本文の内容は、2021年4月20日にChris Kranzが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-april-2021/)を元に日本語に翻訳・再構成した内容となっております。
毎月恒例のSysdigの最新情報をお届けします。聖なる月、ラマダンを迎えている皆様に、ラマダンカリームをお届けします。私たちのチームは、すべてのお客様に素晴らしい新機能を自動的かつ無料でお届けするために努力を続けています。先月は、Cloud Security Posture Management (CSPM)をリリースしたことで、セキュリティにとって大きな月となりました。また、新しいCloud Chaosゲームをデザインしてリリースするなど、たくさんの楽しみがありました。
クラウドとコンテナを組み合わせたセキュリティの威力
異なるクラウドとコンテナのセキュリティツールを使用すると、侵害をキャッチし、影響を受けたシステムを明らかにするために、ログを手作業で相関させる必要があります。Sysdigは、インシデントのタイムラインを統一し、リスクベースのインサイトを追加することで、クラウドとコンテナにまたがる脅威を検知する時間を数週間から数時間に短縮します。クラウド開発チームは、攻撃者がどこからスタートし、環境内を移動する際の各ステップを正確に把握することができます。
この種のクラウドラテラルムーブメント攻撃の手順については、”クラウドにおけるラテラルムーブメント:脆弱なコンテナからの侵入“をご覧ください。
Sysdigの新しい継続的なCSPM
Cloud CustodianをベースにしたAWS向けのクラウドセキュリティポスチャーマネジメント:Sysdigは、クラウドのアセットディスカバリー、クラウドサービスのポスチャーアセスメント、コンプライアンス検証を追加しました。クラウドセキュリティチームは、すべてのクラウドサービスを自動的にディスカバリーすることで、セキュリティポスチャーを管理することができます。また、設定ミスや、コンプライアンスや規制要件への違反にフラグを立てることもできます。これらの新機能は、クラウドインフラストラクチャーのセキュリティを確保するためのオープンソースツールであるCloud Custodianをベースにしています。
FalcoをベースにしたAWSとGCPのためのマルチクラウド脅威検知機能:Sysdigは、昨年からのAWS CloudTrailの統合に加えて、GCPの監査ログを介したクラウド脅威検知のサポートを追加しました。セキュリティチームは、定期的な設定チェックに頼ることなく、インフラストラクチャー全体の不審な活動や設定変更を継続的に検出することができます。洗練された攻撃者は、露出した構成を利用してクラウドにアクセスし、内部に入ったらすぐに元に戻すことができます。静的なチェックでは、このような変更を見逃し、攻撃者に隙を与えたり、攻撃者が環境に侵入したことを示す指標を見落としたりする可能性があります。
Sysdigは、Cloud Native Computing FoundationのデファクトランタイムセキュリティプロジェクトであるオープンソースのFalcoを使用し、クラウドの監査ログを継続的に検査することでアラートを出します。また、ユーザーのクラウドアカウント内で分析を行うため、機密データの保護やログのエクスポートにかかるコストを削減することができます。現在、CloudTrailには200以上のルールが用意されていますが、Sysdigとコミュニティが毎月20~50の新しいルールを提供することで、データベースは成長し続けています。
CSPM、コンプライアンス、コンテナランタイム、AWS CloudTrailイベントを含むすべてのSysdigのイベントは、AWS Security Hubに送信することができ、セキュリティチームが脅威に迅速に対応できるようになります。
クラウドリスクインサイト: Sysdigは、相互に接続されたクラウドやコンテナのセキュリティインシデントを、リスクレベルに応じて優先順位をつけて、視覚的に把握することができます。Sysdigはアラートのノイズを減らし、ハッカーがコンテナの脆弱性を悪用してクラウドにアクセスするところから、特権を昇格してKubernetesクラスター上で暗号化するなどの壊滅的なアクションを実行するところまで、クラウドの攻撃チェーン全体を瞬時に把握することができます。インシデントを深刻度に応じて分類することで、チームは何を最初に調査・対応すべきかの優先順位をつけることができます。また、ユーザーが行った不審な行動をすべて調査することで、影響の範囲を把握し、インシデント対応活動を迅速に開始することができます。
