本文の内容は、2021年2月23日にChris Kranzが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-february-2021/)を元に日本語に翻訳・再構成した内容となっております。
Sysdigの最新情報を毎月お届けしています。私たちのチームは、すべてのお客様に素晴らしい新機能を自動的に無料でお届けするために努力を続けています。皆様が1月を無事に過ごせたことを願っています。そして、新年明けましておめでとうございます。
2月には、毎年好評を博している第4回Sysdig Container Security and Usageレポートを発表しました。この実世界のデータは、当社のお客様が過去1年間に実行してきた約10億個のユニークなコンテナから、セキュリティリスク、コンテナの利用状況、使用されているサービスについての洞察を提供しています。
このレポートでは、以下のことが学べます:
- シフトレフトするだけでは十分ではないこと。ランタイムセキュリティも必要です。
- 新しいコンテナランタイムとレジストリの人気がどれだけ高まっているか。
- どのようなオープンソースのツールや標準が増えているか。
このレポートをダウンロードして、過去1年間のコンテナの安全性と使用に関して、あなたの組織がどのような状況にあるかを確認してください。
製品アップデートの詳細については、当社のリリースノートをご覧ください。
Sysdig Secure
レジストリの資格情報。複数のクレデンシャルのサポート
Sysdig Secure では、イメージのプルに使用される相対的な内部レジストリパスに応じて、複数の資格情報を同じレジストリに割り当てることができるようになりました。
ワイルドカードをパスの最後に追加して、レジストリ内部の部分パス (例では /rg-2-1er) の下にあるイメージが、ここで設定されたレジストリ認証情報を使用することを示すことができます。この追加の柔軟性は、例えば、ネームスペースに応じて異なるパーミッションのセットを持つことができる IBM レジストリなどに有用です。
レジストリ資格情報の管理も参照してください。
強化されたアクティビティ監査フィルター
Sysdig Secureのアクティビティ監査機能のノイズ低減フィルターを改善しました。フィードでは、発生回数の多い重複エントリが自動的にフィルタリングされるようになりました。フィルタリングされたノイズはフィード内の重複エントリのみなので、情報が失われることはありません。
このフィルタリングの結果、タイムスロットあたりのアクティビティ監査エントリ数が急激に減少することが予想されます。
ネットワークセキュリティポリシーの改善
数ヶ月前に追加したネットワークセグメンテーションの機能拡張を続けています。今月は以下を追加しました。
- CronJobsのサポート
- WeaveとCilium CNIの検証済みサポート
Falcoルール
v0.10.5では、以下のルール変更が行われました。
- ルール Change thread namespace:
- cilium に nsenter を許可
- dynatrace の setns を許可
- sysdigエージェントをsetnsに許可(プロセス名は最近変更されました)。
- ルール Clear Log Activities:コンテナ内のログファイルの書き込み/アクセスを fluentd に許可
- マクロ exe_running_docker_save:コンテナを設定するcrioのサポートを追加しました。これは以下のようないくつかのルールに影響します。
- Modify Shell Configuration File
- Update Package Repository
- Write below binary dir
- Write below monitored dir
- Write below etc
- Write below root
- Write below rpm database
- Modify binary dirs
- Mkdir binary dirs
- Set Setuid or Setgid bit
- Create Hidden Files or Directories
- ルール Launch Package Management Process in Container: Sysdigのnode-image-analyzerがrpmを実行できるようにする
Sysdig Monitor
Prometheys アラートルールのインポート
PrometheusのアラートルールをSysdig Monitorにインポートできるようになりました。YAMLのインポートが容易になったことで、 promcat.ioのようなPrometheusのエコシステムリソースをタップするのが格段に便利になりました。
詳細については、Prometheus アラートルールのインポートを参照してください。
UX の改善
Sysdig Monitorのインターフェースが強化され、以下の機能が提供されました:
パネルエディタでダッシュボードスコープを編集 ダッシュボードテンプレートをチームのエントリーポイントとして設定
Sysdig Agents
Sysdig Agent
Sysdig Agentの最新リリースは10.9.1です。以下は前回のアップデートで取り上げた10.9.0からのアップデートの差分です。
修正点
- Thin Cointerface は期待通りに動作 – Kubernetes のメタデータの更新が停止する原因となる Thin Cointerface 機能の不具合を修正しました。Thin Cointerface はデフォルトでオフになっているため、この変更はこの機能をオンにしている少数のユーザーにしか影響しません。
Sysdig Agent – Helm chart
Helm Chart 1.11.3はまだ最新版です。
ノードイメージアナライザ
バージョン 0.1.9 がリリースされ、前回のアップデートで取り上げた v0.1.7 からの 差分ア ップデートが含まれています。
- Docker と containerd を使用して一部のイメージを GKE クラスタ上で処理できない問題を修正しました。
