本文の内容は、2022年11月17日にERIC CARTERが投稿したブログ(https://sysdig.com/blog/aws-recognizes-sysdig-as-an-amazon-linux-2-service-ready-partner/)を元に日本語に翻訳・再構成した内容となっております。
Sysdigは、Amazon Web Services(AWS)のService Ready Programの一環として、Amazon Linux 2022 Readyの指定を受けたことをお知らせします。Amazon Linux 2022(AL2022)は、Amazon EC2上で動作するお客様のワークロードをサポートするために利用できるAWSの最新のLinuxオペレーティングシステムです。Sysdigのチームは、この最新OSで当社のコンテナセキュリティとクラウドネイティブの監視機能を完全にサポートするために、AL2022をSysdig SecureとSysdig Monitorで検証しました。
このブログでは、AL2022が提供するものについてもう少し詳しく紹介し、クラウドネイティブの基本的なビルドブロックであるLinuxが、SysdigがAWSのお客様に提供するものにとっていかに重要であるかについて、いくつかの洞察を提供したいと思います。
Amazon Linux 2022:クラウド向けのLinux
Amazon Linux 2022は、クラウド向けに最適化されています。Amazon Linuxの実績ある信頼性を強化し、セキュリティとサポート性を向上させるアップデートも含まれています。AWSは、四半期ごとにマイナーリリースを、2年周期でメジャーリリースを提供する予定です。それぞれ、お客様にはセキュリティアップデート、バグフィックス、新機能が提供されます。また、各メジャーバージョンは5年間サポートされる予定です。予測可能なリリースサイクルと長期サポートを追加することで、AWSはお客様に、より優れたセキュリティと、イノベーションへの迅速なアクセスを提供します。
Sysdig: Linuxとコンテナ向けに構築されたクラウドネイティブな可視性
クラウドに移り変わる企業は、クラウド導入における重要な課題として、可視性とセキュリティを挙げています。Sysdigのソリューションは、移り変わりの激しいクラウドネイティブ環境における死角を取り除くことに重点を置いています。Sysdigのソリューションは、Linuxに直接接続し、クラウド・ネイティブなワークロードの挙動を可視化します。セキュリティと監視のためのカーネルレベルのインスツルメンテーションは、個々のコンテナ・イメージに監視コードをロードすることなく、コンテナとホストのアクティビティに関する洞察を提供します。Sysdigは、Linuxシステムコールを観測することで、極めて低いオーバーヘッドと高い精度でクラウドネイティブの監視とランタイムセキュリティを実現します。私たちが好んで言うように、”カーネルは嘘をつかない “のです。
AL2022が稼働するAWS環境でのSysdigの利用について
AWSのお客様はSysdigを使用して、いくつかのクラウドネイティブなセキュリティと監視のユースケースに取り組んでいます。私たちが提供する機能は、ソースから実行に至るまで、ビルドパイプラインと実行時にセキュリティを提供し、健全性とパフォーマンスの可視性を提供することを支援します。脆弱性の発見・特定・修正
Sysdigは、AL2022ホストスキャンとコンテナスキャンを統合し、脆弱性の検出と対処を支援します。Sysdig Secureのポリシーにより、クラウドチームはCVEを特定するだけでなく、脆弱なイメージが本番環境で実行されないようにブロックすることができます。新しいCVEsが報告された場合、コンテナとホストのランタイム監視により、現在本番環境で何が実行されており、ビジネスを危険にさらしているかを特定することができます。さらに、修正すべき項目の優先順位を高めるために、“Risk Spotlight” 機能は、ランタイムインサイトを使って、ランタイムに実際に呼び出された脆弱なパッケージに焦点を絞ります。
Amazon Linux 2022 脆弱性スキャン:ホストとコンテナの脆弱性の優先順位付け
ワークロードの脅威を検知し、対応する
ダイナミックでオーケストレーションされたクラウドやコンテナ環境で、実際に何が起きているかを確認することは困難です。前述のとおり、SysdigはLinuxカーネルでのすべてのアクティビティを観測することでこれを解決します。オープンソースのFalcoをベースに構築されたランタイムセキュリティポリシーは、Amazon EC2やAL2022で稼働するワークロードで起きてほしくないアクティビティをフィルタリングし、アラートを発するのに役立ちます。これには、Amazon ECS、Amazon EKS、およびAWS Fargate上で動作するコンテナの動作の監視が含まれます。Sysdig Secureのランタイムセキュリティ機能は、ノードやコンテナ全体のリスクをリアルタイムで確認し、対処するためのセキュリティカメラとお考えください。
Amazon Linux 2022ランタイムセキュリティ:AWSホストとコンテナ向けのランタイムセキュリティ
構成とコンプライアンスの管理
攻撃へのドアを開けたままにする設定ミスは、ホストとコンテナの安全性を確保する上で最も重要な懸念事項の1つです。CISベンチマークやAWS Well-Architected Frameworkなどの指標を使用して、ベストプラクティスに照らして環境をチェックすると、セキュリティ設定の誤りがある可能性がある場所を明らかにすることができます。Sysdig Secureに組み込まれたコンプライアンスとポスチャー管理は、ベストプラクティスのポリシーに照らして評価し、違反を継続的に報告します。また、特定された問題に対して修正を適用するための修正フローをキックオフすることができるようになりました。
SysdigによるAmazon Linux 2022のコンプライアンス対応:構成とコンプライアンスリスクの測定
Linuxとコンテナの監視とトラブルシューティング
Sysdigは、単一のエージェントとSaaSバックエンドで、セキュリティとパフォーマンスの両方の監視を提供します。Sysdig Monitorを使用することで、AL2022をデプロイするAWSユーザーは、パフォーマンス、ヘルス、リソース消費などを把握することができるようになります。DevOpsチームは、クラスターやノードのハイレベルな概要から、クラウドやKubernetesの明確なコンテキストに富んだ個々のメトリクスやトポロジービューに移行することができます。Advisorなどの機能により、問題の優先順位付けされたリスト、トラブルシューティングの洞察、改善のための実行可能な手順が表示され、より迅速に作業を行うことができます。
SysdigによるAmazon Linux 2022の監視:Amazon Linux 2022の主要なメトリクスを監視します。
Amazon Linux 2022とSysdigの利用を開始する
AWSとSysdigは、コンテナやクラウドサービスを安全に大規模に実行できるように連携しています。Amazon Linux 2022はベースとなるOSのセキュリティを向上させ、Sysdigを使用することでソースから実行までのベースをカバーすることができます。AL2022を実行しているクラウドホストの可視化とセキュリティのソリューションをお探しなら、Sysdigを数分で使い始めることができます。
- Amazon Linux 2022にSysdigエージェントをインストールする方法については、当社のドキュメントをご覧ください。
- AWS Marketplaceのページから直接、私たちのプラットフォームの無料トライアルをリクエストするか、ここをクリックしてSysdigの無料トライアルを開始することができます。