IBM Cloud Blog

Sysdig SecureがIBM Cloud Monitoring with Sysdigと統合されました

記事をシェアする:

この投稿は、2020年11月10日に、米国 IBM Cloud Blog に掲載されたブログ(英語)の抄訳です。

DevOpsは、ソフトウェアの展開方法を変革し、イノベーションを加速させましたが、セキュリティーの実装が依然として課題となっています。

ほとんどのお客様は、脆弱性管理、Kubernetesセキュリティー、コンプライアンス管理、ランタイム検出などの機能を含む包括的なクラウド・ネイティブ・セキュリティー・ソリューションを望んでいます。 Sysdig Secureはこうした機能を、セキュリティーとコンプライアンスをコンテナとKubernetesライフサイクルのビルド、実行、応答の各ステージに組み込んだ包括的なプラットフォームを介して提供するため、本番環境でクラウド・ネイティブ・アプリケーションを自信を持って実行できます。

このたび、IBM Cloud Monitoring with SysdigにSysdig Secure on IBM Cloudが統合され、利用可能になりました。現在、Sysdig  Secureを使用すると、脆弱性を簡単に特定し、コンプライアンスの問題を確認し、脅威をブロックし、クラウド環境内で発生する問題に迅速に対応できます。

今日のエコシステムで活用できるSysdig Secureの主要な機能を詳しく見ていきましょう。

脆弱性のスキャン機能

Sysdig Secureにより、CI / CDレジストリ内のイメージと、Kubernetesクラスター、BM、またはVM上のランタイム・イメージをスキャンすることができます。インライン・スキャナーをCIシステムと統合すると、ユーザーはすべての画像をレジストリーにプッシュする前にスキャンできます。いったんこれを統合すると、APIまたはCLIを使用して、レジストリーに存在するイメージをスキャンできます。 NIA(node-image-analyzer)をクラスターとともにデプロイして、クラスター内で実行中のすべてのイメージが確実にスキャンされるようにすることもできます。

また本番前および実行時に脆弱性を特定する機能を利用して、CI / CDパイプライン内のスキャンを自動化できます。 Sysdig独自の画像スキャン機能の詳細についてはこちら(英語)をご覧ください。

コンプライアンス機能

特定のコンプライアンス管理に対応するSysdigのポリシーにより、コンテナやKubernetesを実行する際に、PCI-DSS(*)、NIST (**)800-190、NIST 800-53、SOC2などの規制コンプライアンス基準に対応することがこれまでになく簡単になりました。 Sysdig Secureにより、コンテナのコンプライアンスを検証するためのチェック機能と、コンプライアンスの進捗状況の理解と測定をするための単一ビューが利用できます。

Sysdig Secure provides out-of-the-box checks to verify container compliance and ensure File Integrity Monitoring and a unified overview to better understand and measure your compliance progress:

コンテナ・コンプライアンスに関する業界のベスト・プラクティスに対応するために、Sysdig SecureはKubernetesのCISベンチマークを活用し、コンプライアンスを維持または迅速に再確立するのに役立つ修復のヒントをガイドします。コンテナ・コンプライアンスの詳細については、こちら(英語)をご覧ください。

脅威のブロック機能

  Falcoプロジェクト(参照:Falco(英語))に基づいて、コンテナ、Kubernetes、ホスト、およびIBMインフラストラクチャーはランタイム・セキュリティー機能により確実に保護されます。Falcoプロジェクトは、もともとSysdig社によって開発された、CNCF (***) オープン・ソース・クラウド・ネイティブ・ランタイム・セキュリティー・ツールです。カーネル・イベントを簡単に利用し、Kubernetesやその他のスタックからの情報でそれらのイベントを充実させるために開発されました。Falcoには、Kubernetes、Linux、およびクラウド・ネイティブ・スタック用に特別に構築された、豊富なセキュリティ・ルールが用意されています:

Falco has a rich set of security rules specifically built for Kubernetes, Linux, and cloud native stacks:

Sysdig Secureは、Falcoランタイム・セキュリティー・エンジンを拡張し、ランタイム・ポリシーの作成と保守にかかる時間を節減します。ランタイム・セキュリティの詳細については、こちら(英語)をご覧ください。

より迅速な応答機能

Sysdig Secureを使用すると、セキュリティー違反の影響を理解し、インシデントに対応し、利用できなくなった可能性のあるコンテナを回復し、事後分析機能を実行できます。 Sysdig Secureが収集する堅牢なデータは、詳細なフォレンジック・レポートとともに、すべてのインシデントの「いつ」、「何を」、「誰が」、「なぜ」などの質問にすばやく回答するのに役立ちます。

このようにインシデント対応を最適化して、詳細なアクティビティー・レコードとともに。何が起こったかをすばやく判断できます。 Falcoルール・ライブラリを活用したきめ細かいポリシーは、ランタイム・ポリシー違反の分析と監査に役立ちます。これを有効にすると、フォレンジック・キャプチャー機能はインシデント対応の記録を提供し、すべてのシステム・アクティビティーを再作成できます。もちろん、この機能は存在しなくなったコンテナについても対応しています:

When enabled, forensic capture provides a record for incident response and allows you to recreate all system activity, even for containers that no longer exist:

コンテナ・フォレンジックについて詳しくはこちら(英語)をご確認ください。

さあはじめましょう

Sysdig Secureは、既存のマルチテナントのIBM Cloud Monitoring with Sysdigインフラストラクチャーを活用します。もし、インフラストラクチャーのイメージ・スキャン、コンプライアンス、侵入検知、および監査に関連するソリューションをお探しでしたら、IBM Cloudにインスタンスをプロビジョニングすれば、これらの機能を簡単に利用できます。既存のお客様の場合、段階課金制プランでSysdig Secureオプションを選択すると、セキュリティー機能が既存のSysdig Monitorエージェントに自動的にプッシュされ、ホストごとの月額追加料金でSysdig Secureコンソールにアクセスできるようになります。新規のお客様は、段階課金制プランのオプションとして、Sysdig MonitorまたはSysdig MonitorとSecureの両方を選択できます。

IBM Cloud コソールにログインしたら、以下のインストラクションに従ってください:

  1. カタログをクリックします。 IBM Cloudでご利用可能なサービスがリストされます。
  2. 表示されるサービスのリストをフィルタリングするには、カテゴリーから、ロギングとモニタリングを選択します。
  3.  IBM Cloud Monitoring with Sysdig をクリックすると、可観測性ダッシュボードが表示されます。
  4. 作成を選択し、インスタンスを作成します。
  5. リージョンを選択します。
  6. サービス・プランを選択します。デフォルトでは、ライト・プランが設定されています。
    • モニター・コンポーネントのみを含むインスタンスをプロビジョニングするには、段階課金制プランを選択します。
    • モニター・コンポーネントとセキュア・コンポーネントを含むインスタンスをプロビジョニングするには、段階課金制-Sysdig Secure + Monitorプランを選択します。
  7. サービス名を入力します。
  8. リソース・グループを選択します。デフォルトでは、デフォルトのリソース・グループが設定されています。
  9. Enableをクリックして、プラットフォーム指標の自動収集を設定します。
  10. 作成をクリックします。

インスタンスをプロビジョニングすると、可観測性ダッシュボードがオープンし、サービスIDが自動的に作成されます。このサービスIDを使用して、インスタンスのSysdigアクセス・キーを取得できます。サービスIDの名前の形式は次のとおりです:{InstanceName} -key-admin。最後のステップは、Sysdigエージェントを追加してメトリック・ソースを構成することです。このエージェントは、メトリックを収集してSysdigに転送します。エージェントをデプロイしたら、起動してSysdigでメトリック・データを表示できます。

デフォルトでは、Sysdig WebUIを起動するとMonitorビューが開きます。

Secure Web UIにアクセスするには、Monitorを選択し、Secureタイルをクリックするだけで、Secureダッシュボードが開いてデータの表示が開始されます。

To access the Secure web UI, simply select Monitor and then click on the Secure tile, and you'll open up to the Secure dashboard to begin viewing data:

Sysdig Secureはシドニーで利用可能であり、今後Sysdig Monitorが展開されるすべての地域でまもなく利用可能になる予定です。

さらに詳しくは、IBM Cloud Monitoring with Sysdig 入門チュートリアル をご覧ください。

 

*) PCI DSS: Payment Card Industry Data Security Standard

**)NIST: National Institute of Standards and Technology

***) CNCF: Cloud Native Computing Foundation


翻訳:IBM Cloud Blog Japan 編集部

*このブログは、2020/11/10に発行された”Sysdig Secure Is Now Integrated with IBM Cloud Monitoring with Sysdig”(英語) の抄訳です。

More IBM Cloud Blog stories

セキュリティー・ロードマップ

IBM Cloud Blog

統合脅威管理、耐量子暗号化、半導体イノベーションにより、分散されているマルチクラウド環境が保護されます。 2023 安全な基盤モデルを活用した統合脅威管理により、価値の高い資産を保護 2023年には、統合された脅威管理と ...続きを読む


量子ロードマップ

IBM Cloud Blog

コンピューティングの未来はクォンタム・セントリックです。 2023 量子コンピューティングの並列化を導入 2023年は、Qiskit Runtimeに並列化を導入し、量子ワークフローの速度が向上する年になります。 お客様 ...続きを読む


ハイブリッドクラウド・ロードマップ

IBM Cloud Blog

コンポーザブルなアプリケーション、サービス、インフラストラクチャーにより、企業は複数のクラウドにまたがるダイナミックで信頼性の高い仮想コンピューティング環境の作成が可能になり、開発と運用をシンプルに行えるようになります。 ...続きを読む