Sysdig SecureがIBM Cloud Monitoring with Sysdigと統合されました

この投稿は、2020年11月10日に、米国 IBM Cloud Blog に掲載されたブログ(英語)の抄訳です。

DevOpsは、ソフトウェアの展開方法を変革し、イノベーションを加速させましたが、セキュリティーの実装が依然として課題となっています。

ほとんどのお客様は、脆弱性管理、Kubernetesセキュリティー、コンプライアンス管理、ランタイム検出などの機能を含む包括的なクラウド・ネイティブ・セキュリティー・ソリューションを望んでいます。 Sysdig Secureはこうした機能を、セキュリティーとコンプライアンスをコンテナとKubernetesライフサイクルのビルド、実行、応答の各ステージに組み込んだ包括的なプラットフォームを介して提供するため、本番環境でクラウド・ネイティブ・アプリケーションを自信を持って実行できます。

このたび、IBM Cloud Monitoring with SysdigにSysdig Secure on IBM Cloudが統合され、利用可能になりました。現在、Sysdig  Secureを使用すると、脆弱性を簡単に特定し、コンプライアンスの問題を確認し、脅威をブロックし、クラウド環境内で発生する問題に迅速に対応できます。

今日のエコシステムで活用できるSysdig Secureの主要な機能を詳しく見ていきましょう。

脆弱性のスキャン機能

Sysdig Secureにより、CI / CDレジストリ内のイメージと、Kubernetesクラスター、BM、またはVM上のランタイム・イメージをスキャンすることができます。インライン・スキャナーをCIシステムと統合すると、ユーザーはすべての画像をレジストリーにプッシュする前にスキャンできます。いったんこれを統合すると、APIまたはCLIを使用して、レジストリーに存在するイメージをスキャンできます。 NIA(node-image-analyzer)をクラスターとともにデプロイして、クラスター内で実行中のすべてのイメージが確実にスキャンされるようにすることもできます。

また本番前および実行時に脆弱性を特定する機能を利用して、CI / CDパイプライン内のスキャンを自動化できます。 Sysdig独自の画像スキャン機能の詳細についてはこちら(英語)をご覧ください。

コンプライアンス機能

特定のコンプライアンス管理に対応するSysdigのポリシーにより、コンテナやKubernetesを実行する際に、PCI-DSS(*)、NIST (**)800-190、NIST 800-53、SOC2などの規制コンプライアンス基準に対応することがこれまでになく簡単になりました。 Sysdig Secureにより、コンテナのコンプライアンスを検証するためのチェック機能と、コンプライアンスの進捗状況の理解と測定をするための単一ビューが利用できます。

コンテナ・コンプライアンスに関する業界のベスト・プラクティスに対応するために、Sysdig SecureはKubernetesのCISベンチマークを活用し、コンプライアンスを維持または迅速に再確立するのに役立つ修復のヒントをガイドします。コンテナ・コンプライアンスの詳細については、こちら(英語)をご覧ください。

脅威のブロック機能

  Falcoプロジェクト(参照:Falco(英語))に基づいて、コンテナ、Kubernetes、ホスト、およびIBMインフラストラクチャーはランタイム・セキュリティー機能により確実に保護されます。Falcoプロジェクトは、もともとSysdig社によって開発された、CNCF (***) オープン・ソース・クラウド・ネイティブ・ランタイム・セキュリティー・ツールです。カーネル・イベントを簡単に利用し、Kubernetesやその他のスタックからの情報でそれらのイベントを充実させるために開発されました。Falcoには、Kubernetes、Linux、およびクラウド・ネイティブ・スタック用に特別に構築された、豊富なセキュリティ・ルールが用意されています:

Sysdig Secureは、Falcoランタイム・セキュリティー・エンジンを拡張し、ランタイム・ポリシーの作成と保守にかかる時間を節減します。ランタイム・セキュリティの詳細については、こちら(英語)をご覧ください。

