本文の内容は、2023年1月26日にKATARINA ZIVKOVICが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-january-2023)を元に日本語に翻訳・再構成した内容となっております。 Sysdigの最新情報、2023年1月版で再び登場です! カナダ・バンクーバー在住のカスタマー・ソリューション・エンジニア、ダスティン・クリサックと申します。 今月は、Sysdig SecureのホストスキャンとCSPMコンプライアンス機能の一般提供を開始しました。その他にも、ホストの脆弱性レポート、AWSのTerraformのIaCスキャンなど、様々な変更があります! また、SDK、CLI、ツールにもいくつかのアップデートと改良が加えられました。
Sysdig Monitor
- 1月のアップデートはありません。
Sysdig Secure
ホストスキャンの機能強化と一般提供の開始
ホストの脆弱性管理は、いくつかのアップグレードを受け、現在一般利用可能な状態になっています。新たにサポートされたホストOS
ホストスキャン機能の開発において、多くのサポート対象OSが追加されました。1月に追加されたのは以下の通りです。- Alibaba Cloud Linux (通称:Aliyun Linux)
- Google Container-Optimized OS (COS)、ビルド89+。
ホスト脆弱性レポート
Sysdig製品でスキャンしたHostを対象とした脆弱性レポートを定期的に作成することが可能になりました。
Sysdig Secureのレポート機能から、ランタイムワークロードとランタイムホストのどちらを対象とするかを選択できるようになりました。スコープラベルとレポートカラムは、ホストスキャンのメタデータ(ホスト名やクラウドプロバイダーリージョンなど)に従いますので、ご注意ください。
CSPMコンプライアンスGAリリース
Sysdigは、新しいCSPM ComplianceのGAリリースを発表します。最も重要な環境とアプリケーションのコンプライアンス結果に焦点を当てましょう! 新しい機能が導入されました:- コンプライアンスページを導入し、ゾーンの順番で表示します。
- CSPM ゾーン管理
- お客様ごとにデフォルトの「インフラストラクチャー全体」ゾーンが作成されます。
- 独自のゾーンを作成します:
- 評価したいリソースのスコープを定義します
- ゾーンにポリシーを適用して、コンプライアンスページに追加します。
- 40以上のリスクとコンプライアンスポリシーを含む
IaC ScanningがTerraform AWSに対応しました
Sysdigは、AWSプロバイダーのTerraformリソースのサポートをリリースしています。Git IaC Scanningを実装している場合、プルリクエストチェックでAWSリソースをスキャンし、CIS AWS Foundations Benchmarkの違反を報告するようになりました。 サポートされるリソースとソースの種類のリストが追加されました:- YAML マニフェストの Kubernetes ワークロード
- Kustomize の Kubernetes ワークロード
- Helm チャートの Kubernetes ワークロード
- TerraformでのKubernetesワークロード
- TerraformにおけるAWSクラウドリソース
脆弱性管理にGolangのフィードを追加しました
Sysdigは、Golang関連の脆弱性をより幅広く検出するためのフィードを追加しました。Golangのバイナリで宣言されているパッケージを抽出することで、そのバイナリをビルドするために使用されているライブラリの脆弱性を表面化させています。特に:- GitLab アドバイザリデータベース
- Go 脆弱性データベース
Google COSの脆弱性ホストスキャンが追加されました
(プレビュー機能である)Host ScanningにGoogle COSのサポートが追加されました。 Host Scanningは、Helmチャートのsysdig-deployバージョン1.5.0+でデプロイする際にデフォルトでインストールされます。- Google COSのサポートには、HostScannerコンテナバージョン0.3.1+が必要であることに注意してください。
- 汎用バイナリ (docker/containerd や infra tooling など)
- /bin、/sbin、/usr/bin、/usr/sbin、/usr/share、/usr/local。
- ライブラリ(デフォルトのPythonライブラリなど)
- /usr/lib,/usr/lib64
- GoogleCOSツーリングディレクトリ
- /var/lib/google,/var/lib/toolbox,/var/lib/cloud
Sysdig Agent
エージェントのアップデート
Sysdig Agentの最新リリースはv12.10.1です。以下は、12月のアップデートで取り上げたv12.9.1以降のアップデートの差分です。2022年12月20日
このHotfixは、Sysdig MonitorのAdvisorのYAMLタブで発見された問題を解決します。YAMLタブをクリックすると、期待どおりに動作し、PodのYAML設定が引き続き表示されます。2022年12月15日
機能の強化
ライトモードのサポート