クラウドセキュリティのFree tier
Sysdigは、1アカウントにつき、継続的なクラウドセキュリティを永年無料で提供します。簡単なオンボーディングにより、ユーザーは数分でクラウドポスチャーの管理を開始することができます。無料版では、CISのベンチマークに対する毎日のチェックと、継続的な脅威の検知が含まれており、クラウド環境が常に安全で、コンプライアンスが保たれ、強化された状態であることを保証します。また、FargateおよびECRイメージのインラインスキャンも含まれており、月に250イメージまでスキャンすることができます。
クラウドセキュリティへのオープンスタンダードアプローチ
Sysdigは、セキュリティの未来はオープンであると考えています。オープンソースのセキュリティは、迅速な技術革新により、より優れたセキュリティを実現します。企業は、永続的に受け入れられる標準を採用していると確信することができます。この点を考慮して、SysdigはFalcoとCloud Custodianの上にCSPM機能を構築することを選択しました。SysdigがCloud Custodianオープンソースプロジェクトを選択した理由は、採用に強い勢いがあり、急速に成長しているルールデータベース、自動修復機能、マルチクラウドのサポートがあるからです。
CSPMの詳細や、先月リリースしたその他の新機能については、引き続きご覧ください。
いつものように、製品アップデートの詳細については、リリースノートを確認し、ここで説明されていることについて質問がある場合は、最寄りのSysdigにご連絡ください。
Sysdig Secure
Sysdig Secure for Cloud
Sysdig Secure for cloudは、Cloud Risk Insights for AWS、Cloud Custodian for AWSをベースにしたCloud Security Posture Management、Falcoを利用したAWS向けのマルチクラウド脅威検知などが利用できます。
このリリースに含まれるもの:
- Insight:脅威の検知、調査、リスクの優先順位付けのための強力な新しい視覚化ツールで、環境に対するコンプライアンスの異常や継続的な脅威の特定を支援します。Insightsでは、ワークロードとクラウドの両方の環境でSysdigが生成したすべての調査結果を視覚的なプラットフォームに集約し、脅威の検知とフォレンジック分析を効率化します。
- AWS CloudTrailに基づく脅威の検知:柔軟なFalcoエンジンを用いて、脅威、異常、疑わしいアクティビティを検出します。AWS CloudTrailとFalco言語を活用することで、AWSアカウントにおける予期せぬ行動や望ましくない行動を検知することができます。Sysdig Cloud Connectorは、AWS CloudTrailを真実の情報源として活用し、AWSアカウントのガバナンス、コンプライアンス、運用監査、リスク監査を可能にします。お客様のインフラストラクチャーリソース上のすべてのAPIアクションは、CloudTrailエントリのセットとして記録されます。Sysdig Cloud Connectorは、お客様のインフラに統合されると、これらのエントリをリアルタイムに分析し、柔軟なセキュリティルールでフィルタリングすることで、AWSの脅威を検知します。詳細については、Sysdig Cloud Connectorをご覧ください。検出ルールの例は以下の通りです。
- 管理者ポリシーにユーザをアタッチする。
- SSLを使用しないHTTPターゲットグループを作成する。
- ユーザーアクセスのMFAを無効にする。
- S3バケットの暗号化を削除する。
- AWS Benchmarksによるクラウドセキュリティポスチャー管理:AWS CIS Benchmarks評価では、ベンチマーク要件に照らしてAWSサービスを評価し、クラウド環境の誤設定を修正するために必要な結果と修復手順をレポートします。コントロールの説明、影響を受けるリソース、失敗したアセット、手動およびCLIベースのガイド付き修復ステップなど、追加の詳細情報を提供するために、いくつかのUIを改善しました。
- AWS ECRにおけるイメージスキャン:CloudFormationテンプレートを使用してワンクリックで導入できます。AWSネイティブテクノロジーとSysdig Secureを使用して、Amazon Elastic Container Registry (ECR)にプッシュされたイメージを自動的にスキャンします。Sysdigのイメージスキャナーインテグレーションは、ECRのレジストリイベントをリッスンし、AWSリソースを使用してイメージスキャンプロセスを効率化するCloudFormationテンプレートとしてデプロイされます。
