Sysdigの新機能 – 2021年11月

By 清水 孝郎 - NOVEMBER 24, 2021
Topics: Sysdig機能

SHARE:

本文の内容は、2021年11月23日にPeter Anderssonが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-november-2021/)を元に日本語に翻訳・再構成した内容となっております。

“Sysdigの新機能 – 2021年11月”最新情報をお届けします。Happy All Saints’/Souls’ Day! 国際ピアニストの日おめでとうございます Happy Thanksgiving! Happy Diwali! Glad alla helgons dag.

Sysdigの新機能ブログは新しいチームに交代し、今月はPeter Anderssonが発行を担当しています。先にこれらの記事をまとめてくれたChris Kranzに感謝します。ピーターは2021年6月にSysdigに入社し、役割はシニアセールスエンジニアで、スウェーデンのストックホルムを拠点にしています。彼はOpenSourceとセーリングを愛するオタクです。この組み合わせについて聞かれたPeterはこう答えます。

「普通の人は、ボートライフをボートから始める。私はOpenCPNをベースにしたナビゲーションシステムを作ることから始めました。アジャイルの精神に則り、最初のバージョンは、太陽と水とも言われるように、本番では機能しませんでした…」。


今月のビッグ・ニュースは、クラウドインフラストラクチャーの権限管理です。Sysdigは、クラウドサービスの設定ミスによるセキュリティ上の最も一般的な問題である、過剰な権限を持つアカウントやロールについて取り上げています。最小限の権限を実装することは、データ漏洩のリスクを回避または軽減し、権限の昇格やラテラルムーブメントを抑制するための重要なベストプラクティスです。

私たちは、実際にお会いできることを楽しみにしています。Sysdigは、世界各地で開催される以下のようなイベントに参加します。
  • 北欧で開催されるContainers Today:ストックホルム(11月23日)、オスロ(11月30日)、コペンハーゲン(12月2日)。
  • 米国でのAWS re:Invent:ラスベガス、11月29日~12月2日
製品アップデートの詳細については、リリースノートをご覧ください。また、ここで取り上げた内容についてご質問がある場合は、お近くのSysdigの担当者にお問い合わせください。

Sysdig Secure

ベンチマークイベント転送処理の改善

転送されたベンチマークイベントは、AWSタグを(フラット化された文字列ではなく)キーバリューペアとして含むようになり、コンシュームしやすくなりました。

クラウドインフラストラクチャーエンタイトルメントマネジメント(CIEM) for AWS

Sysdig Secureは、Permissions and Entitlements Management機能を追加しました。この機能は、「Posture」メニューのタブにあります。

今回発表したCIEM機能とSysdigの既存機能を組み合わせることで、Sysdigのお客様は、コンテナ環境やクラウド環境全体で、クラウドの権限リスクを未然に防ぎ、脆弱性や設定ミスをスキャンし、攻撃を検知して対応することができます。
  • すべてのクラウドアイデンティティとその権限を可視化します。すべてのAWSユーザとサービスのアクセスパーミッションを包括的に把握できます。
  • 最小限の権限をエンフォース:自動生成されたIAMポリシーを用いてユーザやサービスに最小特権ポリシーを適用し、過剰なパーミッションを排除します。Sysdigは、付与された権限と実際に使用された権限の分析に基づいてポリシーを提案します。
  • コンプライアンス要件を満たすためのアクセスコントロールの監査を簡素化します。定期的なアクセスレビューのためのレポートを使用して、アクティブなユーザと非アクティブなユーザの権限とアクティビティを評価します。
追加情報:

新しいSecure Event Forwarderの統合:Google Chronicle, Google Pub/Sub & Amazon SQS

Sysdig Secureのイベントフォワーダー機能に、出力データの統合機能が追加されました:
  • Google Chronicleとの統合。注: 現時点では、ランタイムポリシーイベントのみが送信データとして利用可能です。
  • Google Pub/SubおよびAmazon SQSとの統合。これらは、EFOのプッシュ動作をデータプルエンドポイントに適応させるための一時的なストレージとして使用できます。
こちらもご覧ください:

Sysdig Secure for GCP

先月、大きなプレスリリースをしましたので、今月はもう少し詳細をご紹介したいと思います。
  • クラウドセキュリティポスチャーマネジメント(CSPM):お客様の資産に即したCISベンチマークの実施
  • クラウド脅威検知:GCP用のFalcoルールを使用して、GCP環境の脅威を特定します。
  • 監査ログ:Google Security Command Centerの統合により、Falcoルールで特定された脅威を転送します。
  • イメージの脆弱性スキャン:Google Container Registry、Google Artifact Registryにプッシュされたイメージ、およびGoogle Cloud Runで実行されたイメージの自動脆弱性スキャン。
  • Chronicleの統合:Google Chronicleにイベントを転送します。
  • GCP Marketplaceによるインストール:GCPマーケットプレイスからSysdigをインストールし、GCPアカウントの支払い方法とクレジットを使って支払うことができます。
詳細を見る: Sysdig Secure for cloudDeploy Sysdig Secure for cloud on GCP

Sysdig Monitor

Webhook通知でカスタムデータを公開

Sysdigでは、カスタムデータを指定してアラート通知に添付することで、追加情報を解析したり、内容に応じたアクションを起こすことが可能になります。
Notification channels in Sysdig
詳細は、「Webhookチャンネルの設定」を参照してください。

Prometheusレコーディングルール

Sysdigは、メトリクスの集約とクエリのためのPrometheusレコーディングルールをサポートしています。お使いの環境でこの機能を有効にするには、Sysdigサポートにお問い合わせください。

詳細は Recording Rules をご覧ください。

Sysdigエージェント

Sysdigエージェントの最新リリースは12.0.4です。前回のアップデートでご紹介した12.0.2以降のアップデートの差分をご紹介します。
  • 予期されたセキュアポリシーのロード : 12.0.3で発生した、エージェントでセキュアポリシーが正しく読み込まれない場合がある問題を修正しました。
  • Leases Fallback Works as Expected on OpenShift v3: リースをサポートしていないKubernetesクラスターが、以前の動作にフォールバックしないためにKubernetesデータのレポートに失敗する問題を修正しました。
  • OpenShiftにおけるリースのためのクラスターインストールスクリプトを更新:OpenShiftエージェントのインストーラーを修正して、sysdig-agentのクラスターロールを追加し、sysdig-agentのサービスアカウントに割り当てました。新しいクラスターロールにより、エージェントがコールドスタートリースを利用できるようになりました。
  • サポートするホストにSUSE Linux Enterprise Serverを追加しました。
  • サポートリストに Oracle Kubernetes Engine を追加し、インストール手順も追加しました。
  • サポートされるホストに Oracle Linux UEH および RHCK が追加されました。

SDK、CLI、ツール

Sysdig CLI

v0.7.14 はまだ最新のリリースで、前回のアップデートでも取り上げました。

https://github.com/sysdiglabs/sysdig-platform-cli/releases/tag/v0.7.14
https://sysdiglabs.github.io/sysdig-platform-cli/

Python SDK

v0.16.3 は前回のアップデートで取り上げた最新のリリースです。

https://github.com/sysdiglabs/sysdig-sdk-python/releases/tag/v0.16.3

Terraform Provider

v0.5.27が最新のリリースです。前回のアップデートでご紹介したv0.5.24以降のアップデートの差分は以下の通りです。
バグフィックス
  • Azure Service Principal Attributesのリファクタリング
  • Azure trusted identityが前回のリリース0.5.25から修正されました。
  • Azure Trusted Identityのパース
ドキュメント

Falco VS Code Extension

v0.1.0はまだ最新のリリースです。

https://github.com/sysdiglabs/vscode-falco/releases/tag/v0.1.0

Sysdig Cloud Connector 

Sysdig Cloud Connectorのv0.11.3がリリースされました。先月、v0.11.1を取り上げました。

これらのバージョンの差分のハイライトをご紹介します:

新機能
  • すべてのルールのMITREタグを更新しました。
  • cloudtrail-s3-sns-sqsインジェスターを追加しました。
  • スキャンと脅威検知を統合しました。
バグフィックス
  • スキャンでGCRアクションが実行されない問題が解決されました。
  • Google Cloud SCCによってコンシュームされるgcp.resourceNameにスキーマを追加しました。
  • aws-cloudtrail-sns-sqsのAWSインジェスターでは、s3サービスが指定されている場合、assumeRoleで作成します。
変更点の詳細は、変更点の一覧を確認してください。

Inline Scanner

v2.4.7はまだ最新のリリースです。

イメージをビルドする際の COPY、USER、その他の命令のサポートを修正しました。この情報は、Dockerfileの内容を評価するセキュリティゲートを実装するために使用され、セキュリティリスクを露呈する可能性のある誤設定を防ぎます。このバグの影響を受けた可能性のあるセキュリティルールの例としては、”Dockerfile Effective User Type: blacklist; Users:” や “Dockerfile Instruction Check: =; Instruction: COPY” です。

GithubアクションのSysdig Secure Inline Scan

v3.2.0がまだ最新のリリースです。

https://github.com/marketplace/actions/sysdig-secure-inline-scan

Github starter ワークフローの新しいアクションとして、SARIF レポート付きの Sysdig インラインスキャンを追加しました。このアクションはどのプロジェクトでも利用可能です(Your project > Security > Code Scanning Alerts > Add more scanning tools > Sysdig Inline Scan)。
https://github.com/actions/starter-workflows/blob/main/code-scanning/sysdig-scan.yml

Sysdig Secure Jenkins プラグイン

v2.1.12が最新のリリースです。

https://plugins.jenkins.io/sysdig-secure/

Prometheus インテグレーション

新しいアプリケーションが追加されました:

トレーニングと教育

https://falco.org/labs/ は、管理された環境で Falco を学ぶことができる、コミュニティによって作成されたリソースです。

New Falco training labs

新しいウェブサイトのリソース

ブログ (日本語:sysdig.jp)、(日本語:SCSK Sysdig特設サイト

ウェビナー

その他