新しいエージェントモードである secure_light が導入され、限定されたセキュアな機能を提供することができるようになりました。このモードでサポートされる機能は以下の通りです。 secure_lightモードで動作するSysdigエージェントは、セキュアモードで動作するエージェントよりも少ないリソースを消費します。 詳細については、セキュアライトを参照してください。コンテナ防御のためのエージェント設定追加
Sysdigエージェントが、ポリシーに関係なく、kill、pause、stopなどの潜在的に破壊的なコンテナ操作を行わないようにする、新しいエージェントレベルの設定、ignore_container_actionが追加されました。 このオプションを有効にするには、dragent.yaml ファイルに以下を追加します:security: ignore_container_action: trueこの設定は、デフォルトでは無効になっています。 この構成が有効で、ポリシーがコンテナ操作の実行を指示する場合、エージェントはポリシーを無視し、構成のためにエージェントがアクションを取らなかったことを示すInfoログメッセージを作成します。 また、以下を参照してください。脅威検知ポリシーの管理|コンテナ
スコープマッチングの改善
対応するKubernetesラベルが一時的に利用できない場合、同等のコンテナラベルを使用することで、実行時ポリシーのスコープマッチングが改善されました。 以下の設定により動作が決まります。例では、デフォルト値を示しています。Security:
use-container-labels-mapping: true
Container_labels_map:
- "kubernetes.pod.name: container.label.io.kubernetes.pod.name"
- "kubernetes.namespace.name:container.label.io.kubernetes.pod.namespace"
AWSデプロイメントでのIMDSv2サポート
AWSメタデータサービス(IMDSv2)とのトークンベース通信を必要とするすべてのデプロイメントで、新しいエージェントレベルの設定であるimds_versionを2に設定する必要があります。imds_version: 2IMDSv1形式のAWSメタデータリクエストを継続して使用する場合は、設定を変更しないか、1に設定します。
imds_version: 1
脆弱性の修正
- CVEを解決するために、Promscrapeに使用されているGoのバージョンを1.18.7に更新しました。
- CVE-2022-42003 と CVE-2022-42004 を解決するために Jackson ライブラリを更新しました。
- CVE-2022-38752 を解決するために sdjagent の snakeyaml を 1.32 にアップグレードしました。
メモリ消費量のチェックを行わないようにしました
Kubernetesは独自のリソース管理をしているため、Kubernetesで実行する際にエージェントのウォッチドッグがメモリ消費量をチェックすることを無効にしました。Kubernetesで動作しているときに、エージェントウォッチドッグによるメモリ消費量のチェックを再度有効にしたい場合は、以下の設定パラメータを設定します。Watchdog:
check_memory_for_k8s: true
Cost Advisorのレポートラベルを追加
インスタンス、リージョン、ゾーン、およびノードのオペレーティングシステムを識別するための追加のラベルを収集できるように、デフォルトのKubernetesラベルフィルタを変更しました。追加のラベルは、インフラストラクチャーに関連するコストの計算を支援します。デリゲートされたエージェントの特定
エージェントがデリゲートされているかどうかを示す statsd_dragent_subproc_cointerface_delegated メトリクスが追加されました。コンテナメタデータの取得を改善
DockerとCRIの両方のランタイムが利用可能な場合に、コンテナのメタデータを取得するように改善されました。これにより、ランタイムポリシーイベントでコンテナ情報が欠落している問題が軽減されます。既知の問題
Sysdig Monitor の Advisor で、kubectl describe 操作と同様に Pod の構造を表示する YAML タブが、期待通りに動作しない場合があります。YAML タブをクリックすると、エージェントが再起動し、その結果、メトリクスが一時的に失われることがあります。 回避策として、dragent.yamlファイルで以下のように無効化します:k8s_command: enabled: false
不具合修正
すべてのストレージクラスをレポート
エージェントは、1つのストレージクラスだけでなく、すべてのストレージクラスを報告するようになりました。以前は、クラスターに複数のストレージクラスが存在する場合、エージェントはメトリクス protobuf で global_kubernetes から1つのストレージクラスのみを送信していました。イベントでのグループ名とユーザー名の適切なマッチング
イベントは group.name と user.name を正しく報告するようになりました。これは、一部のケースでコンテナに対してルート ID が N/A として解決される問題が原因でした。コンテナのターミナルシェルが N/A を返さないようになりました