- ECR自体がスキャンのトリガーとなるため、CI/CDパイプラインがレジストリからアクティブにプルする必要はありません。
- Sysdig APIトークンやSysdigバックエンドのURLなどの基本的な設定パラメータを指定するだけで、数クリックで導入できます。
- Sysdig Secure側でレジストリスキャンの認証情報を設定する必要はありません。
- AWS ECSとFargateのためのイメージスキャン:CloudFormationテンプレートを使用してワンクリックで導入できます。Sysdig Inline Scanningの機能により、AWS Elastic Container Service(ECSまたはFargate)を使って作成されたタスクに使用されるベースイメージを自動的に分析します。インラインスキャンがお客様のAWSアカウント内に存在することは、セキュリティの向上を意味します。
- プライベートなAWSレジストリを公開したり設定したりする必要はありません。
- 射目0時のメタデータのみがSysdig Secureに送信され、実際のイメージコンテンツは送信されません。
- お客様のAWSアカウントから機密情報が流出することはありません。
- 発見されたイメージを分析するために、エフェメラルタスクが並行して生成されます。
- 完全に自動化されています。
- スキャン結果とスキャンポリシーは、Sysdig Secureを使って単一のセキュリティガバナンスポイントから制御されます。
お客様における活用方法
Sysdigのお客様の多くが、コンテナやKubernetesのユーザーであることは驚くことではありません。長年にわたり、クラウド環境でマネージドコンテナ&Kubernetesプラットフォームに移行し、ネイティブクラウドサービスの利用を拡大している方が増えています。当社のお客様は現在、このCSPMの機能を利用して、コンテナ化されたアプリケーションに対して行っていた可視化と制御を、クラウド全体やクラウドネイティブサービスにまで拡大しています。これにより、ツールの統合を検討することが可能になり、また、クラウドネイティブの取り組みに疎外感を感じることが多いセキュリティチームを含むすべてのクラウド利用者に一元的なビューを提供できるようになったと、お客様は語っています。
永年無料のクラウドセキュリティティア
Sysdigは、1つのアカウントで利用できる、永年無料のクラウド・セキュリティ・ティアを新たに提供しています。
- 数分で簡単にオンボーディングできます。
- CIS Benchmarksを毎日実行することで、クラウドの姿勢を管理します。
- FalcoをベースにしたCloudTrailの検知ルールで、すぐに脅威を検知。
- コンテナのスキャン(ECR/Fargateスキャン)をクラウド環境内で自動的に行い、月に250回のイメージスキャンを提供
お客様における活用方法
Sysdigを検討しているエンドユーザーの多くは、まだ本格的なツールを導入する準備ができていないか、あるいはクラウドへの移行作業を強化するために簡単なユースケースをカバーする必要があると話しています。長期的な視野に立ってはいるものの、短期的な課題を解決し、「クイック・ウィン」を実現するためのツールを必要としていると聞いています。当社の無料版は、お客様がセキュリティを向上させることができる場所について基本的な理解を深め、小さな改善を始めるのに役立ちます。
イメージスキャンレポート v3 [BETA]
イメージスキャンレポート機能が全面的に更新され、同期モデルから非同期モードに移行しました。このモードでは、必要なレポートをスケジューリングし、通常の通知チャネル(電子メール、Slack、Webhookなど)で受け取ることができます。また、新バージョンには以下が含まれています。
- UIでレポートの構造を確認できるプレビュー機能
- より高度なクエリビルダー
- データカラムの拡張(CVSSベーススコアやベクターなど)および利用可能なフィルタの拡張(パッケージタイプなど)
レポート機能 v3では、以下の2種類のレポートをサポートしています。
- 脆弱性レポート: 脆弱性、パッケージ、イメージデータを含みます。例えば、ランタイムに含まれる脆弱性で、Severity ≥ High、Fix available、Vuln exception listに含まれていないものなど。
