エージェントレス脆弱性管理: セキュリティ強化のための完全ガイド

By 清水 孝郎 - SEPTEMBER 27, 2023
Topics: Sysdig機能

SHARE:

本文の内容は、2023年9月27日にJOSEPH YOSTOSが投稿したブログ(https://sysdig.com/blog/agentless-vulnerability-management-guide)を元に日本語に翻訳・再構成した内容となっております。

“セキュリティは私たちの足を引っ張りません。それを証明するために私たちはここにいます。”

これは、ある著名なソフトウェア開発会社のdevSecOpsチームリードであるMayaが、Agentless脆弱性管理アプローチがどのように彼女を助けたかを示すために、セキュリティリーダーの前でプレゼンテーションを始めた方法です:

  • 新しいデプロイのオンボーディングを合理化
  • 複雑さとセットアップ時間を大幅に削減


このブログ記事では、脆弱性管理のためのSysdigの新しいエージェントレススキャンを紹介します。その機能と、エージェントとエージェントレスの両方の長所を組み合わせることで、Sysdigが従来のエージェントレス手法の限界をどのように克服したかをご紹介します。

チームエージェントレス: 俊敏性とセキュリティのバランス

DevOpsのプラクティスに深く根ざしたMayaのチームは、運用の複雑性を増すことを躊躇していました。彼らのマントラは効率性と俊敏性でした。エージェントレスアプローチは、エージェントベースに代わる魅力的な選択肢として浮上しました。

エージェントをデプロイできないサードパーティによって管理されているアプリケーションが多数あることに加え、従来のアプリケーションも多数あるため、これらのアプリケーションに触れたり、エージェントをインストールしたりすることを非常に躊躇していたため、このアプローチはセキュリティリーダーにとって魅力的でした。

しかし、場合によっては、エージェントレススキャンを使用するだけでは、システムの可視性に一定の制限が生じます。たとえば、脆弱性のあるパッケージがすでに使用されていて、システムのメモリにロードされているかどうかについての洞察は得られません。さらに、エージェントレススキャンにはリアルタイムの可視性がないため、スキャンとスキャンの間のシステムの中間状態に関する情報を見逃す可能性があります。

Maya は エージェントレス を数分でデプロイし、すぐにインフラストラクチャーの保護を開始しました。時間をかけて、より良い洞察を得るために可能な限りエージェントを導入しています。

Sysdig Secureの脆弱性管理エージェントレススキャン

Sysdigは、エージェントレスとエージェントベースのデプロイの両方をインテグレーションすることで、包括的なスキャンソリューションを開発しました:

  • Sysdig エージェントレススキャンは、既存のクラウドプロバイダーのAPIを活用し、リソースを高速に検出してスキャンします。
  • Sysdigエージェントは、カーネルレベルで動作する軽量なパッケージで、eBPF(extended Berkeley Packet Filter)技術を活用し、最小限のオーバーヘッドとリアルタイムの可視性を提供します。
  • そして、これらは連携して動作します。例えば、Sysdigランタイム・エージェントはワークロードごとにプロファイルを作成し、エージェントレス・スキャナーはこれを利用して使用中のパッケージを特定し、すでに使用されている脆弱なパッケージの存在に基づいて修復作業の優先順位を決定します。

それでは、エージェントレススキャンの世界に飛び込んで、その動作を確認してみましょう。

エージェントレススキャンの仕組み

エージェントレス・セキュリティ・ツールは一般的に、クラウド・サービス・プロバイダーが提供する既存のインターフェースやAPIを活用して情報を収集し、脆弱性評価を実行します。

エージェントレススキャニングのプロセスは、アカウント内のクラウド資産を特定することから始まります。その後、各インスタンスに関連付けられたルートボリュームのスナップショットが生成されます。このスナップショットは、隔離された環境で動作する専用のスキャナインスタンスにマウントされます。このセキュアな環境で、スキャナ・インスタンスは指定されたマウント・ポイント上でVMアナライザの実行を進めます。この実行結果は、ソフトウェア部品表(SBOM)の生成と保存です。この手順が完了すると、ボリュームがマウント解除され、スナップショットが削除されます。最後に、スキャン結果をSysdig UIに送信し、APIからも利用できるようになります。

Sysdigのエージェントレススキャンソリューションは、最小権限の原則を念頭に置いて設計されています。つまり、スキャン処理に必要な特定の権限のみを要求します。そうすることで、過剰なパーミッションに関連する攻撃対象や潜在的なリスクを大幅に削減します。