コンテナのパスワードとグループ検索を実装し、コンテナのターミナルシェルが user.name に対して N/A を返さないようにしました。ARM 用のコマンド実行記録の生成
アクティビティ監査で、ARM プロセッサシステム、コンテナ内で実行されるトップレベルプロセス、および関連する TTY がない場合に、コマンド実行記録が生成されない問題が修正されました。Pod の再デプロイメントでラベルを正しく報告する
Pod が再デプロイメントされたときにエージェントが古い Pod UID を報告するという promscrape の問題が修正されました。これは、そのPodからスクレイピングされたタイムスケールからすべてのラベルが欠落することにつながりました。より新しいJREバージョンでのJMX監視の修正
sdjagent の例外により、新しい JRE バージョンで JMX 監視が正しく機能しない問題を修正しました。 詳しくは、v12.10.1 リリースノートを参照してください。Agentlessの アップデート
- 1月のアップデートはありません。
SDK、CLI、ツール
Sysdig CLI
v0.7.14がまだ最新リリースです。ツールの使用方法と旧バージョンのリリースノートは、以下のリンクから入手できます。 https://sysdiglabs.github.io/sysdig-platform-cli/Python SDK
v0.16.4が最新版です。 https://github.com/sysdiglabs/sysdig-sdk-python/releases/tag/v0.16.4Terraform プロバイダー
新しいリリース v0.5.47 があります。 ドキュメント – https://registry.terraform.io/providers/sysdiglabs/sysdig/latest/docs GitHub のリンク – https://github.com/sysdiglabs/terraform-provider-sysdig/releases/tag/v0.5.47Terraform モジュール
- AWS Sysdig Secure for Cloud が v10.0.3 にアップデートされました。
- GCP Sysdig Secure for Cloudはv0.9.6で変更ありません。
- Azure Sysdig Secure for Cloud が v0.9.3 にアップデートされました。
Falco VSCode Extension
v0.1.0が最新リリースです。 https://github.com/sysdiglabs/vscode-falco/releases/tag/v0.1.0Sysdig Cloud Connector
AWS Sysdig Secure for Cloudに変更はございません。現在のリリースはv0.16.26のままです。AWS Sysdig Secure for Cloud
AWS Sysdig Secure for Cloudは、v0.10.3のまま変更はありません。Admission Controller
Sysdig Admission Controller が v3.9.14 にアップデートされました。 ドキュメント – https://docs.sysdig.com/en/docs/installation/admission-controller-installation/ランタイム脆弱性スキャナー
新しい vuln-runtime-scanner は v1.2.13 に更新されました。 ドキュメンテーション – https://docs.sysdig.com/en/docs/sysdig-secure/vulnerabilities/runtimeSysdig CLI スキャナー
Sysdig CLI Scanner は v1.3.2 のままです。 ドキュメンテーション – https://docs.sysdig.com/en/docs/sysdig-secure/vulnerabilities/pipeline/Image Analyzer
Sysdig Node Image Analyzer のバージョンは v0.1.19 のままです。Host Analyzer
Sysdig Host Analyzer のバージョンは v0.1.11 のままです。 ドキュメント – https://docs.sysdig.com/en/docs/installation/node-analyzer-multi-feature-installation/#node-analyzer-multi-feature-installationSysdig Secure Online Scan for Github Actions
最新リリースはv3.4.0のままです。 https://github.com/marketplace/actions/sysdig-secure-inline-scanSysdig Secure Jenkins Plugin
Sysdig Secure Jenkins Pluginはまだv2.2.6です。 https://plugins.jenkins.io/sysdig-secure/Prometheusインテグレーション
