はてなブックマーク

本文の内容は、2024年7月26日に Nigel Douglas が投稿したブログ(https://sysdig.com/blog/whats-new-kubernetes-1-31/)を元に日本語に翻訳・再構成した内容となっております。 Kubernetes 1.31が間もなく登場します。このリリースでは、プロジェクトに大きな変更が加えられます。では、このリリースの新機能は何でしょうか? Kubernetes 1.31には、このリリースで「 Graduating 」として追跡されている 37 項目を含む、多数の機能強化が含まれています。これらのうち、待望の Kubernetes 向け AppArmor サポートを含む11 の機能強化がステーブルに移行します。これには、API でコンテナまたはポッドの AppArmor プロファイルを指定し、そのプロファイルをコンテナランタイムによって適用

本文の内容は、2023年3月21にNIGEL DOUGLAS が投稿したブログ（https://sysdig.com/blog/terraform-security-best-practices）を元に日本語に翻訳・再構成した内容となっております。 コードとしてのインフラストラクチャ ー(IaC) を使用する場合、Terraform はデファクトのツールです。 リソース プロバイダーに関係なく、組織はそれらすべてを同時に操作できます。 コンフィギュレーションエラーがインフラストラクチャー全体に影響を与える可能性があるため、疑いの余地のない側面の 1 つは Terraform のセキュリティです。 この記事では、Terraformを使用するメリットを説明し、いくつかのセキュリティベストプラクティスを参照しながら、Terraformを安全な方法で使用するためのガイダンスを提供したいと思います。

本文の内容は、2023年3月16に JASON UMIKER が投稿したブログ（https://sysdig.com/blog/kubernetes-cpu-requests-limits-autoscaling）を元に日本語に翻訳・再構成した内容となっております。 以前のブログ記事で、Kubernetesのリミットとリクエストの基本について説明しました：これらは、クラウド環境のリソースを管理するために重要な役割を果たします。 このシリーズの別の記事では、クラスターに影響を与える可能性のあるOOMとCPUスロットリングについて説明しました。 しかし、全体として、リミットとリクエストはCPU管理のための銀の弾丸ではなく、他の選択肢の方が良い場合があります。 このブログポストでは、次のことを学びます： CPUリクエストの仕組みCPUリミットの仕組みプログラミング言語別の現在の状況リミットが最適

本文の内容は、2023年1月25日にJAVIER MARTÍNEZ が投稿したブログ（https://sysdig.com/blog/troubleshoot-kubernetes-oom)を元に日本語に翻訳・再構成した内容となっております。 はじめに Kubernetesを使用する場合、Out of Memory (OOM) エラーとCPUスロットリングは、クラウドアプリケーションのリソース処理で主に頭を悩ませる問題です。なぜでしょうか？ クラウドアプリケーションにおけるCPUとメモリの要件は、クラウドのコストに直接結びついているため、これまで以上に重要です。 リミットとリクエストを使用すると、リソースの枯渇を防ぎ、クラウドのコストを調整するために、Pod がメモリと CPU のリソースをどのように割り当てるべきかを設定できます。 ノードに十分なリソースがない場合、Podはプリエンプショ

本文の内容は、2023年1月17日にNIGEL DOUGLAS が投稿したブログ（https://sysdig.com/blog/top-15-kubectl-plugins-for-security-engineers/)を元に日本語に翻訳・再構成した内容となっております。 誰にとっても、特にセキュリティエンジニアにとって非常に有用であると強く感じるこのKubectlプラグインのリストを、さらに掘り下げてみましょう。 Kubernetesは、設計上、信じられないほどカスタマイズが可能です。Kubernetesは、特定のユースケースシナリオのためのカスタム構成をサポートしています。そのため、基本的な機能にパッチを適用する必要がありません。プラグインは、Kubernetesの機能を拡張し、アウトオブボックスの提供を実現する手段です。 Kubernetesプラグインとは何ですか？ Kubern

本文の内容は、2022年11月23日にVICTOR HERNANDOが投稿したブログ（https://sysdig.com/blog/how-to-monitor-kubelet/)を元に日本語に翻訳・再構成した内容となっております。 Kubernetesを本番環境で運用する場合、Kubeletの監視は欠かせません。Kubeletは、Kubernetesクラスター内の非常に重要なサービスです。 このKubernetesコンポーネントは、Podで定義されたコンテナが実行され、健全であることを保証する役割を担っています。スケジューラがPodを実行するノードを指定するとすぐに、Kubeletはその割り当てを受け、Podとそのワークロードを実行します。 Kubernetes Kubeletで問題に直面した場合、できるだけ早く対処して問題を解決することが本当に重要で、そうしないとKubernetes

本文の内容は、2022年10月31日にJason Andressが投稿したブログ（https://sysdig.com/blog/kernel-parameters-falco/)を元に日本語に翻訳・再構成した内容となっております。 ユーザーは、太陽の光が降り注ぐ世界、それが現実だと自分たちが信じている世界、に住んでいます。しかし、そこには目に見えない裏の世界があります。同じように現実的でありながら、それほど明るく照らされていない場所。それがカーネル・パラメータ側です（ジョージ・ロメロに謝意を表する）。 カーネルパラメータは、実際にはそれほど怖いものではありませんが、Linux の世界では暗くてクモの巣だらけのコーナーになることがあります。カーネルパラメータは、Linux（あるいは Unix 系）カーネルにパラメータを渡して、カーネ ルの振る舞いを制御するための手段です。これらのパラメータ

