Sysdig Secure for cloud

By 清水 孝郎 - JUNE 9, 2021

SHARE:

本文の内容は、docs.sysdig.com上のSysdig Secure for cloudを元に日本語に翻訳・再構成した内容となっております。(2021年6月10日現在)

Sysdig Secure for cloudは、Sysdig Secureの機能をお客様のクラウド環境に接続し、脅威検知、コンプライアンス、フォレンジック、分析を統合的に提供するソフトウェアです。

最近のクラウドアプリケーションは、単なる仮想化されたコンピュータリソースではなく、企業が依存するクラウドサービスの集合体となっているため、クラウドアカウントのセキュリティを管理することは不可欠です。エラーを犯すと、リソースのダウン、ワークロードへの侵入、機密の流出、目に見えない資産の作成、あるいはビジネスや評判の低下などのリスクに組織がさらされる可能性があります。利用可能なクラウドサービスや設定の数が急激に増加する中、クラウドセキュリティプラットフォームを利用することで、目に見えない設定ミスが深刻なセキュリティ問題に発展するのを防ぐことができます。

クラウドアカウントの制限

現在、Sysdig Secure for cloudのエンタープライズ版では、最大50個のクラウドアカウントを監査することができます。

この制限数を増やす必要がある場合は、お客様のアカウントチームにお問い合わせください。購入されたライセンスを超えた場合、Sysdigはクラウドの接続をブロックしたり、サービスを停止したりせず、アカウントチームがお客様に連絡します。

Sysdig Secure for cloud on AWSについて

Sysdig Secure for cloudは、AWS上で様々な機能を提供しており、1つのCloudFormationテンプレートから同時または個別にデプロイすることができます。

  • CloudTrailイベントの監査に基づく脅威の検知
  • CIS AWS Benchmarkのコンプライアンス評価によるCSPM(Compliance Security Posture Management)
  • ECRのコンテナレジストリスキャン
  • ECSにおけるFargateのためのイメージスキャン

secure_for_cloud.png

CloudTrailに基づく脅威の検知

脅威検知は、AWS CloudTrailからの監査ログとFalcoルールを活用して、脅威が発生するとすぐに検出し、クラウドアカウントのガバナンス、コンプライアンス、リスク監査を実現します。

豊富なFalcoルール、AWS Best Practicesのデフォルトポリシー、カスタマイズしたポリシーを作成するためのAWS CloudTrailポリシータイプが含まれています。これらは、以下のようなセキュリティ標準やベンチマークに対応しています。NIST 800-53、PCI DSS、SOC 2、MITRE ATT&CK®、CIS AWS、AWS Foundational Security Best Practicesなどのセキュリティ標準やベンチマークに対応しています。

policy_aws.png

CIS AWS ベンチマークによるCSPM/コンプライアンス

Sysdigのコンプライアンス機能に、新しいクラウドコンプライアンス標準であるCIS AWS Benchmarkが追加されました。この評価は、オープンソースのエンジンであるCloud Custodianに基づいており、Sysdig Cloud Security Posture Management(CSPM)エンジンの初期リリースとなります。この最初のSysdigクラウドコンプライアンス標準に続いて、GCP、IBMクラウド、Azureのセキュリティコンプライアンスおよびコンプライアンス標準が追加される予定です。

CIS AWS Benchmarks評価では、ベンチマーク要件に照らしてAWSサービスを評価し、その結果とクラウド環境の設定ミスを修正するために必要な改善活動をサジェストします。また、コントロールの説明、影響を受けるリソース、障害のあるアセット、手動およびCLIベースのガイド付き修復ステップ(利用可能な場合)など、追加の詳細情報を提供するために、いくつかのUIを改善しました。

AWS_bench2.jpg

ECRレジストリスキャン

ECR レジストリスキャニングは、お使いのすべてのElastic Container Registriesにプッシュされたすべてのコンテナイメージを自動的にスキャンするので、追加のパイプラインを設定することなく、Sysdig Secureのダッシュボードで脆弱性レポートをいつでも利用できます。

新しいイメージがプッシュされるたびにエフェメラルなCodeBuildパイプラインが作成され、定義したスキャンポリシーに基づいてインラインスキャンを実行します。デフォルトのポリシーは、脆弱性やdockerfileのベストプラクティスをカバーしており、高度なルールを自分で定義することもできます。

ECSにおけるFargateイメージスキャン

Fargate Image Scanningは、Elastic Container Service上で実行されるサーバーレスのFargateタスクにデプロイされたあらゆるコンテナイメージを自動的にスキャンします。これには、ECR以外のレジストリに存在するパブリックイメージや、認証情報を設定したプライベートイメージも含まれます。

ECS Fargate上にコンテナがデプロイされると、インラインスキャンを実行するためのエフェメラルなCodeBuildパイプラインが自動的に作成されます。

以下も参照してください: