本文の内容は、docs.sysdig.com上のDeploy Sysdig Secure for cloud on AWSを元に日本語に翻訳・再構成した内容となっております。(2021年6月10日現在)
必要に応じて、Sysdig Secure for Cloudの機能概要を確認してください。
必要な前提条件:
- Sysdig SecureのSaaSアカウント
- Sysdigに接続するためのAWSアカウントとAWSサービス(デプロイに適切な権限を持つもの)
Cloud Formationテンプレートを使ってデプロイする
各機能は、AWSコンソールから1つのCloudFormation Template(CFT)から有効にすることができます。注意点
CFTをデプロイすると、既存のSysdig Secureのインストールにデフォルトのクラウドポリシーとルールが追加されます。
① AWSコンソールにログインして、Sysdig Secure for cloudを使ってセキュリティを確保したいアカウントとAWSリージョンにいることを確認します。
② Sysdig Secureに管理者としてログインし、「Get Started」>「Connect your Cloud account」を選択します。
③ 「Launch Stack」をクリックします。
AWS コンソールが開き、CloudFormation > Stacks > Quick Create のページが表示されます。Sysdig CloudFormation テンプレートが事前にロードされています。
SysdigテンプレートをデプロイするAWSアカウントとリージョンにログインしていることを確認します。
④ Stack name(スタック名)を入力するか、デフォルトのままにします。
⑤ パラメータを入力します:
Sysdigの設定
- Sysdig Secure Endpointを設定します。
- デフォルト(US-East): https://secure.sysdig.com。Sysdig Secureプラットフォームが他の地域にインストールされている場合は、そのエンドポイントを使用してください。
- US West: https://us2.app.sysdig.com
- European Union: https://eu1.app.sysdig.com
- Sysdig Secure API Token: これらはユーザーベースです。Sysdig API Tokenの取得を参照してください。
- デフォルト(US-East): https://secure.sysdig.com。Sysdig Secureプラットフォームが他の地域にインストールされている場合は、そのエンドポイントを使用してください。
デプロイするモジュール:いずれかまたはすべてを選択してください。
- CSPM/Compliance: CIS AWS BenchmarksをSysdigのComplianceモジュールをデプロイします。
- CloudTrailを使った脅威の検知:CloudTrailイベントに基づいて脅威を検知するために必要なすべてのモジュールをデプロイします。
- ECR Image Registry Scanning: AWS ECRのコンテナレジストリスキャンに統合します。
- Fargateイメージスキャン:サーバーレスのFargateタスク(ECS内)にデプロイされた任意のコンテナイメージに対するイメージスキャンを統合します。
既存のインフラストラクチャー:クラスター、VPC、サブネットが自動的に作成されるようにするには、3つのエントリをすべて空白にします。それ以外の場合は、既存のものを用意します。
- ECSクラスター名
- VPC ID
- プライベートサブネットID
⑥ デプロイに必要な機能を確認します。
- “I acknowledge that AWS CloudFormation may create IAM resources with custom names. “をチェックします。
- “I acknowledge that AWS CloudFormation may require the following capability: capability_auto_expand”Create Stack」をチェックします。
⑦ AWSコンソールでは、メインスタックと関連するサブスタックが「CREATE_IN_PROGRESS」と表示されます。ステータスを更新すると、すべてに「CREATE_COMPLETE」と表示されます。CloudTrailからイベントが送信されるのに5~10分程度の遅延がありますが、イベントが失われることはありません。
Sysdig Secure Get Startedのページにも成功メッセージが表示されます。
サービスが機能していることを確認する
Sysdig Secureにログインし、デプロイした各モジュールが機能していることを確認します。イベントが収集されて表示されるまで10分程度かかる場合があります。全体の接続状況の確認
- データソース:[User]メニューから[Data Sources]を選択すると、接続されているすべてのクラウドアカウントが表示されます。
- サブスクリプション:[Settings] > [Subscription]を選択すると、クラウドアカウントを含むアカウントアクティビティの概要が表示されます。
- Insight: ナビゲーションバーに「Insight」が追加されていることを確認します。クラウド アカウント、クラウド ユーザー、またはコンポジットのインサイト ビューのアクティビティを表示します。
脅威検知の確認
- ポリシー:Policies > Runtime Policiesを確認し、AWS Best Practicesポリシーが有効になっていることを確認します。これは、AWSとCloudTrailの最も頻繁に推奨されるルールで構成されています。AWS CloudTrailタイプの新しいポリシーを作成することで、カスタマイズすることができます。
- イベント:「Events」フィードで「cloud」を検索すると、AWS CloudTrailからのイベントが表示されます。
CSPM/AWS ベンチマークの確認
- コンプライアンス:「Compliance」を選択し、「AWS Foundations Benchmark」がインストールされていることを確認します。
- ベンチマークの結果を確認し、追加されたアカウント、リージョン、日付を確認します。
ECRとFargateのスキャンを確認
- スキャン結果:Image Scanning > Scan Resultsを確認し、Originsのドロップダウンを選択します。
- AWS Registryおよび/またはAWS Fargateがリストアップされていることを確認します。
- 目的のオリジンでフィルタリングし、スキャン結果を確認します。