーを検証して、アプリケーションの機能を損なわないことを確認できます。 PSPをアプリケーションランタイムの動作と比較すると、チームはポリシーを調整して許容範囲を広げることができます。この反復プロセスにより、本番環境で予想されるポッドの動作に自信が持てます。
  3. 防止:SysdigはKubernetes固有のコントロールを活用して、施行させます。この合理化されたアプローチは、コンテナインフラストラクチャを変更せず、パフォーマンスに影響を与えません。

Sysdig SecureがネイティブのKubernetesコントロールを使用して脅威を防止する方法の詳細については、Pod Security Policies in production with Sysdig's Kubernetes Policy Advisorを参照してください。

Falco Tuningは、ランタイム時のポリシーをチューニングし、誤検出を減らします

Falcoは、もともとSysdigによって開始されたオープンソースのKubernetesランタイムセキュリティプロジェクトです。 2018年10月以来、CNCF®Sandboxプロジェクトとになっています。

Falcoを使用すると、DevOpsチームは、コンテナの動作またはKubernetesの監査ベースのイベントに基づいてカスタムランタイムルールを作成できます。クラスタおよびクラウド全体で大規模なセキュリティポリシーを管理することは困難な場合があります。Sysdig Secureは、集中管理、柔軟なポリシーエディター、および自動プロファイリングにより、ランタイムFalcoポリシーの作成と更新の負担を軽減することにより、Falcoを拡張します。

DevOpsチームは、Sysdig SecureのFalco Tuning機能を活用することで、セキュリティポリシーによって生成される誤検知を減らすことができます。Falco Tuningは、繰り返し発生するイベントを分析し、冗長なアラートを最小限に抑えるポリシーの変更を提案します。

たとえば、KubernetesのWebサービスは、特定のパスにログを書き込みます。アプリケーションがアップグレードされ、新しいバージョンのログに別のパスが書き込まれると、ポリシーにより大量の誤ったアラートが生成される可能性があります。Falco Tuningはランタイムイベントを監視し、新しいパスが条件フィルターとしてルールに含まれることを自動的に提案します。これにより、誤検知やノイズの多いアラートを減らすことができます。

Activity Auditは、インシデント対応のための初のKubernetesネイティブツールです

セキュリティチームはKubernetes向けの監査証跡を持ち合わせていません。

Kubernetesユーザーまたはサービスによって生成されたクラスター内のすべての変更を理解することはほとんど不可能です。システムアクティビティをユーザーまたはサービスにマップする機能がないと、セキュリティチームは、Kubernetes内の悪意のある動作や設定ミスを発見する方法がありません。

既存のツールは、この情報を、相関していない異種のデータポイントとして提供します。 SOCチームは、さまざまな数限りのないシナリオを分析できる必要があります。

  1. 私が所有するbilling namespaceから不明なIPアドレスへのすべてのアウトバウンド接続を表示する
  2. 2kubectl execユーザーインタラクションをトレースし、ポッド内で発生したすべてのコマンドとネットワークアクティビティを一覧表示します
  3. ホストまたはKubernetesのデプロイメントで発生したすべてのtcpdumpコマンドの実行を表示する

Activity Auditはインシデント対応を迅速化し、Kubernetesでの監査を可能にします

SysdigのActivity Auditは、インシデント対応を迅速化し、Kubernetesの監査を可能にします。Sysdigは、次のような関連情報をキャプチャします。

  • コンテナ内で実行されたコマンド
  • ネットワーク接続
  • kubectl execを実行するユーザーのようなKubernetes APIイベント

この情報をKubernetesアプリケーションコンテキストと関連付けることにより、SOCチームは異常なアクティビティを見つけることができます。 たとえば、Kubernetesのkuberctl exec内のポッドをレビューし、アクティビティのチェーンを追跡できます。

p03.png

Activity Auditは、SOC2、PCI、ISO、HIPAAなどのコンプライアンス標準の一般的な要件である監査証跡をチームに提供し、コンテナが存在しなくてもKubernetesユーザーアクティビティを調査できるようにします。

Activity Auditは、攻撃前後のすべてのコンテナアクティビティを記録することにより、既存のSysdig Secureフォレンジック機能(キャプチャ)を補完します。これにより、チームは発生したすべての事象を分析できます-インシデント後だけでなく、その前でも、アクティビティの完全なシーケンスを理解できます。Sysdig Secureは、現在利用可能な唯一のKubernetes監査およびインシデント対応ソリューションです。

Kubernetesのインシデント対応と監査の詳細については、「Incident response in Kubernetes with Sysdig Activity Audit」を参照してください。

まとめ

Sysdig Secure 3.0は、KubernetesネイティブのPod Security Policies(PSP)を使用して、ランタイム時において脅威防止を企業に提供する業界初のツールです。このリリースには、Kubernetes環境固有の初のインシデント対応および監査ツールも含まれています。

Sysdig Secureは、セキュリティとコンプライアンスをKubernetesライフサイクルの構築、実行、およびレスポンスの各段階に組み込んでいます。Sysdigを使用すると、企業はセキュリティを組み込み、可用性を最大化し、コンプライアンスを検証できます。Sysdig Secureを活用する事により、Secure DevOpsワークフローへ統合し、Kubernetesを本番環境で運用する自信を持つことができます。

最近の投稿

カテゴリー

アーカイブ

ご質問・お問い合わせはこちら

top