- ポリシーレポート:スキャンポリシーと評価されたイメージのデータが含まれています。例えば、私の内部レジストリにあるイメージが「NIST」スキャンポリシーに失敗した場合などです。
この機能を有効にするには、User ProfileページのSysdig Labsの設定から行う必要があります。
お客様における活用方法
多くのお客様から、スケジュールされたレポートや、リアルタイムでは数分かかるような複雑なレポートを作成したいというご要望をいただいています。非同期レポートに移行することで、検索が最適化され、お客様のワークフローがよりシンプルになりました。これらのレポートは、日次または週次のレビュータスクの一部として使用されていると聞いています。お客様はメールボックスから離れる必要がなく、すでにセキュリティ修正の優先順位付けや新しい脆弱性の通知への対応を開始しています。
機能強化:Falcoポリシータイプ
Sysdig Secureは、ポリシーエンジンで使用されるソースに基づいて、ポリシーを論理的なグループに分離するポリシータイプを導入しました。ポリシーを作成する際、タイプを選択すると、関連するスコープとコンテナアクションのみが表示されます。また、AWS CloudTrailルールによる脅威検知をサポートするために、新しいポリシータイプを導入しました。
詳細については、「ポリシーの管理」をご覧ください。
お客様における活用方法
これにより、お客様のワークフローが簡素化されました。CSPMでは大量の新しいルールが導入されたため、ユーザーが迅速かつ視覚的にポリシーをフィルタリングして、目の前のタスクに関連するポリシーを確認できるようにすることが重要になりました。利用規模が拡大するにつれ、数千台のホストや数十台のクラウド環境にデプロイされる可能性のあるポリシーにとって、これは重要になってきます。
Sysdig Serverless Agent 1.0.0 for Fargate ECS
”container-as-a-service”のサーバーレス環境では、新しいエージェントモデルが求められており、Sysdigは新たなエージェントモデルで提供しています。ECSでは、ユーザーは依然として基盤となるインスタンスを管理していますが、AWS Fargateでは、ホストは決して見えず、ユーザーは単にワークロードを実行するだけです。また、このモデルは便利ですが、多くの人がセキュリティイベントを監視せずにコンテナを放置しているため、リスクが発生し、機密の流出、ビジネスデータの漏洩、パフォーマンスへの影響、AWSのコスト増などの可能性があります。また、ホストにアクセスできない環境では、標準的なエージェントをインストールすることができません。
このような理由から、Sysdigはこのようなコンテナベースのクラウド環境に導入可能な”サーバーレスエージェント”モデルを新たに導入しました。最初の実装は、Fargate(ECS)向けです。
Sysdigは今後、サーバーレスエージェントのセキュリティ機能を順次展開していく予定です。v1.0.0では、ユーザーは以下を見ることができます。
- ランタイムポリシーとルール
- セキュアイベント
Fargate環境からSysdig Secure UIでセキュアなイベント情報や、関連するFalcoのポリシーやルールを取得するには、ユーザーはCloudFormation Templateを使ってサーバーレスエージェントをインストールする必要があります。その後、Sysdig Secureにログインして、UIでイベントを確認します。
こちらもご参照ください。AWS Fargateのサーバーレスエージェント。
お客様における活用方法
Sysdigのユーザーは、Fargateのワークロードの可視性とコントロールが必要になりました。マネージドKubernetesプラットフォームに移行する人が増えていますが、完全にデプロイされたバリアントを使用する際の可視性については妥協したくないと考えています。これにより、FargateのようなフルマネージドKubernetesの採用が促進され、運用効率に関する他の利点が得られると聞いています。
Falcoルール
v0.12.1が最新バージョンです。先月ご紹介したv0.10.5からの変更点の差分は以下の通りです。
- いくつかの古いSysdigバックエンドのバージョンにルールをデプロイできない不具合を修正しました。
- マクロや長い条件文字列のコレクションの代わりに例外を使用する新しいバージョンのfalco_rules.yaml/k8s_audit_rules.yamlを追加しました。ルールの適用範囲は、旧バージョンと同じです。
- ルールのインストールスクリプトのマイナーな問題を修正しました。