PromCatチームはPrometheus Integrations v1.7.0を正式にリリースしました!Prometheus Integrations v1.7.0は以下のようになります。 インテグレーションは以下の通りです:- Sec: promcat-jmx-exporter image Critical High 脆弱性
- Sec: postgresql-exporter image Critical High 脆弱性
- 修正 NTP統合における問題の修正
- 修正: Windowsインテグレーションのためのロゴを追加
- 機能 インテグレーションのyamlに時系列計測の新しいダッシュボードを追加
- 修正: kubeapiのジョブがポートラベルを使用しており、存在しない場合がある
- 修正: 監視統合 – MongoDBのインストールに失敗する
- 修正:Calicoインテグレーションのタイポ
- 修正: ドキュメントでksmインテグレーションがOSSであることを明確にする
- 修正: k8s api-serverにメトリクスフィルターのバグがある
- 修正 Linux ホストの概要パネルで、一部の値が正しく表示されないことがある
- 機能 Windows デフォルトのメトリクスとプロセスコレクタのメトリクスを使用した Windows アラートの追加
- 修正: 一部のドキュメントページを改善
Sysdig on-premise
5.1.6 ホットフィックス
アップグレードプロセス
- 対応するアップグレード元: 4.0.x、5.0.x
- values.yaml ファイルを更新すると、管理者設定が元に戻ってしまうプライバシー設定の問題を修正しました。
- Scan Resultsの下に表示されるサイドパネルのインターフェースのバグを修正しました。
- メタデータサービスが一部のメトリクスで値として空の文字列を返すことがあり、”A new version of Sysdig is available.” というバナーが称される問題を修正しました。
- Anchoreで、本来存在しないはずのパッケージの脆弱性が表示される問題を修正しました。
- Anchore イメージを最新のコードとセキュリティアップデートで更新しました。
Falcoのルールの変更履歴
バージョン0.99.0
ルールの変更
- 以下のルールを追加しました。
- セキュリティグループルールの変更 世界に開かれたIngressを許可する
- IPFS ネットワークへの接続が検出される
- 以下のルールの条件を改善しました。
- Ingress Open to the Worldを許可するセキュリティグループルールを作成します。
- ネットワーク ACL エントリを作成し、Ingress Open to the World を許可します。
- 偵察用スクリプトの検出
- ラストログファイルのクリア
- コンテナでのリモートファイルコピーツールの起動
- Bucketのライフサイクルをput
- シェル履歴の削除と名前変更
- 以下のルールの例外を追加しました。
- Bucketのライフサイクルをput
- 役割分担ポリシーの更新
- IoC ルールセットを新しい知見に基づき更新
- 以下のルールの誤検知を削減しました:AWS認証情報の検索
- デフォルトポリシーの変更
- 以下のルールを追加しました。
- Ingress Open を許可するセキュリティグループルールの変更
- IPFSネットワークへの接続が検出された
新しいウェブサイトリソース
ブログ (日本語:sysdig.jp)、(日本語:SCSK Sysdig特設サイト)
ブログ
- Sysdig, a Leader in Frost Radar, CNAPP 2022
- Top 15 Kubectl plugins for security engineers
- Sysdig Secure and Google Security Command Center Integration – Why, What, How
- Sysdig Monitor Introduces native support for Microsoft Azure Monitor
- Exploiting IAM security misconfiguration and how to detect them
- Our Journey Into Cutting Kubernetes by 40%
- How to Monitor kube-controller-manager
脅威リサーチ
ウェビナー
- Exploring the 2022 State of DevOps Report with Google and Sysdig
- A Hackers Secret to Ethically Cracking the Code in Today’s Digital World with Dr. Charlie Miller
トレードショー
教育
Sysdigトレーニングチームは、様々なトピックを学び、実践するためのキュレーションされたハンズオンラボを提供しています。1月のコースのセレクションです。- Sysdig Secureを使用したKubernetesネットワークポリシーの作成方法を学びます。
- Falco v0.31.0は、プラグインによってクラウドの脅威を検出するための拡張が可能になりました。このラボでは、AWS CloudTrailログの読み方と疑わしいクラウドアクティビティを検出する方法について学びます。