Sysdigの新機能 – 2021年3月

本文の内容は、2021年3月23日にChris Kranzが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-march-2021/)を元に日本語に翻訳・再構成した内容となっております。

Sysdigの最新情報をお届けします。私たちのチームは、すべてのお客様に素晴らしい新機能を自動的に、かつ無料で提供するために努力を続けています。今月は、コンプライアンスとPromQL Query Explorerについてです。詳細は以下をご覧ください。

コンプライアンス・ダッシュボードのページに、いくつかの新しいコンプライアンス基準を追加しました。これにより、お客様は監査での評価を素早く（そして継続的に）確認することができます。また、お客様には、現在の設定を改善するために何ができるかというガイドラインも提供しています。

さらに、何千ものメトリクスをナビゲートし、最も意味があり最高の利益をもたらすビューを得るために適切なPromQLクエリーを選択しようとする課題についても耳にしました。そこで、お客様の日々の作業をより快適にするために、PromQL Query Explorerを開発し、今月発表しました。これにより、より良い、より意味のあるダッシュボードを構築することができるので、これらのメトリクスやクエリーのすべてを全員に覚えさせる必要はありません。

また、Windowsスキャンのサポート、UIベースのアドミッション・コントローラーの設定、IBMクラウド機能のサポートなど、多くの優れた機能を追加しました。詳しくは以下をご覧ください。

いつものように、製品アップデートの詳細については、リリースノートを確認し、ここで取り上げる内容について質問がある場合は、最寄りのSysdigに連絡してください。

Sysdig Secure

SOC 2、NIST 800-53 rev4、および rev5の規制コンプライアンス

Sysdigのコンプライアンス機能に3つの新しいコンプライアンス規格が追加されました。SOC 2、NIST 800-53 rev4、およびNIST 800-53 rev5です。

コンプライアンス検証機能に、以下の機能のチェックが追加されました。
アドミッション・コントローラー、ネットワーク・セキュリティ・ポリシー、ノード・アナライザー。

使用方法の詳細や実装されているコントロールについては、Complianceのドキュメントを参照してください。

お客様はどのようにこの機能を使用するのか

現在のコンプライアンス態勢とエクスポージャーを継続的に最新の状態で把握することがビジネスには不可欠であり、監査人からも日常的に求められているとの声をお客様からいただきました。現在、いくつかの組織ではランダムな内部監査を実施しており、コンテナ環境のコンプライアンスを証明するために、コンプライアンスダッシュボードが非常に有効なツールであることがわかっています。新しいコンプライアンス基準により、お客様の適用範囲が広がり、どの監査が合格しているか、またはリスクがあるかをすぐに確認できるようになりましたと述べています。

Windows Scanningリリース

Windows Scanning Inspectorのベータ版がリリースされました。これは、WindowsコンテナをスキャンするためのSysdigの新機能です。

注意: これは現在、スタンドアロンのスキャン・エンジンです。一元化されたUI、管理、履歴データなどはありません。これらの機能は将来のリリースを予定しています。

こちらもご覧ください：Windowsコンテナ・イメージ・スキャン[BETA].

特徴

• Windows コンテナイメージの脆弱性を特定
  • Windows OSのCVE
• Windows または Linux ホスト
• JSONとPDFによるレポート
• ポリシーのサポート
  • Severity
  • Fix available
  • Days since fixed
  • Always inline

お客様はどのようにこの機能を使用するのか

コンテナの導入が急激に進む中で、Windowsコンテナの導入・利用も積極的に行われるようになってきました。当社のお客様は、コンテナ全体で同じレベルの保証と検証を求めており、これがWindows Scanningサポートを導入した主な利点です。

UIベースのアドミッションコントローラーをリリース

Kubernetesのアドミッションコントローラーは、クラスターで許可されるリクエストを定義し、カスタマイズするのに役立ちます。アドミッション・コントローラーは、Kubernetes APIへのリクエストを傍受し、オブジェクトの永続化の前に処理しますが、リクエストが認証され、認可された後に処理します。

Sysdigのアドミッション・コントローラ（UIベース）は、Kubernetesをベースに、イメージスキャナの機能を強化し、CVE（Common Vulnerabilities and Exposures）、設定ミス、古いイメージなどをチェックして、スキャンポリシーを検知から実際の防止にまで高めます。設定されたアドミッション・ポリシーを満たさないコンテナ・イメージは、ノードに割り当てられて実行が許可される前に、クラスターから拒否されます。

参照：アドミッション・コントローラー

主な機能

• きめ細かなアドミッションポリシー。クラスターごとのグローバルポリシーだけでなく、特定のネームスペースやイメージパス（レジストリなど）のレベルでも定義可能。
• スキャン評価基準に合格したイメージのみを許可する。
• 最近評価されたイメージのみを許可する。
• Kubernetesに作成がリクエストされる前にスキャンされたイメージのみを許可する。
• レジストリとリポジトリのホワイトリスト。
• スキャンされていない要求されたイメージを直ちにスキャンする（オプション）。

お客様はどのようにこの機能を使用するのか

多くのお客様は、当社の最初のアドミッション・コントローラーを使用していますが、その管理を簡素化したいと考えていました。新しいUIベースのインターフェイスにより、より広い範囲での導入が可能になっただけでなく、アドミッション・コントローラーがどこで使われているかをより明確に把握できるようになりました。これにより、コンテナのライフサイクルの構築段階で、セキュリティとベストプラクティスが採用されていることを確信できるようになったとのフィードバックをいただきました。

イメージスキャン結果の改善

スキャン結果のUIに改良を加え、より分かりやすく、重要な情報に素早くたどり着けるようにしました。お客様からは、重要なトップレベルの情報に素早く集中できるよう、よりすっきりとした表示にしてほしいという要望がありました。トップレベルのスキャン結果ページが更新され、どのスキャンエンジンがスキャンを実行したかがすぐにわかるようになりました。これは、アプリケーションのライフサイクルのどこでスキャンが実施され、セキュリティポリシーが適用されたかを識別するための優れた方法です。さらに、ユーザーはレジストリで素早くフィルタリングすることができます。多くのお客様は複数のレジストリをお持ちで、それぞれのスナップショットを素早く取得したいとお考えですが、画像ソースに基づいて関連性をフィルタリングすることもできます。

ページ上部のサマリーチャートはダイナミックに表示されるため、フィルターを変更したり、範囲を狭めたりすると、これらの統計データも変化します。これにより、次のような一般的な質問に素早く答えることができます。”スキャンエンジンごとにいくつのフェイルしたイメージがあるのか？個々のイメージのスキャン結果をさらに深く掘り下げて、発見された脆弱性を見てみると、重要な情報やメタデータに注目できるように、ユーザビリティの向上が図られています。これにより、注意が必要な重要な領域に、より簡単に注目することができます。

上部のクイックフィルターを使えば、情報を素早く簡単に絞り込むことができます。準備ができたら、クリックするだけで、より詳細な情報に入り、特定の脆弱性の詳細を知ることができます。詳細情報では、お客様からの要望が多かった、脆弱性の説明やソースを確認することができます。

お客様はどのようにこの機能を使用するのか

多くのお客様にとって、最初の分析時には膨大な量の脆弱性に圧倒されてしまいます。お客様は、特定の脆弱性に焦点を当てる必要があるときに、追加情報をすばやくフィルタリングして掘り下げることができることが、修正や緩和の優先順位を決める上で重要であるとおっしゃっています。

Falcoルール

v0.10.5が最新のルールセットで、先月取り上げました。

Sysdig Monitor

PromQL Query Explorer

PromQL Query Explorerは、ダッシュボードやアラートで使用する前に、メトリクスとそのラベルや値を理解し、クエリーを迅速に作成するのに役立ちます。PromQLは、Prometheusのエンドポイントから収集したメトリクスだけでなく、エージェントが収集したSysdigのネイティブ・メトリクスにも使用できます。

詳しくは、Prometheus Alert Rulesのインポートをご覧ください。

お客様はどのようにこの機能を使用するのか

多くのお客様がPrometheusを愛用されており、すでにPromQLダッシュボードに投資されているお客様は、Sysdigダッシュボードへの移行や採用が容易であることを実感されています。しかし、アプリケーションがPrometheusでインスツルメンテーションされればされるほど、より多くのメトリクスが生成されます。当社のお客様は、さまざまなメトリクスを素早く調査・比較し、発見されたメトリクスやクエリをワンクリックでダッシュボード・パネルやアラートに変換できることで、効率化を実現していると語っています。これにより、Sysdigの導入が簡素化され、より多くのユーザーが大きな時間をかけずに有益なインサイトを得られるようになりました。

IBM Cloud Functions

Sysdig MonitorでIBM Cloud Functionsを通知チャネルとして使用できるようになりました。Sysdigは、IBM Cloud Function Channelへのアラート通知の自動送信をサポートしています。一般的には、以下のようなユースケースで使用します。