- AWS CloudTrailイベントのストリームから疑わしい/異常な/注目すべき動作を検出する164のルールを追加しました。これには、ポリシータイプをサポートするSysdigのバックエンドと、Cloud Connectorの実行が必要です。
- 新しいポリシーである、Sysdig AWS Best Practicesには、SysdigがAWS環境での使用を推奨する上記のルールが41個含まれています。
Sysdig Monitor
PromQLチートシート
Sysdig MonitorのPromQLサポートをリリースして以来、多くのお客様がこの機能を大いに活用し、既存のPrometheusスキルへの投資を活用しているのを目の当たりにしています。いくつかの素晴らしいユースケースが構築されており、ユーザーが我々のネイティブエンタープライズサポートを最大限に活用しているのを見るのは素晴らしいことです。しかし、PromQLのエキスパート1人に対して、Prometheusを使ったことがない、あるいはどこから手をつけていいのかわからないユーザーが10人はいるのではないでしょうか。私たちは、PromQLへの移行を容易にするために、PromQL Cheatsheetをリリースしています。PromQLが初めての方でも、便利なリファレンスガイドが必要な方でも、ツールキットに入れておくととても便利なリソースになるはずです。
Sysdig Agent
Sysdig Agent
Sysdig Agentの最新リリースは11.1.2です。以下は、前回のアップデートで取り上げた11.0.0以降のアップデートの差分です。
- Kubernetes APIサーバとの接続強化
- Kubernetesの再接続ロジックが改善され、Thin Cointerface使用時に接続が継続的に切断された場合、自動的にバックオフ(1分、2分、4分…1時間)されるようになりました。これにより、APIサーバーの負担が大きいクラスターにおいて、エージェントがKubernetes APIサーバーに与える負荷が軽減されます。
- Kubernetes APIサーバーの負荷軽減
- エージェントのレディネスプローブが改善され、エージェントがKubernetes APIサーバーに接続した後でないとレディネスを報告しないようになりました。これにより、RollingUpdate時にエージェントが起動する際にKubernetes APIサーバにかかる負荷が軽減されます。
- エージェントがコンテナのメモリ使用量を正確に報告
- 4GB以上を使用するコンテナのmemory.bytes.usedをエージェントが誤って報告する問題が修正されました。
- ランタイムポリシーが期待どおりに機能する
- ポリシータイプとキャプチャアクションを持つランタイムポリシーは、期待どおりに処理されます。
- ポリシースコープ内のエージェントタグ
- エージェント タグは、ランタイム ポリシー スコープでサポートされています。
- メトリクスの上限値が想定どおりに更新される
- メトリクス制限がデフォルトから更新されない問題が修正されました。エージェントがSaaSバックエンドに接続されている場合は、この問題は発生しないと思われます。
- Prometheusスクレーパーの設定済みタグ
- 古いPrometheusスクレーパー(promscrapeが無効な場合に使用される)の問題を修正し、構成されたタグがメトリクスに適切に追加されるようにしました。
- 短時間動作のJavaプロセスのJMXメトリクス
- 短時間動作のJavaプロセスが原因で、Sysdig AgentがJMXメトリクスの収集を停止する問題を修正しました。
- 設定ミスによるエージェントのKubernetes APIサーバへの継続的な問い合わせがなくなりました
- エージェントがエンドポイントAPIを照会するためにKubernetes APIサーバに継続的にリクエストを送信する問題を修正しました。この問題は、エージェントのクラスターロールが正しく設定されていない場合に発生します。この修正により、ブート時にKubernetes APIに接続できない場合、エージェントは試行を繰り返さなくなりました。
- ランタイムポリシーのスコープ
- ランタイムポリシーは、kubernetes.cluster.name.によって正しくスコープされるようになりました。10.6.0での修正は不完全でした。
- エージェントがレプリカセットを正しく報告するようになりました
- エージェントがレプリカセットを見失い、不完全なメタデータを報告することがある問題を修正しました。
- HTTPプロキシでのエージェントの問題
- 暗号化された平文のHTTPプロキシを介したエージェント接続の問題を修正しました。
