Sysdig

SCSK株式会社

Why Sysdig ?

HOME 製品情報 Why Sysdig ?

システムコールをセキュリティとモニタリングにフル活用

システムコールは嘘をつかない システムの根幹からとれる情報に間違いはない コンテナ登場前から不審なプロセスの調査にはシステムコールの確認が定石
Sysdig Secure
  • システムコールベースのふるまい検知・証跡管理を提供
  • ドライブレコーダーのように攻撃前後のイベントまで可視化・保存可能
  • 調査機能が充実(プロセスツリーや操作ログの表示など)
Sysdig Monitor
  • システムコールから監視に必要なメトリックを取得
  • システムコールベースのインシデント調査機能を提供

なぜSysdigが選ばれるのか?

① 特許技術であるOSのシステムコールを可視化

多様なメトリックスとイベント収集

  • Sysdigエージェントは、コンテナ(またはコンテナ化されていない環境のプロセス)としてデプロイ
  • ホストごとに1つのエージェントを実行(ボッド単位/コンテナ単位でのエージェント不要)
  • エージェントは、全てのシステムコールを読み取りのみを行うカーネルモジュールでデプロイ(書き換え変更を行わないので、ホストOSに傷をつけない、不具合を起こさせない)
  • これらのシステムコールから、必要なすべてのデータ(ホストメトリック、ネットワークメトリック、カスタムアプリケーションメトリック、セキュリティイベント)を抽出

Sysdigカーネル・インスツルメンテーションはどのように機能するのか?

Sysdigがどのようにファイルへの書き込み イベントを計測しているかを見てみましょう

  1. プログラムはfwrite関数を使って ファイルに書き込みます。
  2. fwrite関数はglibcによってシステム コールにマップされ、プロセッサのレジスタに書き込まれます。
  3. sysdig-probeは、各システムコール の開始時と終了時にトレースポイントを登録し、イベントメタデータを収集します。
  4. イベントはリングイベントバッファに格納されます。
  5. Scapはあらゆるキャプチャを処理し S3ストレージに送信します。
  6. Sinspはイベントを解析し、ランタイ ムのアクションを発行します
  7. イベントは、 Sysdigエージェントに渡され、Sysdig SaaSサービスに送られます。

② Runtime Insight リアルタイムでの観察・検出

  • Falcoをベースとした技術によるRuntime Insight:リアルタイムでの観察・検出を実現
  • 昨今の攻撃手法はツールを使って自動化されており10分で完結
  • 10分で攻撃/改ざん箇所を修復されるとどうなる?
  • 従来の定期検診型の防御では攻撃に気づけない・証跡がとれない
  • リアルタイムのふるまい検知で、ゼロデイアタック・内部犯行もカバーできる
ゼロトラストセキュリティの実現へ※Runtime Insightのコンテンツへ誘導

③ すべての情報がオープンで非公開部分がない

  • Sysdig OSS、Falco、Open Policy Agent、eBPF、Cloud Custodian、Prometheusの技術ですべての情報がオープン
  • もし攻撃を受けても、即時で証跡・原因の追究が可能
  • メーカーに問い合わせても「時間がかかる」「公開情報ではない」では責任は果たされない!
セキュリティ責任者・担当者を守れるのは情報がオープンで証跡が確実にとれること

オープンソースで構築された統合プラットフォーム
Sysdig Secure

コンテナ/K8s
  • イメージスキャン
  • ランタイムセキュリティ
  • インシデントレスポンス
  • モニタリング
クラウド
  • クラウドセキュリティ(CSPM)
  • 脅威の検知
  • インシデントレスポンス
  • モニタリング

Sysdig Secureのストロングポイント(ふるまい検知)

検知ロジックのわかるルールベースのふるまい検知

リアルタイム検知

OSS Falcoをベースとしたシステムコール監視技術でリアルタイムの観察・検出を実現

ブラックボックスの無いオープンな設計

検知ロジックのルール定義が公開されているため、製品ベンダに頼らずインシデントの調査が可能。
ユーザー独自のセキュリティ要件を満たすルールを柔軟に作成可能。

ベンダがベストプラクティスを提供

ベンダマネージドのルールやポリシーアセットが豊富なためユーザーは独自カスタマイズやルールの管理なしにすぐに利用開始することも可能。

実際のルール

rule: Terminal shell in container
id: 10092963
Sysdig 0.134.4
description: A shell was used as the entrypoint/exec point into
a container with an attached terminal.
condition:
spawned_process and container and 
and proc.tty != 0 and container_entrypoint
user_expected
and not
terminal_shell_in_container_conditions