- フルタグを持たない一部のイメージが OpenShift 上で処理できない問題を修正しました。
- logback、SpringFramework、Tomcat Java パッケージのバージョン検出を改善しました。
- 不適切なDockerソケットパスが提供された場合に、適切なエラーメッセージが表示されずにイメージアナライザがクラッシュする問題を修正しました。
- CRI/OpenShiftクラスタ上でイメージデータを取得できない場合にNIAがクラッシュする問題を修正しました。
ノードイメージアナライザーをSysdig Agentのインストールの一部としてインストールできるようになりました。
インラインスキャンエンジン
バージョン2.3がリリースされ、前回のアップデートで取り上げたv2.2からの差分アップデートとして以下の内容が含まれています。
- OPENSSL_SECLEVEL env var で openssl の seclevel を設定できるようにし、古い証明書をサポートするようにしました。
- logback、SpringFramework、Tomcat Java パッケージのバージョン検出を改善しました。
- イメージIDの識別子をより強固なものにし、コンテナのライフサイクルに沿って不要なイメージの再スキャンを回避しました。
- ClamAV経由でのマルウェアスキャンのサポートを追加しました。注意:この機能を有効にする前にSysdigチームにお問い合わせください。
- 厳密に必要でない場合は、localbuildのプレフィックスを付けないようにしてください。
こちらも参照してください。CI/CDツールとの統合
SDK、CLI、ツール
Sysdig CLI
v0.7.4 はまだ最新のリリースです。
Python SDK
v0.14.13はまだ最新のリリースです。
Terraform provider
v0.5.11がリリースされました。以下は先月取り上げたv0.5.10からの差分変更点です。
新機能:
- sysdig_monitor_dashboardリソースに新しいスコープパラメータを追加し、ダッシュボードのグローバルスコープを定義してPromQL変数を割り当てることができるようになりました。
- sysdig_userリソースにメール確認なしのユーザープロビジョニングを追加しました。
バグ修正:
- ダッシュボード v3 を更新する際のクラッシュを解決しました。
- Monitor アラートのインポートと vuln 例外の削除を解決しました。
- Monitor アラート条件の正規表現を改善しました。
詳細はドキュメントを確認してください。
Falco VS Code extension
v0.1.0 はまだ最新のリリースです。
Sysdig Cloud Connector
v0.4.4がリリースされました。以下は先月取り上げたv0.4.0からのアップデートの差分です。
機能:
- ノイズの多いルールを無効化。
- AWS Cloud Shell環境の作成を検知するルールを追加。
- GCPでデプロイするためのガイドを追加。
バグ修正:
- CloudWatchに送信する前にアラートがソートされていることを確認します。
詳細はこちら:
Sysdig Secure インラインスキャン for Github Actions
v3はまだ最新版です。
Sysdig Secure Jenkins プラグイン
v2.1はまだ最新版です。
Promcat.io
以下の更新を行いました。
- Nginx ingressコントローラを追加しました。
- Microsoft Sql Serverを追加しました。
- Dockerエンジンの追加
- MongoDBとPostgreSQLにSSL認証を追加
- OCPのHAproxyをpromscrape v2で更新しました。
詳細はこちら
新しいウェブサイトのリソース
ブログ
日本語 sysdig.jp ブログサイト
日本語 SCSK Sysdig特設サイト
- Kubernetes admission controllers in 5 minutes
- Shielding your Kubernetes runtime with image scanning on admission controller
- Kubernetes monitoring with Prometheus, the ultimate guide
- Runtime security in Azure Kubernetes Service
- Getting started with Kubernetes audit logs and Falco
- How to monitor AWS SQS with Prometheus
- Detecting MITRE ATT&CK: Defense evasion techniques with Falco
- How to detect sudo’s CVE-2021-3156 using Falco
- THREAT ALERT: Crypto miner attack involving RinBot’s server, a popular Discord bot
- Automating AWS Fargate Image Scanning to Block Container Threats | Amazon Web Services
ウェビナー
- Kubernetes 1.20: Straight talk from the release team
- Kubernetes Attacks: What your cluster is trying to tell you
- IBM and Sysdig – How to Drive More Security and Reliability
- Container Security Best Practices on Azure Kubernetes Service (AKS)
- Accelerate your FedRAMP journey for container security with Anitian & Sysdig