Sysdigの新機能 - 2020年12月

本文の内容は、2020年12月22日に Chris Kranzが投稿したブログ(https://sysdig.com/blog/whats-new-in-sysdig-december-2020/)を元に日本語に翻訳・再構成した内容となっております。

Sysdigの最新情報を毎月お届けしています。私たちのチームは、自動的に、そして無料で、すべてのお客様に素晴らしい新機能をお届けするために努力を続けています!

何よりもまず第一に、メリークリスマス、神は繁栄と幸福であなたを祝福します、Feliz Navidad、Joyeux Noël、Frohe Weihnachten、聖誕快樂、عيد ميلاد مجيد、Buon Natale、Prettige Kerstdagen、メリークリスマス、Счастливого Рождества! ハヌカー・サムーチと一般的な休日の挨拶をすべての人に! 皆様がどのようなお祝い事をされているのか、あるいはされていないのかに関わらず、Sysdigのスタッフ一同、皆様にとって楽しいホリデーシーズンとなりますようお祈りしております。多くの方にとっては、これが新年にまで続くと思いますので、新年もよろしくお願いします。休暇期間中にお仕事をされている方、またはお電話をされている方は、アラートが落ち着いていること、アプリケーションが健全であること、そしてセキュリティインシデントが発生しないことを願っています。私たちの大多数は、新年を心待ちにしていることでしょう。

今月は、私たちのチームは、お祝いの期間に向けて準備をすることに重点を置いてきました。当社のお客様の多くは、クリスマスと新年の間に変更凍結を行います（小売関連のお客様の多くは、ブラックフライデーの直前から変更凍結を行っています）ので、目に見える変更を行わないバックエンドタスクの多くに時間を費やしてきました。皆さんもご存知だと思いますが、これは新しい機能と同じくらい重要なことです。今月は、Monitor や Secure には、直接自慢できるような新機能はありませんが、その他のコンポーネントには、多くのアップデートが用意されています。

製品アップデートの詳細については、当社のリリースノートをご確認ください。

最後に、What's new in Kubernetes 1.20?ブログをお見逃しなく。これは私たちのお気に入りの機能や注意すべき変更点をまとめたものです。Dockerの非推奨通知について気になる点があれば、Kubernetesのウェブサイトに素晴らしい説明があります。

Sysdig Secure

Falcoルール更新

Sysdig UI の最新ルールは v0.10.3 になりましたが、先月取り上げた v0.10.2 からの変更点は以下の通りです。

• falco_rules_local.yamlがすべてのデフォルトファイルに対して評価されるようにする
• どのファイルが評価されているかをログに明確に示すようにする
• 新しいルール「Container Run as Root User」を「Inadvised Container Activity」のポリシーに追加しました。
• user_known_change_thread_namespace_binaries のリストに crio と multus を追加します。

このコンテナイメージを使用して、これらの更新を環境にプッシュすることができます。

Sysdigエージェント

Sysdigエージェント

Sysdig Agentの最新リリースは10.8.0です。以下は先月取り上げた10.6.0からのアップデートの差分です。

新機能と機能強化

• ポリシーとベースライン V1 メッセージが非推奨となりました。Sysdigエージェントは、オンプレミスリリース2.4.0（2019年8月）で非推奨とされていた古いバックエンドメッセージタイプをサポートしなくなりました。
• 別のスレッドでFalcoルールをロードします。イベント処理の中断を避けるために、バックグラウンドで部分的にFalcoルールをロードします。
• 未認識メトリクスのワークフロー。8分以内にSysdigバックエンドコンポーネントからメトリクスの確認応答が受信されなかった場合、エージェントが再起動されます。これは、ネットワークの問題により、バックエンドが接続を閉じたときにエージェントがアクティブな接続を持っていると思い込んでいる場合に発生する可能性があります。
• ホストごとに単一のエージェントRPMを実行する。同じ RHEL ベースのホスト上で複数のエージェントサービスが起動されるのを防ぎます。
• ネットワークエラーの処理を改善しました。