- SSL経由のHTTPプロキシ接続によるエージェント接続の問題を修正しました。
Sysdig Serverless Agent
先月に導入され、現在のバージョンはv1.0.0です。
”container-as-a-service”のサーバーレス環境では、新しいエージェントモデルが求められており、Sysdigは新たなエージェントモデルで提供しています。ECSでは、ユーザーは依然として基盤となるインスタンスを管理していますが、AWS Fargateでは、ホストは決して見えず、ユーザーは単にワークロードを実行するだけです。また、このモデルは便利ですが、多くの人がセキュリティイベントを監視せずにコンテナを放置しているため、リスクが発生し、機密の流出、ビジネスデータの漏洩、パフォーマンスへの影響、AWSのコスト増などの可能性があります。また、ホストにアクセスできない環境では、標準的なエージェントをインストールすることができません。
このような理由から、Sysdigはこのようなコンテナベースのクラウド環境に導入可能な”サーバーレスエージェント”モデルを新たに導入しました。最初の実装は、Fargate(ECS)向けです。
Sysdigは今後、サーバーレスエージェントのセキュリティ機能を順次展開していく予定です。v1.0.0では、ユーザーは以下を見ることができます。
- ランタイムポリシーとルール
- セキュアイベント
Fargate環境からSysdig Secure UIでセキュアなイベント情報や、関連するFalcoのポリシーやルールを取得するには、ユーザーはCloudFormation Templateを使ってサーバーレスエージェントをインストールする必要があります。その後、Sysdig Secureにログインして、UIでイベントを確認します。
こちらもご参照ください。AWS Fargateのサーバーレスエージェント。
Sysdig Agent – Helm chart
Helm Chartの1.11.11が最新版です。以下は、前回のアップデートで取り上げたv1.11.7以降のアップデートの差分です。
- Sysdig Agentの最新のイメージ(11.1.2)を使用します。
- imageanalyzerのextravolumesの修正。
- インストール方法のREADMEの改善と修正(デフォルトでsysdig-agentのネームスペースを使用します)。
ノードイメージアナライザー
バージョン0.1.11がリリースされました。前回のアップデートで取り上げたv0.1.10からの差分アップデートは以下の通りです。
- containerd環境でNIAが分析したイメージのUI上でOriginフィールドが入力されないバグを修正しました。
- containerd環境で、一部の未スキャンイメージに”unknown media type during manifest conversion”というエラーログが発生する問題を修正しました。
- NIAコンテナが “unhealthy “ステータスを報告する原因となっていた問題を修正しました。
ノードイメージアナライザーは、Sysdig Agentのインストールの一部としてインストールできます。
インラインスキャンエンジン
バージョン2.3.2はまだ最新のリリースで、前回のアップデートで取り上げました。
こちらもご覧ください:CI/CDツールとの統合
SDK、CLI、ツール
Sysdig CLI
v0.7.8が最新のリリースです。以下は、前回のアップデートで取り上げたv0.7.5以降のアップデートの差分です。
- ランタイムセキュリティポリシータイプのサポートを追加しました(上記の”Sysdig Secure”のセクションで説明したとおりです)。
- SDKのget_eventメソッドを使用するために、sdc-cli event getを更新しました(これにより、非常に古いイベントであっても、そのIDを介してイベントを取得することができます)。
- PromCatフォーマットからのダッシュボードのインポートを追加しました。
- バックアップからポリシータイプを復元できるようになりました。
こちらもご覧ください:Sysdig CLIページ
Python SDK
v0.15.1 が最新のリリースです。以下は、前回のアップデートで取り上げたv0.14.13以降のアップデートの差分です。
- イベントクライアントv1とv2にget_event by IDメソッドを追加しました。
- ポリシータイプのサポートを追加しました(上記の”Sysdig Secure”のセクションで説明したとおりです)。