Sysdigのストロングポイント(脆弱性管理)

メモリにロードされているパッケージの脆弱性に絞って検出

コンテナ内で動いているサービスの脆弱性だけを表示します。
脆弱性対応で最も時間がかかるパッチの対応順番決めのコストを削減します。

Sysdigのストロングポイント(CSPM)

コンプライアンスチェックの修正方法まで提示

コンプライアンスチェックに不合格した項目の修正パッチを自動生成します。
ユーザーのコンプライアンス対応負荷を軽減します。

Sysdigの対応プラットフォーム

対応プラットフォーム

  • Kubernetes(マネージド含む)
  • Open Shift
  • Docker
  • ECS Fargate

Linux

  • RHEL
  • Amazon Linux
  • Debian
  • Amazon Linux2
  • Google Container-Optimized OS (COS)

クラウド連携

  • AWS
  • GCP
  • Azure
  • IBM Cloud

Sysdig Secureのカバレッジ

Sysdig Secure

ふるまい検知

  • クラウド
  • Kubernetes
  • Docker
  • Linux
  • GitHub
  • Okta
  • ドリフト検知
  • マルウェア検知

IaCスキャン

  • クラウド
  • Kubernetes
  • Docker
  • Linux
  • GitHub
  • Okta
  • 異常検知(クラウドログイン)
  • 異常検知(クリプトマイナー)
  • 証跡管理(システムコールベース)
  • 操作ログ保存(k8s audit log含む)
  • CISベンチマークテスト

コンプライアンスチェック

  • PCI DDS
  • NIST
  • SOC2
  • MITRE
  • 各パブリッククラウドのセキュリティガイドライン

脆弱性スキャン

  • レジストリ
  • ランタイム
  • CI/CDパイプライン
  • 脆弱性スキャンレポート
  • IAM権限チェック機能
  • 機能別管理ダッシュボード
  • 通知機能(SNS,メールなど)
  • イベント転送(SIEM連携)
  • Jiraチケット連携
  • Snyk連携
  • ServiceNow連携

Sysdig Monitorのカバレッジ

Sysdig Monitor

  • ダッシュボード
  • アラート調査(システムコールベース)
  • K8sコスト可視化
  • トラブルシューティング機能
  • アラート
  • メトリクスビュアー(explore)
  • 通知機能(SNS,メールなど)
  • Prometheus完全互換(PromQL対応)

スライドで学ぶSysdig

クラウドネイティブ向けSysdig Secure DevOps Platform

オープンなデザイン

  • Wiresharkの共同作成者によって設立されました
  • FalcoをCNCFに寄稿
  • サポートされているオープンソースのsysdig(1,000万回以上のダウンロード)

エコシステム統合

  • クラウドネイティブのセキュリティと監視
  • 安全な運用のための可視性とコントロールを提供します

強い勢い

  • 顧客の拡大はクラウドネイティブの採用を反映
  • 大企業から信頼されています

お客様例

受賞歴

クラウドネイティブなアーキテクチャーは、ビジネスとデベロッパーのやる気に恩恵をもたらしています

ビジネスリーダー

  • イノベーション促進
  • 効率的なコスト
  • リスク低減

デベロッパー

  • インフラを意識しなくて良い
  • 独立したチーム
  • コンポーネントの再利用

Kubernetes

マイクロサービス

クラウド

しかし、クラウドネイティブを採用した途端に、今まで使用していた可視化+セキュリティツールでは状態が見えなくなってしまいます。

従来のツールは、クラウドネイティブなアーキテクチャーにおいて状況の把握が困難になってしまいました。

既存のインフラ

  • SIEM
  • ファイアーウォール
  • IDS
  • 脆弱性管理
  • モニタリング
  • APM
  • キャパシティプランニング

クラウドネイティブへのシフト

マイクロサービス

Kubernetes

クラウド

クラウドネイティブにおける課題

  • コンテナは、典型的に可視化のポイントを抽象化してしまう
  • マイクロサービスを使用すると、保護するために理解すべき要素が10倍に膨れる
  • マルチクラウドにより、一貫したセキュリティ+モニタリングが 新たな課題となる

クラウドネイティブにおける可視性の欠落

クラウドネイティブなアーキテクチャーは、開発をシンプルにすると共に運用の複雑さが増します。

CI/CDの最初の段階で、脆弱性があるイメージをスキャンしてブロックするベストプラクティスは?

エフェメラルなコンテナにおいてプロアクティブなインシデントアラートやフォレンジックでMTTRを削減、詳細な監査記録を保持するためには?