修正点

• OpenShift Hardening Guideでマスターノードとワーカーノードが正しく検出されるようになりました。Kubernetes BenchmarkのOpenShift Hardening Guide機能を実行すると、マスターノードとワーカーノードが正しく検出され、適切なBenchmarkテストが実行されるようになりました。
• エージェントがエージェント以外のプロセスを終了しなくなりました。リソース制限に起因する問題によりAgentのJMXモジュールでのプロセス作成が失敗した場合、まれにホスト上で実行されている関連性のないプロセスを誤って停止してしまうことがありました。この問題は修正されました。
• 長いコンテナラベルのフィルタリング。長いコンテナラベルのフィルタリングは、解析の失敗や望ましくないエージェントの再起動がなく、期待通りに動作します。
• kubernetes.pod.restart.rate Metric の正しい値を報告します。kubernetes.pod.restart.rate メトリックが正しくない原因となっていた問題を修正しました。
• 複数のプロセスがポート9090を同時に聞いているときにPrometheusメトリクスをスクレイピングする。別のプロセスがホストインターフェース上の TCP ポート 9090 をリッスンしているときに Prometheus メトリクスのスクレイピングに失敗する問題を修正しました。
• StatsD メトリクスが正しい値をレポートしていました。Statsd メトリクスが期待値の 2 倍になる原因となっていた問題を修正しました。
• エージェント v0.92.1RC でプロセス リストの作成に失敗する。scap_proc_add_from_proc() による /proc ツリー検索中の失敗は、SCAP_SUCCESS を返すように抑制されます。処理は続行され、特定のプロセスの最初のイベントが到着したときにプロセステーブルにギャップが埋められます。
• 環境変数のハッシュが正しい値を報告するようになりました。監査タップでエクスポートされたプロセスに関連付けられた環境変数のハッシュが不正な値を持つ原因となる問題が修正されました。
• 望ましくない JMX 可用性チェック。エージェント内のsdjagentプロセスが高いCPUを消費する可能性がある問題が修正されました。このプロセスは、高 CPU 消費を引き起こしていた JMX 可用性のチェックを 1 秒ごとに実行しなくなりました。

Helm chart

Helm chart1.11.1がリリースされました。先月取り上げた1.10.4からの変更点は以下の通りです。

変更点

• Node Image Analyzerがデフォルトでデプロイされるようになりました(nodeImageAnalyzer.deployがデフォルトでtrueに設定されています)。
• すべての Node Image Analyzer の設定を values.yaml と README で説明し、Sysdig の公式ドキュメントにリンクしました。
• Agent (10.8.0) の最新のイメージを使用します。
• Node Image Analyzer (0.1.7) の最新のイメージを使用します。
• NIAの設定でcheck_certificateをssl_verify_certificateに変更して、NIAのconfigmapと同期させる。

ノードイメージアナライザー

バージョン0.1.7がリリースされ、FIPSモードで構成された一部のOpenShiftクラスタでイメージ解析エラーが発生していたマイナーな修正が含まれています。

ノードイメージアナライザーはSysdig Agentのインストールの一部としてインストールできます。

インラインスキャンエンジン

バージョン2.2が最新版です。以下は先月の最新版であるv2.0からの変更点の差分です。

新機能

• コンテナ出力に脆弱性レポート情報を追加し、イメージの詳細やポリシー評価とペアリングしました。
• ダイジェストプルストリングを使用してイメージをスキャンした場合、切り捨てられたダイジェストをタグとして保存するようになりました。
• スクラッチベースのイメージを解析する機能を追加しました。

修正

• root 以外のユーザーでコンテナを実行した場合のパーミッションの問題を修正しました。
• 以前にスキャンしたイメージのPDF出力を取得するバグを修正しました。
• インラインスキャナコンテナで見つかったいくつかの脆弱性に対処しました。

こちらも参照してください。CI/CDツールとの統合。

SDK、CLI、ツール

Sysdig CLI

v0.7.0がリリースされ、v0.6.6からの以下の差分アップデートが含まれています。

機能

• 新旧のポリシーイベントフィードエンドポイントを分割。詳細については、https://sysdiglabs.github.io/sysdig-platform-cli/usage/policy/events.html

