Sysdig Secure
Kubernetes のセキュリティとコンプライアンスを実現し、クラウドネイティブなワークロードを保護
Sysdig Secure 3.0 は、Kubernetes 環境にネイティブな防御とインシデント対応をもたらします
DevOps にセキュリティを統合し、Kubernetes の導入を促進
Kubernetes アプリケーションを POC から本番環境に移行するためには、アプリケーションの安全性、コンプライアンス準拠、レジリエンスを確保する必要があります。Sysdig Secure は、ビルド、運用、対応という、Kubernetes のライフサイクルの各ステージにセキュリティとコンプライアンスを組み込みます。これによって脆弱性の特定、コンプライアンスの検証、脅威のブロックができるようになり、対応も迅速に行えるようになります。
Sysdig Secure は、Sysdig Secure DevOps Platform を構成する製品の 1つです。このプラットフォームは、本番環境でクラウドネイティブなワークロードを安心して実行できるようにするものであり、Kubernetes のクラウドネイティブなセキュリティとコンプライアンスを実現するだけでなく、コンテキストベースのモニタリングとトラブルシューティングも可能にします。
クラウドネイティブな DevOps に向けたセキュアな Kubernetes を実現する新しいアプローチ
コンテナを本番環境に導入したクラウドチームがすぐに直面するのが、レガシーツールは Kubernetes のセキュリティには役立たないという現実です。
Sysdig Secure は、クラウドネイティブな環境を保護するために開発された、業界初の Kubernetes ネイティブな脅威防止とインシデント対応のためのツールです。デプロイメントの前に脆弱性をスキャンするとともに、本番環境のコンテナに影響を与える新たに特定された脆弱性を検出できます。

セキュアにデプロイ
1 つのワークフローで、コンテナ内の脆弱性や不適切な構成を検出できます。脆弱性を検出し、オーナーを特定できるため、時間の節約も可能に。構成が CIS ベンチマークに準拠していることや、アプリケーションが NIST や PCI に準拠していることも確認できます。
実行時に脅威をブロック
Kubernetes ネイティブなコントロールを使用して、パフォーマンスに影響を与えずに脅威を防止し、自動化されたポリシーを使用して、Kubernetes のセキュリティを強化できます。Falco の拡張機能を使用することで、ランタイムポリシーの作成とメンテナンスにかかる時間を短縮できます。
迅速に対応
対応アクションと通知をトリガして、自動で修復できます。コンテナが消えた後もフォレンジックを実施できます。Kubernetes のアクティビティを相関付けて、監査を行えます。
Kubernetes のクラウドネイティブなセキュリティ: 脆弱性を特定し、コンプライアンスに準拠。脅威をブロックし、迅速に対応

脆弱性の管理

脆弱性をスキャンしてレポートを作成
Sysdig Secure を使えば、開発者が導入する対象が OS パッケージの場合でもサードパーティのライブラリの場合でも、CI/CD パイプラインのコンテナイメージをスキャンし、本番環境に影響が及ぶ前に脆弱性をブロックできます。ワークフローごとに異なるポリシーを作成したり、アプリケーションごとに異なるチェックを適用したりでき、ビルドの構成とイメージの属性を検証できます。また、さまざまなネームスペース、クラスタ、クラウドのリージョンなどにまたがる実行中のイメージの脆弱性を特定し、問題ごとに適切なチームにアラートを通知して、Kubernetes のセキュリティを強化できます。
コンプライアンス

ライフサイクル全体にわたってコンプライアンスを検証e
Sysdig Secure を使えば、コンテナ、Kubernetes、クラウドネイティブなワークロードのライフサイクルにわたってコンプライアンスを検証できます。CIS ベンチマーク、NIST SP 800-190、PCI-DSS、GDPR、HIPAA といった外部規制へのコンプライアンス違反を特定することが可能です。すぐに使えるポリシーを活用して、ビルド時や実行時にコンプライアンスを確保できます。Sysdig Secure は、あらゆるポリシー違反に関連するすべてのデータをキャプチャして記録するため、フォレンジックと包括的な監査が可能になります。また、コンプライアンス監査の一般的な要件である、監査のログ記録プロセスにも対応しています。


ランタイムのセキュリティ

異常な挙動を検出し、セキュリティの脅威をブロックs
Sysdig Secure は、システムコールを詳細に可視化し、これを Kubernetes のメタデータ、ラベル、監査イベントと組み合わせることによって、攻撃を検出し、ブロックできるようにします。このため、インフラストラクチャのあらゆるレイヤで何が起きているかを把握し、Kubernetes のセキュリティを強化できます。
Sysdig Secure を使えば、セキュリティポリシーの作成とメンテナンスも容易です。ランタイムプロファイルは自動作成され、すぐに使えるルールも多数用意されています。また、カスタマイズして、ニーズに適合したカスタム Falco ポリシーを作成することもできます。Sysdig Kubernetes Policy Advisor は、Pod Security Policies を作成して脅威を防止し、デプロイメントの前にポリシーを検証するため、適用時にアプリケーションが破損することはありません。また、Kubernetes ネイティブなコントロールを使用しているため、パフォーマンスに影響を及ぼすことがありません。
フォレンジックと監査

コンテナと Kubernetes のインシデント対応とフォレンジックが可能
Sysdig Secure を使えば、攻撃前後のアクティビティのスナップショットを、システムコールを通じて記録できます。Sysdig のインシデント対応機能と事後分析機能を使えば、コンテナが消えて長時間が過ぎてしまった場合でもデータを精査可能。侵入から、横方向への移動、データの不正流出まで、不正な攻撃のすべてのステップを簡単に再現できるため、迅速に回復し、発生した事象を把握できます。
Sysdig Secure は、Activity Audit を使用して、コマンド、ネットワーク接続、Kubernetes API イベントなどのコンテナアクティビティをキャプチャし、この情報を Kubernetes のユーザーアクティビティやコンテキストと相関付けます。担当チームはこのデータを対象に検索や絞り込みを行ってアラートをトリアージすることで異常の原因を判断して、インシデント対応につなげることができます。また、Activity Audit は SOC2、PCI、NIST などの監査に向けたコンプライアンスも効率化します。
このような機能を備えた Sysdig Secure は、Kubernetes で現在利用できる唯一のインシデント対応および監査ソリューションとなっています。


Sysdig のコンテナインテリジェンスプラットフォームのおかげで、新しいインフラストラクチャとコンテナアプリケーションのパフォーマンス、健全性、セキュリティを包括的に把握できるようになりました
Nicholas Krame, Infrastructure. Quby
クラウドネイティブな Kubernetes セキュリティを貴社で実現する方法について、
エキスパートがお答えします。
ライブデモを予約できます