• IBM FunctionをSysdig Monitorの新しい通知チャネルとして設定する。
• IBM Functionに追加のパラメータを渡す。
• IBMファンクションを変更する。
• IBM Functionを削除する。

詳しくは「IBM Cloud Function Channelの設定」をご覧ください。

お客様はどのようにこの機能を使用するのか

これにより、お客様は、通知のためのより高度なルーティング（IBM Cloud Functionの通知内容に基づいて意思決定を構成する）や自動アクションの実装を開始しました。この統合により、さらに多くのユースケースが出てくることは間違いありません。

SAMLシングル・ログアウト

SysdigはSAMLシングル・ログアウトをサポートしています。この機能により、ユーザーがSysdigからログアウトした際に、アイデンティティ・プロバイダーから自動的にログアウトするように設定することができます。この機能は現在、SaaSリージョンのUS-WestとEU-Centralで利用可能です。

詳細については、「SAML シングル・ログアウトの設定」を参照してください。

お客様はどのようにこの機能を使用するのか

Sysdigのお客様の多くは、さまざまなシステムの運用方法について、中央でセキュリティ・ガバナンスを行っています。SAMLシングル・ログアウトをサポートすることで、SAML認証されたすべてのアプリケーションを強制的にログアウトさせる標準的なポリシーを、Sysdigも含めて拡張することができます。

ダッシュボード・スコープ・セッションの強化

小さな、しかし便利なアップデートです。以前訪れたダッシュボードに戻ったとき、UIは最後に使用したスコープを保持します。

Sysdig Agent

Sysdig Agent

Sysdig Agentの最新リリースは11.0.0です。 前回のアップデートで紹介した10.9.1以降のアップデートの差分を以下に示します。

Thin Cointerfaceによるメモリ使用量の削減

Thin Cointerfaceは、エージェントとKubernetes API Serverの両方でKubernetesのメタデータを処理するために必要なメモリを削減します。メモリ使用量の削減は、多数のポッド（10,000以上の範囲）を持つKubernetesクラスターや、Replication Controllersを多用するクラスターで顕著です。

この機能を使用すると、Sysdigのバックエンドに同じデータが返され、Sysdigのどの機能にも影響しません。Thin Cointerface機能はデフォルトでは無効になっています。

こちらもご参照ください：エージェントのメモリ消費量の削減。

ファイル・ロギング機能

エージェント・コンポーネントの追加セットに対して、コンポーネントごとのファイル・ロギング機能が有効になりました。

詳細については、「エージェントコンポーネントのファイルロギングを管理する」を参照してください。

Prometheus で消費されるエージェントメモリの削減

エージェントのメモリ消費量を削減するために、取り込まれるPrometheusの時系列の数が制限されました。この制限は、Prometheusの再ラベル付けルールが適用された後、エージェントのメトリクスフィルタとメメトリクスリミットの前に適用されます。

エージェントでの集計によるメトリクスの欠落の修正

特定の名前のプロセスが不適切に集約され、特定の状況下でメトリクスの欠落が発生する問題を修正しました。

Cointerfaceの修正

kubernetesのラベルセレクタを処理する際に、エージェントのcointerfaceプロセスが連続して再起動する問題を修正しました。

Sysdig Agent – Helmチャート

Helm Chart 1.11.7が最新バージョンです。以下は、前回のアップデートで取り上げたv1.11.3以降のアップデートの差分です。

• Node Image Analyzerをデフォルトの0.1.10に更新しました。
• Node Image AnalyzerのVERIFY_CERTIFICATE設定を修正しました。
• Node Image Analyzerに許容範囲の設定項目を追加。
• Agentの最新イメージ（11.0.0）を使用する。

Node image analyzer

バージョン0.1.10をリリースしました。前回のアップデートで取り上げたv0.1.9から、以下の差分のアップデートが含まれています。

• TomcatのJavaパッケージに、より多くのバリエーションがある場合の処理を改善しました。

Node Image Analyzerは、Sysdig Agentのインストールの一部としてインストールできます。

インライン・スキャン・エンジン

バージョン2.3.2がリリースされました。前回のアップデートで取り上げたv2.3からの差分アップデートは以下の通りです。

• -sysdig-urlの末尾のスラッシュは、存在する場合は自動的に切り取られるようになりました。
• カスタム・アノテーションがSysdigのバックエンドに正しく送信されるようになりました。

こちらもご覧ください：CI/CDツールとの統合。

SDK、CLI、ツール

Sysdig CLI

Sysdig CLIのv0.7.5が最新のリリースです。以下は、前回のアップデートで取り上げたv0.7.4以降のアップデートの差分です。

• テキスト・パネルを持つダッシュボードのパネル・リストの表示を修正しました。テキストパネルを持つダッシュボードに対して、sdc-cli dashboard panel list <dashboard_id>を実行する際のエラーを解決しました。

