本文の内容は、2022年1月31日にGiulio Puriが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-january-2022/)を元に日本語に翻訳・再構成した内容となっております。
今年最初のSysdig最新情報へようこそ。始める前にもう一度、あけましておめでとうございます。Happy New Year, Voorspoedige nuwe jaar, Buon anno, Gelukkig nieuwjaar, عام سعيد, bon any nou, godt nytår, bonne année, Frohes neues Jahr, שנה טובה, あけまして おめでとう ございます, laimīgu Jauno gadu, szczęśliwego nowego roku, Mutlu yıllar, С Новым Годом and Feliz año nuevo!
すでにご存じのように、「Sysdigの最新情報」ブログチームにはますます多くの人が参加していますが、今月は私、 Giulio Puriが担当します。私はイタリアのミラノを拠点とし、2021年5月からSysdig EMEAチームの一員としてセールスエンジニアを務めています。私はテクノロジー、イノベーション、サイバーセキュリティに情熱を持っており、自由時間には料理をしたり、レシピを試したり、いつもうまくいくわけではありませんが、新しい料理で友人を驚かせたりするのが好きです。
今回の月例記事は、私たちSysdiggers全員を感動させた最近のニュースから始めたいと思います。Wiresharkの生みの親であるGerald CombsがSysdigチームに加わり、クラウド・セキュリティのためのオープンソース・プロジェクトを拡張することになりました。このエキサイティングなニュースの詳細については、Sysdig社のCTO兼創業者であるLoris Degioanniによる発表のリンクをご覧ください。
製品面では、Sysdig Secureの重要な成果をいくつか挙げさせていただきます。セキュリティ・イベントの調査と分析をさらにサポートする新しいツール Rapid Response、潜在的な姿勢の問題の特定をさらにサポートする追加機能の統合における最初のマイルストーンである IaC Security、脆弱性管理テックプレビューを拡張し、より多くのセキュリティ・スキャン・ワークフローを提供する New Scanning Policies/Rule Bundles です。詳細は下記をご覧ください。また、ブログ、ウェビナー、トレードショーに関する最新情報もご覧いただけます。
また、製品のアップデートに関する詳細は、リリースノートをご覧ください。
Sysdig Secure
Infrastructure-as-Codeへようこそ!
新機能では、KubernetesのIaCチェックをGitパイプラインに統合することができます。数回クリックするだけで、標準的なコンプライアンス・チェックがプル・リクエスト(PR)フローに統合され、開発者がマージする前にポリシー違反を起こした場合に警告を発します。
現在、SysdigはGithub、Bitbucket、GitLab、Azure DevOpsの統合をサポートしており、各プロバイダーごとに、保護するレポやフォルダー、評価を行うブランチを定義することができます。
詳細は、IaC Securityのドキュメントページをご参照ください。
Rapid Response
Rapid Responseでは、Sysdig Secureで指定された上級ユーザに、イベント・ストリームから直接ホストにリモートで接続し、必要なコマンドを実行する能力を付与する方法を紹介しています。クラウドやKubernetes環境では、アプリケーションを担当するチームや開発者を探すのに数時間から数日かかることがあります。ライブの問題やセキュリティイベントのトラブルシューティングでは、これらのイベントのMTTRを下げるために、より迅速な調査が必要な場合があります。
Rapid Responseは、セキュリティチームがお客様の環境内のリモートシェルに接続し、イベントアラートから直接、自由にセキュリティツールを実行するために必要な柔軟性を備え、すでに慣れたコマンドを使用してイベントのトラブルシューティングと調査を開始することができます。
脆弱性管理テック・プレビュー(本番用ではありません)
Sysdigの新しいスキャニング・エンジンのプレビュー・リリースに続き、スキャニング・ポリシーとルール・バンドルの新しいイテレーションをテック・プレビューとして提供することを発表します(まだ本番用ではありません)。
Sysdigの新しいイメージスキャンエンジンのUIです。すでにプレビューとして有効にすることができますSysdig は、大幅な改良と追加機能を備えた新しいスキャンエンジンを開発しています。新しいエンジンの最初のイテレーションで提供される機能の一部をご紹介します:
- CI/CDパイプラインや開発者のマシンからのイメージを分析する際のスキャン時間を短縮します。
- 様々なベンダーが提供する、より高度で正確な脆弱性データとCVSSベクトルスコアリング、およびエクスプロイト可能性の評価指標を提供。
- 直感的な操作性を向上させました。
新しいデータソースページ