ドキュメントの修正

• ドキュメント内のサイトの説明文を削除

イベントのドキュメント：

• https://sysdiglabs.github.io/sysdig-platform-cli/usage/event/
• https://sysdiglabs.github.io/sysdig-platform-cli/usage/event_v1/

Python SDK

v0.14.7がリリースされました。先月取り上げたv0.14.4からのアップデートの差分です。

機能

• ランタイムポリシーイベントをIDで取得できるようにしました。
• create_alertドキュメントにtypeパラメータを追加。
• SdScanningClientにget_image_scanning_resultsメソッドを追加。

修正

• get_image_scanning_results で正しい policyID と policyName を返します。

Terraform provider

v0.5.6がリリースされました。以下は先月取り上げたv0.5.4からの差分変更点です。

• Falcoルールの優先順位の変更に伴うドキュメントの更新
• フFalcoルールの優先度を情報に変更
• アップデートノートの警告メッセージ

Falco VS code extension

v0.1.0はまだ最新版です。

Sysdigクラウドコネクター

Sysdigクラウドコネクターのv0.4.0がリリースされました。先月取り上げたv0.3.0からのアップデートの差分です。

• GCP AuditLogのサポートを追加しました。
• セキュアイベントフィードでイベントを発行するようになりました。
• Sysdig Secureから取得する際にPSPシミュレーションをスキップします。
• pull-baseのingestorでのスケジューリング時間を修正しました。

Sysdig Secure が Github Actions のインラインスキャンを行うようになりました。

v3は今月リリースされ、以下の機能が含まれています。

• Action v3 は、パフォーマンスが向上し、より多くの入力オプションを備えた新しい secure-line-scan 2.x を使用しています。インライン スキャナ 2.2 のリリースノートを参照してください。
• 解析のチェックランを作成し、失敗したゲートと見つかった脆弱性のアノテーションを追加。
• SARIFレポート出力を追加し、Githubコードスキャンとの統合を可能にしました。

PromCatリソース

注意事項として、Promcat.ioはSysdigがお客様にフルサポートを提供するPrometheusエクスポーターのキュレーションセットです。それは公開されているので、誰でも利用することができますが、私たちはお客様にのみ公式なサポートを提供することができます。

新たに以下のPrometheusエクスポーターが追加されました。

• Rancherを追加しました。
• AWS RDSを追加しました。

また、以下の機能強化を行いました。

• ETCD統合を変更しました。フェデレーションが不要になりました。
• ダッシュボードの改善、Kubernetesコントロールプレーンの統合。
• PostgreSQL Sysdig ダッシュボードのスコープ変数を改善しました。

非推奨のお知らせ

今月の発表はありません

Sysdigトレーニングの最新情報

当社の製品や周辺技術を中心に、最新かつ最先端のトレーニングを提供し続けています。最新の特集コンテンツは以下の通りです。

セキュリティインフラストラクチャをコードで定義する方法を学ぶ Terraform、GitHub Actions、Sysdig Secureを使ったセキュアなGitOpsワークフローのセットアップと設定方法をデモするユースケースビデオ（7分視聴）が公開されました。

PrometheusでSysdigを拡張する。2つの新しいインタラクティブなラーニングラボがリリースされました。

• predict_linear()を使って、ディスクの空き容量を可視化して予測する方法を学びます。
• Sysdig で blackbox_exporter を設定してサービスの可用性を監視し、SLA を満たす方法を学びます。2つのラボは10分以内に完了することができます!

新しいウェブサイトのリソース

ブログ　（日本語）

• Cooking the perfect holiday ham with IoT, Prometheus, and you
• How to monitor an Oracle database with Prometheus
• Preventing malicious use of Weave Scope
• Your team is running containers, but are they secure?
• Security, compliance, and visibility for Amazon EKS-D
• What’s new in Kubernetes 1.20?
• Zoom into Kinsing
• Securing Kubernetes clusters with Sysdig and Red Hat Advanced Cluster Management
• Open Source is Taking Over Security

ウェビナー

• Seeing is Securing Containers on AWS Fargate
• Zero Trust Network Security for Containers and Kubernetes
• AWS Re:Invent activity

その他のリソース

• Updated PCI Compliance Guide