Python SDK

v0.14.13がまだ最新のリリースです。

Terraform provider

v0.5.12がリリースされました。以下は、先月取り上げたv0.5.11からの差分変更点です。ドキュメントをご覧になってみてください。

バグフィックス：

• trigger_after_pct が sysdig_monitor_alert_downtime リソースで正しく処理されない。

Falco VS Code extension

v0.1.0 はまだ最新のリリースです。

Sysdig Cloud Connector

Sysdig Cloud Connector v0.5.1がリリースされました。先月ご紹介したv0.4.4からのアップデートの差分です。

• CloudTrailイベントのスコープ情報を強化しました。
• 独立したルール・バリデーターを作成しました。
• 環境変数からセキュアURLを設定できるようにしました。
• ポリシー情報を使用してセキュアにイベントを通知し、そのスコープを尊重します。
• ECS execルールを追加しました。
• 5分ごとにルールをホットリロードする。
• Sysdig Secureからポリシーに従ったルールをロードする。
• イベントをアトミックに評価する。パフォーマンスが向上していることがわかります。
• Google Cloud Storageルール・プロバイダを追加しました。
• バックオフ付きのHTTPリトライ戦略を追加。
• aws_cloudtrailルールにsyscallおよびk8sフィールドが存在する場合、バリデータでエラーを返します。
• ECS ContainerルールにTerminal Shellを追加しました。
• 製品メトリクスを取得するためのテレメトリーを追加しました。
• CloudTrail Terraformモジュールを追加しました。
• Terraformモジュールデプロイメントを追加しました。
• イベントをセキュアに送信する際にポリシーの重大度を尊重します。
• ロールからイベントが発生した場合、aws.userを表示する。

こちらですべてのリリースを見ることができます。

Github ActionsのSysdig Secureインラインスキャン

v3がまだ最新版です。

Sysdig Secure Jenkinsプラグイン

Sysdig Secure Jenkins Plugin v2.1.4がリリースされました。以下は、先月取り上げたv2.1以降のアップデートの差分です。

• バックエンドのスキャンに新しいオプションforceScanを追加し、バックエンドで既にタグが分かっていてもイメージの再スキャンを強制するようにしました。
• Dockerfileが提供された場合、自動的にforceScanオプションを設定します。そうしないと、既存のイメージに対してバックエンドのAPIコールが失敗します。
• デバッグログを有効にしてプラグインを実行すると、無効なJSONのパースエラーが発生します。
• DOCKER_HOST、DOCKER_TLS_VERIFY、DOCKER_CERTS_PATH変数のサポートを追加し、Docker-in-DockerまたはDocker with TCPの使用を可能にしました。
• エアギャップ環境や固定バージョンのピン留めのために、インラインスキャンのデフォルトコンテナイメージをオーバーライドできるようにしました。
• 最新のinline-scanコンテナバージョンを使用している場合に、コンソールで欠落している出力を修正しました。
• コンソールログに表示されるべきではないリークされた例外メッセージを、正しく処理されるように隠します。

新しいウェブサイトのリソース

ブログ　日本語  日本語(SCSK Webサイト)

• ECS Fargate threat modeling
• Running commands securely in containers with Amazon ECS Exec and Sysdig
• Getting started with PromQL – Includes Cheatsheet!
• Detecting and mitigating Apache Unomi’s CVE-2020-13942 – Remote Code Execution (RCE)
• Top 20 Dockerfile best practices
• Write Prometheus queries faster with our new PromQL Explorer
• Detecting MITRE ATT&CK: Privilege escalation with Falco
• Sysdig contributes Falco’s kernel module, eBPF probe, and libraries to the CNCF
• Sysdig achieves Red Hat Vulnerability Scanner Certification
• Kubernetes admission controllers in 5 minutes
• Shielding your Kubernetes runtime with image scanning on admission controller

ウェビナー

• Accelerate your FedRAMP journey for container security with Anitian & Sysdig
• Consistent Container Vulnerability Scanning with Red Hat & Sysdig
• Accelerate Threat Detection Across Clouds and Containers
• Supercharging Kubernetes Labels And Metrics

他のリソース

• Mercari Uses Sysdig to Secure the Most Widely Used Flea Market App in Japan  （日本語）
• Gini Ensures Adherence to Strict EU Compliance Standards, While Reducing Dev and Ops Burdens