クラウド用のデータソースページが更新されましたのでお知らせします!このページでは、Sysdig Secureでオンボードされているクラウド・アカウントをまとめて表示し、接続されている各クラウド・アカウントのマネージドKubernetesクラスター(EKS、GKE、AKS)に関する情報を表示します。
Sysdigの「データソース」タブには、Sysdig Secureが導入されているクラウド・アカウントの情報が集約されています。統一されたコンプライアンスレポート
Sysdigは、コンプライアンスとベンチマークの機能を再構築しました。この変更により、いくつかの改善点があります。- コンプライアンスとベンチマークのタスクのスケジュール、管理、レポートの作成は、改善への道筋がシンプルになり、レポートも見やすくなった最新の統一されたインターフェースで行われます。
- 個々のコントロールをチェックするために使用されるロジックは、コントロールの障害を示すイベントをチェックし、これらのイベントを検出するために正しいランタイムルールが設定されていることを確認します。これにより、構成だけでなくアクティビティを捕捉する、より包括的な監査が可能になります。
- 新しいコンプライアンス基準とプラットフォームが追加されました。
- ワークロード、AWS、GCP、Azure向け:NIST 800-82 Rev2
- ワークロードとAWS向け:Fedramp、HITRUST CSF 9.4.2
- GCPとAzure向け:GDPR、HIPAA、ISO 27001:2003、NIST 800-53 Rev4およびRev5、NIST 800-171、NIST 800-190、PCI / DSS v3.2.1およびSOC 2
新機能:適用されたKubernetesネットワーク・ポリシーのレビュー
Sysdig Secureは、適用されたKNPをネットワークセキュリティポリシーのUIから直接確認できる機能を追加しました。
Sysdig SecureのKubernetesネットワークポリシーのトポロジービューFalco rule
v0.50.5が最新バージョンとなります。ここでは、9月に取り上げたv0.36.0からの変更点のハイライトをご紹介します。以下のルールを追加しました。
- log4jを悪用する悪意のあるC2 IPまたはドメイン:log4jの悪用に関与する悪意のあるIPとの接続を検出します。
- AWSSupportServiceRolePolicy想定される役割を通じたオブジェクトの読み取り
- AWSクレデンシャルの検索 ホストまたはコンテナ内のAWS認証情報の検索またはgrep
- GCP クラウド機能の作成
- Azure Remember MFAによるデバイス上のユーザーアクセス
- Azure ユーザーは、アプリが自分に代わって会社のデータにアクセスすることに同意できる
- Azure ユーザーアクセスのためのMFAを無効にする
- Azure コンテナACLの変更
- サポートされていないランタイムを使用したLambda関数の作成
- コマンドラインで検出された悪意のあるIPまたはドメイン
- 悪意のあるバイナリの検出
- 悪意のあるプロセスの検出
Sysdig エージェント
Sysdigエージェントの最新リリースはv12.2.0です。 前回のアップデートでご紹介したv12.1.1以降のアップデートの差分をご紹介します。- eBPFをサポートするためのインストール・スクリプトの改善: eBPFをサポートするために、Sysdigエージェントのネイティブ・インストール・スクリプトにbpfまたは-bという新しいオプションが追加されました。
- 10s Flush 構成をデフォルトで有効にしました:デフォルトでは、エージェントは1秒単位のメトリクスを10秒単位のデータに集約してからバックエンドに送信します。エージェントのバージョン12.2.0以上を、オンプレミスのSysdig Platformバージョン3.5.0以下で使用する場合は、10s_flush_enableコンフィグレーションをfalseに設定してください。
- ログ・メッセージの改善:subprocess_resource_limitsの設定中に発生したエラーを報告するログメッセージを改善しました。
SDK、CLI、ツール
Sysdig CLI
v0.7.14はまだ最新のリリースです。ツールの使用方法や、以前のバージョンのリリースノートは、以下のリンクから入手できます。https://github.com/sysdiglabs/sysdig-platform-cli/releases/tag/v0.7.14
https://sysdiglabs.github.io/sysdig-platform-cli/
Python SDK
v0.16.3はまだ最新のリリースで、10月のアップデートで取り上げました。https://github.com/sysdiglabs/sysdig-sdk-python/releases/tag/v0.16.3
Terraform provider
Terraform providerが更新され、最新バージョンはv0.5.28です。バグフィックス
- ベンチマークV2タスクの代わりにコンプライアンスV2タスクを作成するようにTerraformのデプロイを変更しました。
Falco VS Code Extension
