本文の内容は、2023年7月7日現在の Zonesのマニュアル(https://docs.sysdig.com/en/docs/sysdig-secure/policies/zones/)を元に日本語に翻訳・再構成した内容となっております。
Sysdigにおけるゾーンとは、ビジネスの重要な領域を表すスコープの集まりです。例えば、本番環境、ステージング環境、リージョンなどのゾーンを作成します。
Sysdigのデフォルトでは2つのゾーンが提供されています:
- Entire Infrastructure: これは、接続されたデータソースに適用され、ポスチャーを評価します。CIS ポリシーと Sysdig Kubernetes ポリシーは自動的に Entire Infrastructure に適用され、調査結果は Compliance ランディングページで報告されます。
- Entire Git: Git の開発パイプラインに Git インテグレーションを使用して IaC スキャンを構成している場合、Entire Git ゾーンは自動的にこれらのソースリポジトリに適用されます。また、必要に応じて、選択した Git ソースに対してさらにターゲットを絞ったゾーンを作成することもできます。
その他のポリシーを使用するには、ゾーンに適用する必要があります。
ゾーンの作成と設定
完成したゾーンには以下が含まれます:
- ゾーンの名前と説明
- ゾーンのスコープ(含まれるビジネスの領域)
- 適用されるポリシー
1.Policies > Posture|Zones に移動します。
2. New Zone,をクリックし、ゾーンの Name と Descriptionを入力し、 Saveをクリックします。
スコープの定義
Platform と Scope Attributesで Scope を定義します。
各プラットフォームでサポートされているスコープルール:
Kubernetes
- Distribution (AKS, GKE, EKS, Vanilla Kubernetes)
- Cluster name
- Namespace
- Labels
AWS
- Organization
- Account
- Region
- Labels
Azure
- Organization
- Subscription
- Region
- Labels
GCP
- Organization
- Project
- Region
- Labels
- Host (for Docker, Linux hosts)
- Cluster
Git
- Git integration
- Git source(s)
ポリシーの適用
ドロップダウンリストからポリシーを選択します。
Saveをクリックします。ゾーンの一覧ページに、適用されたポリシーのプラットフォームと数が表示されます。
ポリシーの評価対象となる関連リソースがないゾーンにポリシーを適用した場合、結果が Compliance ページに表示されないことに注意してください。