タグを使用して、アカウント内の特定の仮想プライベートクラウド(VPC)またはホストをスキャン対象から除外できます。

スキャンフローのオンボーディングに飛び込んでみましょう。

クラウドアカウントのオンボーディング

オンボーディングの段階では、主にお客様のアカウントに権限を作成して、さまざまなワークロードの検出、スキャン、評価を可能にします。

オンボーディングの一環として、以下のリソースを作成します:

  • グローバルリソース
    • aws_iam_role
    • aws_iam_policy
  • リージョナルリソース
    • aws_kms_key
    • aws_kms_alias


これらのロール/ポリシーは、実行中のホストをスキャンするための最小限の権限セットを提供します。

これらの権限の例としては、スキャンと評価を容易にするためにEC2インスタンスを検出し、スナップショットを作成/削除する機能があります。必要なパーミッションのリストについては、当社のドキュメントを参照してください。

Permissions
    ec2:Describe*
    ec2:CreateSnapshot
    ec2:CopySnapshot
    ec2:DeleteSnapshot (with the additional constraint to restrict deletion to only volumes created by Sysdig) Code language: CSS (css)


素晴らしいニュースは、これらのパーミッションを手動で設定する必要がないことです。Sysdig UIでクラウドプロバイダーを選択し、アカウントの詳細を入力すると、必要なすべてのパーミッションが数分で設定されます。

オンボーディングプロセスの迅速さは、エージェントレスアプローチの大きな利点です。通常10~15分で完了し、すべてのワークロードのセキュリティをすぐに確保できます。

スキャンの仕組みとフロー

エージェントレスのスキャンプロセスには複数のステージがあります。各ステージには、一定レベルの権限が必要です。Sysdigは、各ステージで最低限必要な権限を強調し、すべての関係者に明確に伝えています。それでは、プロセスの各段階を掘り下げてみましょう。

1) ディスカバリー: エージェントレススキャンは、クラウド環境内のクラウド資産を発見することから始まります。クラウド・サービス・プロバイダーのAPIにアクセスし、資産に関する情報を取得します。オンボードアカウントごとに、Sysdigは実行中のインスタンスを検出する必要があります。このステージで必要なパーミッションは以下の通りです:

ec2:DescribeVpcs
ec2:DescribeInstances to detect running (?) instances
ec2:DescribeVolumesCode language: CSS (css)


2) スナップショットの作成 実行中のインスタンスの各ボリュームについて、スナップショットを作成/取得する必要があります。このステージに必要なパーミッションは以下の通りです:

ec2:CreateSnapshot
ec2:DescribeSnapshotsCode language: CSS (css)


3) スナップショットをアタッチします: 共有スナップショットからボリュームを作成し、スキャナインスタンスにアタッチします:

ec2:CreateVolume
ec2:AttachVolumeCode language: CSS (css)


4) SBOMの抽出:そのマウントポイント上でVMアナライザーを実行し、SBOMを生成し、SBOMをS3バケットに保存します。

5) ボリュームの削除: ボリュームをアンマウントし、ボリュームを削除します。

ec2:DetachVolume
ec2:DeleteVolumeCode language: CSS (css)


6) 結果をレポートします: スキャン結果を Sysdig UI にプッシュします。

スキャンが完了すると、エージェントまたはエージェントレスでスキャンされたホストをまとめて確認できます。

脆弱性管理のOverViewページ

このページでは、修正可能な脆弱性と発見されたエクスプロイトを簡単に選択できます。

Sysdigエージェントもインストールしている場合、エージェントとエージェントレスの両方のアプローチが連携して、より多くのRuntime Insightsを提供します。例えば、使用中の脆弱なパッケージに基づいて優先順位を付けることができます。こうすることで、Sysdigは脆弱性のノイズを最大95%削減します。

まとめ

最後に、エージェントレスアプローチを巧みに実装した Maya は、迅速なデプロイを妨げることなくインフラストラクチャーを強化しました。必要に応じて軽量エージェントを戦略的に使用することで、実行時の洞察が明らかになりました。

Sysdigは、エージェントベースとエージェントレスの両方のスキャン手法の利点を相乗的に高めています。エージェントレスのインスツルメンテーションにより、数分以内に環境を迅速に保護し、管理と保守の労力を削減することができます。同時に、軽量なエージェントは、最小限のオーバーヘッドとリアルタイムの可視性で、深いランタイムの洞察を提供します。この組み合わせにより、セキュリティ体制を強化し、効果的に脆弱性の先を行くことができます。

新しいエージェントレススキャナについて詳しく知りたい方は、こちらをご覧ください: