Google Cloudとコンテナの継続的なセキュリティ
本文の内容は、docs.sysdig.com上のManage TD Policiesを元に日本語に翻訳・再構成した内容となっております。(2022年6月24日現在)
必要に応じて、Understanding Sysdig Secure Policiesを復習してください。ルールは、実行時ポリシーに追加されるまで、実行可能ではないことに注意してください。これは最低限、以下のことを意味します。
ポリシーのアクションは、非同期に発生します。ポリシーにコンテナアクションと一致するアクティビティがある場合、エージェントはDocker/Cri-oデーモンに停止/キル/ポーズアクションを実行するよう依頼します。この処理には数分かかりますが、その間もコンテナは実行され、接続/アクセプトなどが発生します。
初めて Policies タブにアクセスすると、Sysdigのデフォルト・ポリシーをロードするよう促されます。
ポリシーは、最も一般的な使用方法に基づいて、あらかじめ有効/無効が定義された状態でロードされますが、必要に応じて、それぞれを有効、無効、コピー、編集、削除することができます。
sdc-cliを使用すると、インストール後にSysdigがリリースした新しいランタイムポリシーを取得したり、既存のランタイムポリシーを現在のSysdigのデフォルトで上書きしたりすることができます。
新しいポリシーをフェッチするには、以下を実行します。
sdc-cli policy update-default
これは、既存のランタイムポリシーを上書きすることはありません。
選択した既存のポリシーをSysdigのデフォルトに戻すには、以下を実行します。
sdc-cli policy update-default
を実行します。
既存のすべてのポリシーをSysdigのデフォルトに戻すには、以下を実行します。
sdc-cli policy update-default
実行する。
ポリシーの作成を自動化するための様々なオプションツールがあります。こちらも参照してください。
Policies > Runtime Policies
を選択します。+Add Policy
を選択します。
Enable
にし、 Save
します。 +Add Policy
をクリックすると、希望するポリシーの種類を選択するよう促されます。こちらもご覧ください:ポリシーの種類を確認する
ポリシーのパラメータは、主に選択したタイプで利用可能なスコープとアクションによって異なります。
ドリフトポリシーは、他のポリシータイプとはいくつかの点で異なります:
Prevent
アクションを切り替えて、バイナリ ever の開始を停止することができます。Prevent
が有効な場合は実行ファイルの実行が拒否されます。機械学習ポリシーは、他のポリシータイプといくつかの点で異なっています。
Crypto Mining Detection
のみをサポートしています。ライブラリから既存のルールを選択するか、その場で新しいルールを作成して、ポリシーに追加することができます。
ポリシーエディターインタフェースは、ポリシーにルールを追加したり、ポリシーからルールを削除したりするための柔軟な方法を数多く提供しています。以下の手順は、その方法の1つを示しています。
こちらもご覧ください : ルール管理
1. New Policy (またはEdit Policy) ページから、Import from Library
をクリックします。
Import from Rules Library ページが表示されます。
2. インポートするルールのチェックボックスを選択します。
ヒント
特定のキーワードやタグを検索したり、色付きのタグアイコン (例) をクリックすることで、ルールのコレクションを事前にソートすることができます。
3. インポートするマークをクリックします。
選択したルールの右側に青いインポートアイコン
が表示され、 Import Rules
ボタンが有効になります。
4. Import Rules
.をクリックします。
選択したルールが表示されたポリシーページが表示されます。
ヒント
リスト内のルールの横にある X をクリックすると、Policy からルールを削除することができます。
ライブラリからのインポートの代わりにNew Rule をクリックすると、ルールの作成で説明した手順にリンクされます。
ポリシーに違反した場合に、どのように対処するかを決めます。こちらもご覧ください。ポリシーアクションがどのように起動されるかを理解する。
ポリシーのルールに違反した場合に、影響を受けるコンテナに何が起こるかを選択します。
Nothing (alert only):
コンテナの動作を変更せず、通知チャネル設定に従って通知を送信します。Kill:
1つまたは複数の実行中のコンテナを直ちにKillします。Stop:
コンテナを強制終了する前に、グレースフル・シャットダウン(10 秒間)を許可します。Pause:
一時停止する。指定されたコンテナ内のすべてのプロセスを一時停止します。stop vs killコマンドの詳細については、Dockerのドキュメントを参照してください。
イベント発生時にキャプチャを作成する場合は、CaptureをONに切り替えて、スナップショットに含めるイベントの前後何秒かを定義します。
2021年6月現在、SysdigエージェントとFargateサーバーレスエージェントの両方からのイベントに影響を与えるポリシーにCaptureオプションを追加することができます。サーバーレスエージェントの場合、手動キャプチャーはサポートされていないことに注意してください。ポリシー定義でキャプチャーオプションをオンに切り替える必要があります。
こちらも参照してください:キャプチャー
ドロップダウン リストから、イベントの通知を適切な担当者に送信するための通知チャネルを選択します。
こちらも参照してください: 通知チャンネルの設定
ランタイムポリシーリストの行を選択すると、ポリシーの詳細が展開され、ポリシーを編集、コピー、または削除するためのアイコンが表示されます。
ポリシーが自動でインストールされるのは、デフォルト ポリシーが初めてロードされたときだけであることに注意してください。デフォルトのポリシーを削除し、その後アップグレードした場合、そのポリシーは再作成されません。