本文の内容は、2021年10月26日にChris Kranzが投稿したブログ(https://sysdig.com/blog/whats-new-sysdig-october-2021)を元に日本語に翻訳・再構成した内容となっております。
Sysdigの最新情報をお届けします。ハッピーハロウィン Happy Indigenous Peoples’ day! ハッピー イード ミラッド-ウン-ナビ!
सर्व मंगल मांगल्ये शिवे सर्वार्थ साधिके|。
शरण्ये त्रयम्बके गौरी नारायणी नमोस्तुते ||。
KubeConがハイブリッドイベントとしてではありますが、ついに戻ってきたことで、クラウドネイティブの世界では大きな月となりました。そして、多くの方にお会いできてとても嬉しかったです。今回のイベントに参加できなかった方も、バーチャルブースに立ち寄ってご挨拶したり、バーチャルオフィスアワーのセッションをご覧になったりしていただけたのではないでしょうか。今回参加されなかった方や、いくつかの講演を聞き逃した方は、CNCFのYouTubeチャンネルで録画をご覧ください。録画がなくても、すぐにアップされますよ。
今月の大きなニュースは、Google Cloudとのコラボレーションです。これにより、Google Cloud上で動作するSaaS(Software-as-as-Service)プラットフォームだけでなく、いくつかの新しいクラウドセキュリティとコンプライアンスコントロールを導入しました。この記事では、新機能と、Sysdgの機能を活用してGoogle Cloud上のコンテナ、Kubernetes、クラウドサービスのセキュリティの課題に取り組む方法について詳しく説明しています。
今回、新しいスキャンエンジンのテクノロジープレビューを公開できることを大変嬉しく思います。従来のスキャナーに比べて4倍から10倍の速度を実現していますが、速度だけではありません。脆弱性データの拡張や、より優れた修復方法のアドバイス、さらにはスタンドアローンのバイナリとして提供されるようになったことで、ポータビリティーも格段に向上しています。また、ユーザーエクスペリエンスも向上しています(今後も向上させていきます!)。スキャンするだけではなく、結果を簡単に利用できるようにしています。
また、Prometheusの監視インテグレーションをSysdigのUIに直接導入できるようになったことも非常に喜ばしいことです。私たちはPromCat.ioを使って、サポートされているすべてのアプリケーションに最適なエクスポーターをテストして選択し、必要に応じてオープンソースのエクスポーターにコントリビュートし、Prometheusのエコシステムに還元しています。私たちは、Kubernetesの主な実体はワークロードだと考えています。ワークロードは、OpenShiftでは Deployment, DaemonSet, StatefulSet, DeploymentConfigのいずれかになります。私たちは、すべてのワークロードをクラスターやネームスペースごとに並べて表示し、それらがどの種類のアプリケーションであるかを識別します。こうすることで、Prometheus監視の統合をより簡単に管理することができます。どのワークロードに注意を払う必要があるのか、どのワークロードがメトリクスを正しくレポートしているのかが一目瞭然で、ワークロードの一部または全部にエクスポーターを簡単にインストールすることができます。
Sysdig MonitorのPrometheus監視・インテグレーション
製品アップデートの詳細については、リリースノートをご覧ください。また、ここで取り上げた内容についてご質問がある場合は、お近くのSysdigの担当者にお問い合わせください。
Sysdig Secure
新しいスキャンエンジン (テクノロジープレビュー)
Sysdig Secureでは、新しいスキャンエンジンを開発しており、大幅な改善、追加機能、スキャンを中心としたワークフローを提供します。
最初のイテレーションがテスト可能で、以下の機能を提供します:
- スキャン時間の大幅な短縮:初期のイメージ解析を4倍から10倍に高速化
- CVSSスコア、完全な悪用可能性データを含むベクター、関連するパブリックエクスプロイトの有無など、拡張された脆弱性データ
- インラインスキャナがスタンドアローンのバイナリとして利用可能になり、コンテナを起動する必要がなくなりました
- イメージの中で最も悪さをしているのはどのパッケージか?すべての可能な修正バージョンを考慮して、どれを適用すべきか?
- 直感的なユーザーエクスペリエンスの向上と、レスポンスの高速化
これはつまり:
- 運用には適していません。また、データや設定の前方互換性は保証されていません(現在のところ)。
- 新しいスキャンのプレビュー版をテストしても、現在のスキャンバックエンドを利用している既存のスキャンワークフローに影響はありません。どのアカウントでもプレビューを有効にしても問題ありません。
- プレビューをお試しになりたい方は、ぜひご意見をお寄せください!
新しいエンジンをテストするには、Settings >User Profile>Sysdig Labs.でフラグを有効にしてください。
新しいスキャンエンジンを参照して、Inline Scannerのバイナリをダウンロードし、開始してください。
Sysdig Monitor
Prometheus Remote Writeのチームスコープ
Sysdigでは、Prometheus Remote Writeによって収集されたデータの粒度を決定し、チームメンバーが閲覧できるようにすることができます。チームメンバーが閲覧できるデータは、メトリクスのタグ/値の表現を特定することで指定できます。ドロップダウンのデフォルトは “is “ですが、”is not”、”in”、”contains “などに変更できます。ドロップダウンをクリックして新しい式を作成し、それらをAND条件として連鎖させることで、複雑なポリシーを作成することができます。
ユーザーメニューから該当するチームにカーソルを合わせると、保存されたチームスコープが表示されます。
情報アイコンをクリックすると、メトリクス・アクセス・ポリシーの詳細が表示されます。モニタリングインテグレーションのユーザーエクスペリエンスが向上
モニタリングインテグレーションのUIが強化され、エクスポーターのガイド付き設定が可能になりました。- 各統合について、ウィザードを使用して必要な情報を指定すると、クラスターにエクスポーターをインストールするための1行のコマンドが提供されます。もう、ドキュメントや与えられたエクスポーターのソースコードを見て、データベースの認証情報を設定するための変数名や、接続文字列のSSL証明書を推測する必要はありません。
- CI/CDパイプラインを使ってデプロイしたいが、本番環境で直接コマンドを実行できない場合は、マニフェストを生成してリポジトリにアップロードするオプションも用意されています。パッケージ管理のアプローチを希望する場合は、モニタリング統合にHelmチャートを使用することもできます。
- エクスポーターをデプロイした後、そのエクスポーターが動作しているかどうかをウィザードで確認することができます。Sysdig Monitorはお客様のアカウントに届いたメトリクスを自動的に検出し、ワークロードに関連付けます。こうすることで、メトリクスが正しくレポートされているアプリケーションと、注意が必要なアプリケーションを簡単に視覚的に検出することができます。
ダッシュボードの機能強化
パネルエディターでダッシュボードとパネルの名前をインラインで編集できるようになりました。
Sysdigモニターでダッシュボードのタイトルをインラインで編集する機能ダッシュボードのテンプレートをお気に入りに追加する機能
Sysdig MonitorのUIにおける「お気に入りに追加」ボタンの強調表示- レガシーなダッシュボード・テンプレートをDeprecatedセクションに移動しました。
- RabbitMQインテグレーションをサポート。Monitoring Integrationsを使用して設定してください。
- 以下の新しいダッシュボード・テンプレートを追加しました。
- Fargate Usage
- Go applications
- Sysdig Admission Controller
- RabbitMQ Integrations
- Kubernetes Controller Manager
- Kubernetes Scheduler
- Kubernetes HPA (promQL)
- CoreDNS
Sysdig Agent
Sysdig Agent
Sysdig Agentの最新リリースは12.0.2です。前回のアップデートで取り上げた11.4.1以降のアップデートの差分を以下に紹介します。- ネットワークセキュリティの通信が正常に動作するようになりました – 一部の環境では、CIDRの自動検出が完了しないと、Sysdig Agentがネットワークセキュリティ(Kubernetes Network Policies)の通信を送信できませんでした。この問題は修正されました。
- オーケストレーション環境でエージェントがクラッシュすることはなくなりました – OpenShift v3などのオーケストレーション環境で、エージェントの起動時に何度もクラッシュする競合状態に関する問題が修正されました。
- OpenShift 4 クラスター、リースなしでメタデータを取得可能に – エージェントのサービスアカウントにリースを作成する権限がない場合、OpenShift クラスターが Kubernetes データのレポートに失敗する問題を修正しました。この修正により、Sysdig Agentは以前の動作に戻ってメタデータを取得します。
- Allow Sysdig Backend to Manage Prometheus Configuration – SysdigバックエンドがPrometheusの設定を管理することを許可します。詳細については、以下を参照してください。
- (限定公開) モニタリングインテグレーションの設定
- モニタリングインテグレーション
- SysdigによるPrometheusのモニタリング
- エージェント・コンソールがPrometheusの設定のトラブルシューティングをサポート – エージェント・コンソールがPrometheusの設定のトラブルシューティングをサポートします。
- ノード・リースのサポート – Sysdig Agentは、Kubernetes APIサーバへの接続方法とタイミングを制御するためのKubernetesリースの使用をサポートします。詳細については以下を参照してください。Using Node Leases & Troubleshooting Node Leases.
- Podman環境への対応 – Sysdig AgentはPodman環境に対応しています。詳細は、「Podman環境の前提条件」を参照してください。
- エージェントからKubernetes APIサーバへの接続に起動時の遅延を追加 – エージェントがKubernetes APIサーバに接続する前に遅延時間を追加しました。遅延時間はクラスター内のノード数に応じて設定され、APIサーバーの過負荷を防ぎます。これは、ノードリースが使用できない環境をサポートするためです。
- Stale Capture Files No Longer Exhaust Local File System – 不完全で陳腐なキャプチャーファイルが残されるのを防ぎ、そのようなファイルのためのストレージ消費を回避します。
- CPU クォータの尊重 – CPU クォータがすべてのエージェントプロセスをカバーできるように、メインのドラジェントプロセスをデフォルトの c グループに移動しました。
- Containers Are Detected as Expected – containerd の設定で SystemdCgroup = true が有効になっていない場合、コンテナが検出されない問題を修正しました。
- Report Correct Container Metadata – イメージリポジトリやイメージタグなど、一部のコンテナのメタデータが正しく報告されない問題を修正しました。
- 10.8.0から11.3.0へのアップグレードが失敗しなくなりました – http_proxy設定オプションを提供し、v11.0からv11.1へのOpenSSLのアップグレード後の接続問題に対応しました。
Sysdig Serverless Agent
Sysdig Serverless Agentの最新リリースは2.0.1です。以下は、前回のアップデートで取り上げた2.0.0以降のアップデートの差分です。- タスクストールの問題を修正 – Serverless Agentのインスツルメンテーションでメモリリークが発生し、インスツルメンテーションされたタスクがストールする問題を修正しました。この問題は、大量のキャプチャーが連続して生成された場合に発生しやすくなります。
- ファイル記述子の読み取り時のエージェント・エラーの解決 – 良好な警告メッセージのログ・レベルをデバッグに下げました。
Sysdig Agent – Helm Chart
Sysdig Agent Helm Chartの最新リリースは1.12.28です。以下は、前回のアップデートで取り上げた1.12.8以降のアップデートの差分です。- networkpolicyリソースへの読み取りアクセスを修正しました。
- nodeImageAnalyzer DaemonSetにアフィニティを追加しました。
- Openshift SCCが下向きのAPIボリュームを許可するように修正しました。
- image-analyzerデーモンセットにpriorityclassオプションを追加しました。
- エージェントを 12.0.2 に更新しました。
- チャートバージョン1.12.13では、デフォルトのエージェントコンテナリソースがsmallに設定されていました。これは、このチャートを使用しているエージェントを、デフォルトがmediumである以前のチャートからアップグレードすると、必要とされるよりも少ないリソースが構成されてしまう可能性があるため、画期的な変更でした。
- エージェントのネームスペースを自動検出するために、ダウンワードAPIボリュームを追加しました。
- リソースプロファイルを導入しました。
- Kubeletメトリクスの収集をサポートするため、ClusterRoleに新しいリソースを追加しました。
- host-analyzerのバージョンを0.1.3に引き上げました。
- eBPFのmountPath /sys/kernel/debugを追加しました。
- デフォルトのエージェントコンテナのリソースを変更しました。
- エージェントリーダー選択アルゴリズムに leaderelection.enable を導入しました。
変更履歴: https://github.com/sysdiglabs/charts/blob/master/charts/sysdig/CHANGELOG.md
ノードアナライザー
Node Analyzerの最新バージョンは0.1.14です。前回のアップデートからいくつかのセキュリティ修正が含まれています。ノードイメージアナライザーはSysdig Agentのインストールの一部としてインストールできます: https://docs.sysdig.com/en/scan-running-images.html
インラインスキャンエンジン
v2.4.6が最新のリリースで、前回のアップデートで取り上げました。こちらもご覧ください:CI/CDツールとの統合
アドミッションコントローラー
v3.7.2が最新のリリースです。前回のアップデートでご紹介したv3.8.0以降のアップデートの差分は以下の通りです。- スキャン要求のキャンセルを修正
- ステージングでのAPI変更に伴うJSONパースの問題を修正
- JSONの処理を高速化しました
- 一部のお客様の例外を解析する際のエラーを修正
- 例外のサポートを追加
SDK、CLI、ツール
Sysdig CLI
v0.7.14 はまだ最新のリリースで、前回のアップデートで取り上げました。https://github.com/sysdiglabs/sysdig-platform-cli/releases/tag/v0.7.14
https://sysdiglabs.github.io/sysdig-platform-cli/
Python SDK
v0.16.3 はまだ最新のリリースです。以下は、前回のアップデートで取り上げた v0.16.2 以降のアップデートの差分です。- ScanningAlertsClientV1を追加し、Scanning Alertsをサポート
- 新しいメソッド sdcclient.SdScanningClient.add_repository_alert
- 新しいメソッド sdcclient.SdScanningClient.add_runtime_alert
- 新しいメソッド sdcclient.SdScanningClient.update_repository_alert
- 新しいメソッド sdcclient.SdScanningClient.update_runtime_alert
- 非推奨のメソッド sdcclient.SdScanningClient.add_alert
- 非推奨のメソッド sdcclient.SdScanningClient.update_alert
- 新しいsdcclient.secure.scanning.ScanningAlertsClientV1クラスは、下位互換性の理由からすべてのメソッドをsdcclient.SdScanningClientにマップしています。ScanningAlertsClientV1を使用するようにコードを移行してください。
- 最低限のurllib3 1.26.0バージョンが必要です。
Terraform Provider
v0.5.24が最新のリリースです。以下は、前回のアップデートで取り上げたv0.5.20以降のアップデートの差分です。- sysdig_fargate_workload_agentリソースのドキュメントを追加しました。
- リソースの更新: sysdig_monitor_notification_channel_webhook に新しい additional_headers フィールドを追加し、webhook エンドポイントに追加のヘッダを渡すようにしました。
- Webhook 通知のカスタムヘッダのサポートを追加しました。
- 新しいリソース: sysdig_monitor_alert_promql にモニターでの PromQL アラートのサポートを追加しました。
- 更新されたリソース: sysdig_secure_benchmark_task はスキーマ azure_foundations_bench-1.3.0 をサポートしました。
- 新しいデータソース: sysdig_fargate_workload_agent: Sysdigデプロイメントのための最新のfargateワークロード定義を提供します。
- PromQLアラートのサポート。
- 有効なベンチマークスキーマにazureを追加しました。
- Sysdigワークロード・エージェントでFargateタスクをラップするためのデータソースを追加しました。
- クラウドアカウントリソースにロールネームを追加しました。
Falco VS Code Extension
v0.1.0 はまだ最新のリリースです。https://github.com/sysdiglabs/vscode-falco/releases/tag/v0.1.0
Sysdig Cloud Connector
Sysdig Cloud Connectorのv0.11.1がリリースされました。先月はv0.8.5をご紹介しました。これらのバージョンの違いのハイライトをご紹介します。
- Prometheusメトリクスを使ってイベントの処理にかかった時間を公開しました。
- GCP Threat DetectionsをKubernetes Clusterにデプロイするための新しいインジェスターを追加しました。
- ステージングでのAPI変更に伴うJSONの解析に関する問題を修正しました。
- GCPベースのイベントに存在する場合は、resourceNameスコープエントリを含めました。
- Azure Threat Detectionsに対応した最初のリリース。
- ciemアクティビティを監査するためのパイプラインを追加しました。
- Azure Validatorのエラーを追加しました。
- GCPスキャン用のオリジンを追加しました。
- Falcoルールの例外のサポートを追加しました。
- GCPブループリントのマッピングと新しいルールを追加しました。
Githubアクション用Sysdig Secure Inline Scan
v3.2.0が最新のリリースで、前回のアップデートで取り上げました。https://github.com/marketplace/actions/sysdig-secure-inline-scan
Sysdig Secure Jenkins プラグイン
v2.1.12が最新のリリースとなります。前回のアップデートで紹介したv2.1.11以降のアップデートの差分を以下に示します。- Dockerfileの存在チェックを修正しました。ファイルのチェックはマスターではなくエージェントで行う必要があります。
Promcat.io
新しいアプリケーションを追加しました。- Harbor 2.2
- Keda
- ドキュメントの改善とRedisでサポートされるバージョンの更新
新しいウェブサイトのリソース
ブログ (日本語:sysdig.jp)、(日本語:SCSK Sysdig特設サイト)
- Threat news: Tsunami malware mutated. Now targeting Jenkins and Weblogic services
- Monitoring a Windows cluster with Prometheus
- Container security best practices: Comprehensive guide
- Two months working at Sysdig
- ISO 27001:2013 compliance with Sysdig Secure
- Trigger a Kubernetes HPA with Prometheus metrics
- Trigger a Kubernetes HPA with Sysdig metrics
- “Chain”ging the Game – how runtime makes your supply chain even more secure
- How to meet 24 Google Cloud Platform (GCP) security best practices using open source Cloud Custodian and Falco
- Secure DevOps on Google Cloud: Reduce cloud and container risk