- delete_sysdig_capture メソッドを追加しました。
- メール確認なしのユーザープロビジョニングを追加しました。
Terraform provider
v0.5.14がリリースされました。以下は、先月取り上げたv0.5.11からの差分変更点です。
- aws_cloudtrailポリシーを使えるようにしました。
- ポリシータイプのサポートを追加しました(上記の”Sysdig Secure”のセクションで説明したとおりです)。
- Falcoのルールタイプ”aws_cloudtrail”を追加しました。
- trigger_after_pctがsysdig_monitor_alert_downtimeリソースで正しく処理されません。
こちらもご覧ください:Sysdig Terraform providerのドキュメント
Falco VS Code extension
v0.1.0 はまだ最新のリリースです。
Sysdig Cloud Connector
v0.6.4がリリースされました。以下は、先月取り上げたv0.5.1以降のアップデートの差分です。
- ローダーが重複したルール/マクロ/リストを見つけた場合、それを上書きする。
- バリデーション時にルールの例外を許可する。
- 仮想マシン用のCIS GCP Foundation Benchmarkルールを追加しました。
- ネットワークおよびDNSに関するCIS GCP Foundation Benchmarkのルールを追加しました。
- LOGGING(sinks)に関するCIS GCP Foundation Benchmarkのルールを追加しました。
- デフォルトでセキュアな統合を有効にしました。
- アカウントIDを含むヘッダをSecureに送信することを有効にしました。
- IAMおよびAPIKEYS用のCIS GCP Foundation Benchmarkルールを追加しました。
- ルールでプレーンなjevtの代わりにaws.*フィールドを使用します。
- ルールファイルのjsonpathに「@type」のような互換性を追加しました。
- breaking change:jevt.eventルールに「@」文字のサポートを追加しました(現在、Falco OSSの実装はこれをサポートしていませんが、GCPアカウントのために必要としています)。
- セグメントキーが指定されていない場合、エラーを返す。
- GCPルール:Describe Instance, Super Admin コマンドを実行する。
- GCP ルール:バケット。
- GCPイベントスコープにgcp.userとgcp.callerIpを追加しました。
- gcp.locationをGCPイベントスコープに追加しました。
- クラウドスキャンにデフォルトの通知(メトリクス、コンソール、トラッキング)を追加しました。
- イベント getField を使用したクエリースコープを許可します。
- セキュアイベントフィードでポリシー名と一緒にルール名を表示します。
- 不正な順序でルールをロードする場合に終了せず、ログに記録する。
- 監査ログで不要なログをフィルタリングする。
- Secure Account Registrationとの統合。
- gcpロギングリーダーにページネーションを追加しました。
- セキュアのイベントにpolicy_idを追加する。
- 通知機能で、アラートの作成ではなく、イベントのタイムスタンプをイベントの発生日に設定します。
- ルールバリデーター:エラー時にエラー情報のみを表示するようにしました。
- AWS SDKをv2にアップデートしました。
- ルールバリデーターでOSS Falcoと同じ引数/出力を使用します。
- ルールバリデーター:空のファイルを許可する。
- Secureの設定に従って、パイプライン上のイベントをフィルタリングします。
- GCP Stackdriver Notifierを追加しました。
- ログレベルの指定を許可する。
- 新しい ECS Exec ルール。
- ポリシーに加えて、Sysdig SecureのイベントにFalcoルール名を表示する。
- 検証時にaws_cloudtrail以外のルールを無視します。
- ビルドおよびバージョン情報を含む。
- ルールバリデーター:ルールファイルの読み込み時の出力メッセージを修正しました。
こちらもご覧ください:Sysdig Cloud Connectorのドキュメント
Sysdig Secure inline scan for Github Actions
v3はまだ最新のバージョンです。
Sysdig Secure Jenkins プラグイン