何百万ものコンテナや数千のサービスにおいて脅威をブロックし、コンプライアンスを強化し、アプリのパフォーマンスを監視するには?

クラウドネイティブにおける可視性の欠落 – 実際の問題

セキュリティを確保しつつ、コンテナとCI/CDを使いたい
著名な金融機関
コンテナが数秒で起動・停止するのに60秒毎のポーリングでは不十分だ
グローバルな投資銀行
問題のデバッグを行うためには、Kubernetesのネットワークレベルの可視性とアプリの可視性が絶対的に必要です
政府機関
パブリッククラウドにおいてKubernetes環境のPCIコンプライアンスをどのように確保すれば良いのだろうか?
グローバル eコマースプラットフォーム

クラウドネイティブな可視性+セキュリティプラットフォーム

ユニークな手法を用いたデータプラットフォーム

クラウドネイティブなコンテナ化されたアプリケーションの信頼性を高め、かつ、安全な運用を実現

アプリケーション

  • 統合
  • セキュア
  • モニター

プラットフォーム

  • クラウドネイティブな可視性
  • ハイパースケールするデータエンジン
  • ユニークな計測の仕組み

幅広い利用局面に対応

Sysdigは、コンテナセキュリティや監視のツールを別々に利用する必要性を排除した、業界初のクラウドネイティブな可視性+セキュリティプラットフォームです。

実証され、確実なビジネスにおけるベネフィット

3X

クラウドネイティブへの移行を迅速化

  • 新しい環境におけるより高い可視性
  • 新規システムの性能に対する信頼性の向上
  • 健全さ、リスク、新しいプラットフォームのパフォーマンスに関する理解を深める

67%

DevOps の効率が向上

  • インシデントのMTTR(平均解決時間)が迅速化
  • 統合+自動 リスク+パフォーマンス 分析
  • スタンドアロンのセキュリティ、監視、およびフォレンジックツールを排除

95%

リスク低減の改善

  • 初期段階において既知のCVEをブロック
  • 開発中においてもコンプライアンス+ベストプラクティスを強化
  • ゼロデイ脅威を見つけてブロック

代表的なお客様事例

グローバル+ケーブルメディア

  • 60のデータセンターをモニタリング
  • k8sとの深い統合
  • クラスターにおけるトラブルシューティング

2,500万以上のお客様へ信頼性の高い配信を実現

グローバル信用格付け機関

  • レッドハットオープンシフト環境
  • ラウンタイムポリシー執行
  • ユーザ活動監査


10億以上のコンシューマレコードのセキュリティ

世界TOP5に入る投資銀行

  • 10倍に拡大データ/ホスト
  • コンテナ / ネットワーク / JAVA
  • イベントドリブンのフォレンジック


1兆ドルを管理するシステムの可視性とセキュリティ

どのようにSysdigがクラウドネイティブ可視性欠落を解決するのか?

問い: 把握が難しいコンテナとネットワーク境界のないマルチクラウドの世界 ネットワークパケットのマジックをどのように再現するのでしょうか?

ロリス デジオアンニ
Sysdig ファウンダー + Wireshark 共同創作者

マイクロサービス指向のための仕組み

「Container Vision」は、すべてのアプリケーション、コンテナ、ホスト、およびネットワークシステムコールを把握する事を可能にします:単一の計測点からのモニター、検出、保護、およびトラブルシューティング

コンテナ1

Docker

コンテナ2

RKT

コンテナ3

Docker

Sysdig
エージェント
Docker

データ収集

HOST+ネットワーク
メトリクス

PROM+STATSD
メトリクス

セキュリティ
イベント

セキュリティ執行

カーネルでの計測

ホスト

システムアーキテクチャーと技術的要素

サービス指向のインテリジェンスを実現

「サービスビジョン」はサービス指向のメタデータを使用してデータを補強し、情報の価値を飛躍的に高めます。

Sysdig クラウド-ネイティブインテリジェンス基盤

インフラストラクチャー
アプリ
コンテナー
ホスト、ネットワーク
クラウドプロバイダー
AWS,GKE
Azure
IBM
オーケストレーター
Open Shift
Docker,DC/OS
Kubernetes
Container
Vision
コンテナ内のセキュリティとモニタリング
Service
Vision
オーケストレーターからのメタデータをリアルタイムで活用し、メトリクスを補強

Sysdig

クラウド-ネイティブインテリジェンス基盤

クラウドサービス
or
オンプレミスソフトウェア

Sysdig
セキュア

Sysdig
モニター

Sysdig
インスペクト

ページトップへ