本文の内容は、2024年8月7日にChristian Laffin が投稿したブログ(https://sysdig.com/blog/unmatched-coverage-for-cloud-and-hybrid-workloads/)を元に日本語に翻訳・再構成した内容となっております。
今日の急速に変化し進化するクラウドネイティブ環境において、セキュリティおよびインフラストラクチャーチームは、複雑なデプロイメントの管理から多様なインフラストラクチャー全体の機能の確保まで、さまざまな課題に直面しています。EDRおよび XDRツールはクラウドワークロードを包括的にカバーできないため、クラウドセキュリティには根本的に適していません。
EDR エージェントには、セキュリティカバレッジの非効率性とギャップが数多くあります。その有用性は、実行できる場所、サポートする機能、消費するリソース数によって制限されることがよくあります。eBPF などのテクノロジーは Linux で広く利用されており、機能するには最小限の権限しか必要としませんが、すべての EDR ベンダーに広く採用されているわけではありません。進行中の攻撃を効果的に阻止するには、専用のCDRソリューションが必要です。つまり、アイデンティティ、ワークロード、クラウド リソースを含むクラウド インフラストラクチャを完全に可視化できるソリューションが必要です。
Sysdig のエージェント インストルメンテーションは、クラウド ネイティブ アプリケーション保護プラットフォーム ( CNAPP ) の一部であり、これらの問題に正面から取り組むように設計されています。高度なセキュリティ機能に妥協することなく、包括的なカバレッジと高レベルのパフォーマンスを提供します。Sysdig のエージェントベース テクノロジーの最新の進歩は、次のようなクラウド ネイティブ セキュリティの重要な問題に対処するために作成されています。
- セキュリティカバレッジ: Sysdig は、低リソースのエージェントベースとエージェントレスのアプローチを組み合わせて、eBPF などの最新テクノロジーを活用して幅広く深い範囲のカバレッジを実現します。
- エージェント管理: Sysdig は導入とメンテナンスを合理化しているため、顧客はより早く価値を実現し、セキュリティ フレームワークをサポートするインフラストラクチャーの管理に費やす時間を短縮できます。
- 互換性: Sysdig は、さまざまな環境とプラットフォームにわたって幅広いサポートを拡張する機能を作成しました。
Sysdigのセキュリティカバレッジの柱
Sysdig のアプローチには、導入を簡素化し、セキュリティを強化するために設計された、実戦でテストされたコンポーネントが含まれています。Sysdig のインストルメンテーションは、セキュリティを損なうことなく、CPU とメモリの使用率を削減するために継続的に最適化されています。最近、Sysdig は、新しい機能を導入したにもかかわらず、CPU とメモリの使用率を最大 50% にまで削減しました。次に、注目すべき機能の一部を示します。
クラウド向けの統合脅威検出エンジン、Falco OSS
Falco を搭載した Sysdig は、パブリッククラウドとプライベートクラウド内のコンテナ、クラウド サービス、Kubernetes/Linux/Windows ホスト、ID、サードパーティアプリにわたる脅威の検出と対応に役立ちます。Falco OSS (オープン ソース ソフトウェア) は、1000 を超える豊富なルールコレクションとユニバーサル脅威検出言語へのアクセスを顧客に提供します。
ユニバーサル eBPF プローブ
eBPF テクノロジーの力を活用した当社の Gen2 (ユニバーサル) eBPF プローブは、ほぼすべての Linux ベースのシステムとアーキテクチャーでシームレスなオペレーションを保証します。利点は次のとおりです。
- 導入の容易さ: エージェント バイナリに埋め込まれているため、カーネル ヘッダーやビルド プローブは必要ありません。
- 安全性と安定性: eBPFの数々の利点をSysdigエージェントに活用
Cluster ShieldとHost Shield
Sysdig は、クラスターとホストの両方の保護を統合し、Cluster Shield と Host Shield のシンプルなデプロイメントコンポーネントを活用します。
- Cluster Shield : すべてのコンテナをスキャンし、危険な Kubernetes の構成ミスを特定し、Kubernetes クラスターとコンテナの最新のセキュリティ標準に準拠していることを保証することで、クラスターを保護します。
- Host Shield: ランタイム時の脅威の詳細な検出、洞察、およびすべてのホストとノードの誤った構成のスキャンを提供し、ホストとサーバーのコンプライアンスを確保します。
Host Shield | Cluster Shield |
ノードとホストのリアルタイムの脅威検知と保護を実行します。 脆弱性管理は、基礎となるホストの脆弱性を特定します。 コンプライアンスと設定ミスの修正により、ホストが適切に構成され、準拠していることを確実にします。 | 強化されたクラスターの脅威検知は、Kubernetesの監査ログにルールとポリシーを適用します。 脆弱性管理は、稼働中のコンテナにおける脆弱性を特定します。 コンプライアンスと設定ミスの修正により、Kubernetesとコンテナが適切に構成され、準拠していることを確実にします。 アドミッションコントロール:脆弱なコンテナや設定ミスのあるデプロイメントを防止します。 |
クラウドネイティブのカバレッジを強化して視野を広げる
最新リリースでは、さまざまな攻撃対象領域にわたって検知および対応機能の範囲が拡大しました。
- Windows ランタイム脅威検出: Windows の場合、Windows ホスト、コンテナ、Kubernetes、RedHat Openshift 全体にわたります。
- Google Cloud Run ランタイム脅威検出: Google Cloud Run をサポートすることで、Sysdig のサーバーレス向けセキュリティサービスを拡張します。
- 拡張されたアーキテクチャー: Host Shield と Cluster Shield は、AWS Graviton を含む ARM ベースのアーキテクチャー全体でサポートされています。
- Fargate の機能強化: 真にリソースを消費しないエージェント実装が、現在Fargateタスクの容量を活用し、追加のリソースを消費せずに世界クラスの脅威検出を提供します。
お客様のメリット
弊社のお客様は、すでに新しく改善されたエージェント機能のメリットを享受しています。金融や医療などの規制産業の多くのエンタープライズカスタマーは、新しい Cluster Shield と Host Shield を活用しながら、Sysdig を拡張して Fargate 環境をカバーすることで、よりシンプルな導入、最適化されたリソース、1 つの CNAPP プラットフォームへのセキュリティの統合のメリットを得ています。Sysdig のお客様は、すでに大幅なリソース最適化のメリットも享受しており、ドリフトやマルウェアコントロールなどの新機能を活用しながらインフラストラクチャ コストを削減しています。
まとめ
Sysdig のエージェントは、クラウドネイティブセキュリティの分野で進化を続けており、強化された機能、パフォーマンスの最適化、拡張されたカバレッジとプラットフォーム サポートを提供しています。Sysdig は革新を続けているので、製品デモをご覧いただき、当社の最先端のエージェントベースおよびエージェントレス機能を試して、完全な CNAPP エクスペリエンスを実現してください。