v2.1.7がリリースされました。以下は、先月取り上げたv2.1.4からのアップデートの差分です。
- レポートのダイジェストがローカルのダイジェストと一致せず、実行が失敗するいくつかのエッジケースをサポートします。
- Dockerデーモンがエージェントではなく別のホストで実行されている場合のDockerfileのエラー。
- inline-scanの環境変数の取り扱いを改善しました。
もっと見る: Sysdig Secure Jenkins プラグインのホームページです。
非推奨のお知らせ
レガシーコマンド監査とレガシーポリシーイベント
- ”Commands Audit”機能は、2019年11月にアクティビティ監査に移行し、非推奨となりました。この機能は2021年4月にSaaS製品から完全に削除される予定です。
- アクティビティ監査機能では、2019年11月にリリースされたSysdigエージェントのバージョン0.93+*が必要です。
- ポリシーイベント機能は、2020年6月に新しいイベントフィードに変更され、非推奨となりました。この機能は2021年4月にSaaS製品から完全に削除される予定です。
- * Sysdigエージェントのバージョン10.3.0+を推奨します。
トレーニングと教育
今月、クラウドセキュリティに関連するいくつかの新しいトレーニングコースをリリースしました。トレーニングポータルに掲載されており、以下のトピックをカバーしています。
- Amazon ECR Image Registry Scanning
- Amazon ECSとFargateのイメージスキャン
- クラウドセキュリティポスチャー管理とコンプライアンス
- CloudTrailを利用した脅威の検知
- Sysdig Cloud Security for AWSのデプロイメント
- Sysdig Cloud Security on AWS ワークショップ(上記の分野のいくつかをカバーしています)
また、イメージの脆弱性スキャンに関するいくつかのラボを公開しています。
- イメージスキャン:Sysdig Admission Controller:Sysdig Admission Controllerを使って、最後のセキュリティバリアでイメージをスキャンする方法をご紹介します。
- イメージスキャン マルウェアの検出:信頼できないイメージソースから送られてくるマルウェアや有害ファイルからデプロイメントを保護する方法をご紹介します。
新しいウェブサイトのリソース
ブログ (日本語)、(SCSK Sysdig特設サイト)
- What’s new in Kubernetes 1.21?
- Unified threat detection for AWS cloud and containers
- AWS CIS: Manage cloud security posture on AWS infrastructure
- Cloud lateral movement: Breaking in through a vulnerable container
- Detect suspicious activity in GCP using audit logs
- AWS S3 security with CloudTrail and Falco
- ECS Fargate threat modeling
- Running commands securely in containers with Amazon ECS Exec and Sysdig
- Getting started with PromQL – Includes Cheatsheet!
ウェビナー
- Supercharging Kubernetes Labels And Metrics – Watch on demand
- Top Dockerfile Best Practices – April 22, 2021 10am Pacific | 1pm Eastern
- Fighting Fraud – Worldpay Protects Cardholder Data – April 29, 2021 10am Pacific | 1pm Eastern
- Securing Serverless Containers on AWS Fargate – May 13, 2021 10am Pacific | 1pm Eastern
- Preparing for the Certified K8s Security Specialist (CKS) Exam – May 20, 2021 9am Pacific | 12pm