より迅速な応答機能

Sysdig Secureを使用すると、セキュリティー違反の影響を理解し、インシデントに対応し、利用できなくなった可能性のあるコンテナを回復し、事後分析機能を実行できます。 Sysdig Secureが収集する堅牢なデータは、詳細なフォレンジック・レポートとともに、すべてのインシデントの「いつ」、「何を」、「誰が」、「なぜ」などの質問にすばやく回答するのに役立ちます。

このようにインシデント対応を最適化して、詳細なアクティビティー・レコードとともに。何が起こったかをすばやく判断できます。 Falcoルール・ライブラリを活用したきめ細かいポリシーは、ランタイム・ポリシー違反の分析と監査に役立ちます。これを有効にすると、フォレンジック・キャプチャー機能はインシデント対応の記録を提供し、すべてのシステム・アクティビティーを再作成できます。もちろん、この機能は存在しなくなったコンテナについても対応しています:

コンテナ・フォレンジックについて詳しくはこちら(英語)をご確認ください。

さあはじめましょう

Sysdig Secureは、既存のマルチテナントのIBM Cloud Monitoring with Sysdigインフラストラクチャーを活用します。もし、インフラストラクチャーのイメージ・スキャン、コンプライアンス、侵入検知、および監査に関連するソリューションをお探しでしたら、IBM Cloudにインスタンスをプロビジョニングすれば、これらの機能を簡単に利用できます。既存のお客様の場合、段階課金制プランでSysdig Secureオプションを選択すると、セキュリティー機能が既存のSysdig Monitorエージェントに自動的にプッシュされ、ホストごとの月額追加料金でSysdig Secureコンソールにアクセスできるようになります。新規のお客様は、段階課金制プランのオプションとして、Sysdig MonitorまたはSysdig MonitorとSecureの両方を選択できます。

IBM Cloud コソールにログインしたら、以下のインストラクションに従ってください:

1. カタログをクリックします。 IBM Cloudでご利用可能なサービスがリストされます。
2. 表示されるサービスのリストをフィルタリングするには、カテゴリーから、ロギングとモニタリングを選択します。
3.  IBM Cloud Monitoring with Sysdig をクリックすると、可観測性ダッシュボードが表示されます。
4. 作成を選択し、インスタンスを作成します。
5. リージョンを選択します。
6. サービス・プランを選択します。デフォルトでは、ライト・プランが設定されています。
   • モニター・コンポーネントのみを含むインスタンスをプロビジョニングするには、段階課金制プランを選択します。
   • モニター・コンポーネントとセキュア・コンポーネントを含むインスタンスをプロビジョニングするには、段階課金制-Sysdig Secure + Monitorプランを選択します。
7. サービス名を入力します。
8. リソース・グループを選択します。デフォルトでは、デフォルトのリソース・グループが設定されています。
9. Enableをクリックして、プラットフォーム指標の自動収集を設定します。
10. 作成をクリックします。

インスタンスをプロビジョニングすると、可観測性ダッシュボードがオープンし、サービスIDが自動的に作成されます。このサービスIDを使用して、インスタンスのSysdigアクセス・キーを取得できます。サービスIDの名前の形式は次のとおりです:{InstanceName} -key-admin。最後のステップは、Sysdigエージェントを追加してメトリック・ソースを構成することです。このエージェントは、メトリックを収集してSysdigに転送します。エージェントをデプロイしたら、起動してSysdigでメトリック・データを表示できます。

デフォルトでは、Sysdig WebUIを起動するとMonitorビューが開きます。

Secure Web UIにアクセスするには、Monitorを選択し、Secureタイルをクリックするだけで、Secureダッシュボードが開いてデータの表示が開始されます。

Sysdig Secureはシドニーで利用可能であり、今後Sysdig Monitorが展開されるすべての地域でまもなく利用可能になる予定です。

さらに詳しくは、IBM Cloud Monitoring with Sysdig 入門チュートリアル をご覧ください。