v0.1.0 はまだ最新のリリースです。https://github.com/sysdiglabs/vscode-falco/releases/tag/v0.1.0
Sysdig Cloud Connector
先月、Sysdig Cloud Connectorがv0.13.0からv0.14.2にアップデートされました。新しい機能
- auditor: cloudecイベントを/eventsエンドポイントに発行し、想定される役割を計算する
- secure-client: HeartBeatsを使用するための機能イネーブラの更新
- CloudTrail ingestorにおいて、S3からの同時ダウンロード数をユーザーが指定可能に
- SQSメッセージ消費量のメトリクスを公開
- AWSSupportServiceRolePolicy Assumed Roleを介したRead Objectをチェックするルールの追加
- パフォーマンスの改善
- Azureブルートフォースログインの検出
Inline Scanner & Image Analyzer
Sysdig Inline ScannerとNode Image Analyzerの両方が先月から更新され、それぞれv2.4.8とv0.1.15になりました。バグフィックス
- 最新のセキュリティフィックスに更新しました
- buildkitを使ってイメージをビルドする際のCOPY、USER、その他の命令のサポートを修正しました。
GithubアクションにおけるSysdig Secure Inline Scan
v3.2.0はまだ最新のリリースで、11月でも取り上げました。https://github.com/marketplace/actions/sysdig-secure-inline-scan
Sysdig Secure Jenkins Plugin
v2.1.12がまだ最新のリリースです。https://plugins.jenkins.io/sysdig-secure/
Prometheus統合
新しいダッシュボードとアラート
- Kubeletのダッシュボードとアラートのテンプレート
- ストレージとPVCに関する新しいアラートテンプレート
- Nginx ingressにSSL認証期限切れのアラートを追加
- リクエストの15%未満のCPUおよびメモリ消費に対するアラートの追加
- PVC ダッシュボードの情報バナーを更新
- Pod Rightsizing & Workload Capacity Optimizationダッシュボードを更新し、コンテナの粒度と推奨値のテキストを追加
- Windows の概要、および、WMI の概要(レガシー)の間隔の修正
新しいウェブサイトのリソース
ブログ (日本語:sysdig.jp)、(日本語:SCSK Sysdig特設サイト)
- Detecting and mitigating CVE-2021-4034: “Pwnkit” local privilege escalation
- Sysdig 2022 Cloud-Native Security and Usage Report: Stay on Top of Risks as You Scale
- CVE-2022-0185: Detecting and mitigating Linux Kernel vulnerability causing container escape
- Endpoint Detection and Response (EDR) for containers and Kubernetes
- Vulnerable AWS Lambda function – Initial access in cloud attacks
- Sysdig Welcomes Gerald and the Wireshark Community
- Malicious modifications to open source projects affecting thousands
- Secure DevOps on Microsoft Azure: Reduce Cloud & Container Risk
- How to Secure Kubernetes, the OS of the Cloud
- Pet surveillance with Falco – Home Security
- Monitor CSGO – Counter Strike: Global Offensive with Prometheus
- Blocking log4j with Response Actions
ウェビナー
- Continuous Compliance on AWS
- Securing Microsoft Azure Cloud and Containers
- Cloud and Container Runtime Security on AWS
- Zero Trust Security for OpenShift and Hybrid Cloud
- Image Scanning on AWS
- Secure DevOps Best Practices for Multicloud Environments
- Addressing the log4j Vulnerability in Containers
- Compliance with Containers & Cloud