本文の内容は、2022年10月19日にAlessandro Brucatoが投稿したブログ（https://sysdig.com/blog/cve-2022-42889-text4shell/)を元に日本語に翻訳・再構成した内容となっております。 新しい重大な脆弱性 CVE-2022-42889 a.k.a Text4shell は、昔の Spring4shell や log4shell と同様に、非常に人気のある Apache Commons Text ライブラリで Alvaro Muñoz によって最初に報告されました。 この脆弱性は、クリティカルな深刻度9.8と評価されており、常にリモートコード実行（RCE）となり、攻撃者はマシン上で任意のコードを実行し、ホスト全体を危険にさらすことが可能となります。 Apache Commons Text のバージョン 1.5 から 1.9 が影響

本文の内容は、2022年10月5日にJavier Martínezが投稿したブログ(https://sysdig.com/blog/kubernetes-errimagepull-imagepullbackoff/)を元に日本語に翻訳・再構成した内容となっております。 コンテナを使用している時、ImagePullBackOffやErrImagePullなどのPodステータスが一般的に発生します。 ErrImagePullは、コンテナに指定されたイメージを取得またはプルできないときに発生するエラーです。 ImagePullBackOffは、イメージのプルが修正されるまでの待機猶予期間です。 今回は、その様子をご紹介します。 コンテナイメージイメージのプルイメージのプルポリシーErrImagePullErrImagePullのデバッグイメージプルエラーの監視その他のイメージエラー コンテナイメ

本文の内容は、2022年8月29日にAlejandro Villanuevaが投稿したブログ(https://sysdig.com/blog/26-aws-security-best-practices/)を元に日本語に翻訳・再構成した内容となっております。 Well-architected フレームワークの最も重要な柱の1つは、セキュリティです。したがって、AWSセキュリティベストプラクティスに従って、不測なセキュリティの事態を防止することが重要です。 さて、あなたは問題を解決するために、ソリューションを構築してホストする目的でAWSに着目しました。アカウントを作成し、コーヒーを淹れてワークステーションに座り、設計、コーディング、ビルド、デプロイをする準備はすべて整いました。しかし、そうではありません。 ソリューションの運用性、安全性、信頼性、パフォーマンス、費用対効果を高めるには、多く

本文の内容は、2022年8月25日にJavier Martínezが投稿したブログ(https://sysdig.com/blog/debug-kubernetes-crashloopbackoff/)を元に日本語に翻訳・再構成した内容となっております。 CrashLoopBackOffは、Podで発生している再起動ループを表すKubernetesステートです。Pod内のコンテナが起動されますが、クラッシュして再起動されることを何度も繰り返します。 Kubernetesは、エラーを修正するチャンスを与えるために、再起動の間のバックオフ時間を長くして待機します。このように、CrashLoopBackOffはそれ自体がエラーではなく、Podが正しく起動できないようなエラーが起きていることを示しています。 KubernetesのCrashloopBackoff、図解で表すと。PodはRunnin

本文の内容は、2022年8月12日にMiguel Hernándezが投稿したブログ(https://sysdig.com/blog/blackhat-2022-recap/)を元に日本語に翻訳・再構成した内容となっております。 SysdigはBlackhat 2022で、クリプトジャックに対抗するための機械学習によるクラウド検知・応答（CDR）を発表しました。もっと詳しく知りたい方は、以下のブログを参照してくてください。 Sysdigの高精度な機械学習によるクリプトジャッキングの検知クリプトマイナーの検知：機械学習によるアプローチ 25周年を迎えたBlackhat 2022が、今週ラスベガスで開催されました。このイベントは、情報セキュリティ・コミュニティにとって最も重要なイベントであり、セキュリティ・ベンダーにとっては、成長を続けるこのエコシステムにおけるすべてのイノベーションと製品を展

本文の内容は、2022年6月23日にCarlos Adiegoが投稿したブログ(https://sysdig.com/blog/fluentd-monitoring/)を元に日本語に翻訳・再構成した内容となっております。 Fluentdは、Kubernetesのログアグリゲーションに広く使われているオープンソースのデータコレクターです。PrometheusでFluentdを監視し、トラブルシューティングを行うことは、ログ収集や監視システムに影響を与える潜在的な問題を特定するために、本当に重要なことです。 この記事では、Fluentd のドキュメントにある監視の推奨事項に従って、Prometheus を使って Fluentd の監視を開始する方法を学びます。また、Fluentd の最も一般的な問題と、そのトラブルシューティングの方法についても説明します。 Prometheusのメトリクスを公

本文の内容は、2022年4月20日にMiguel Hernándezが投稿したブログAre vulnerability scores misleading you? Understanding CVSS severity and using them effectively(https://sysdig.com/blog/vulnerability-score-cvss-meaning/）を元に日本語に翻訳・再構成した内容となっております。 脆弱性はどこにでもあります。セキュリティ専門家にとって、これらの脆弱性を大規模に調査し、緩和し、是正することは大変な作業です。どの組織も、すべての脆弱性を見つけて修正する能力を持っているわけではないことを心に留めておいてください。重要なのは、脆弱性とは何かを理解し、CVSSスコアの意味を解釈し、制約された時間制限や納期内でリソースの優先順位付けと有効利

本文の内容は、2022年3月2日にDavid Gonzalezが投稿したブログ(https://sysdig.com/blog/why-mfa-prevents-attacks/）を元に日本語に翻訳・再構成した内容となっております。 最近、クラウドセキュリティに関連して、認証情報の漏洩や破壊に基づく侵害が繰り返し問題になっています。ユーザーは、ユーザーとパスワードの組み合わせなど、単一要素システムを使用してアカウントにログインする傾向があります。これは、アカウントのセキュリティに単一障害点を導入することになります。 数週間前、AWS Lambda ファンクションをクリプトマイニングに使用するために攻撃者に奪われた鍵のために、AWSの巨額請求に対処している人についてのツイートを読みました。1ヶ月後、彼らは$45,000のAWS請求書に直面しました。彼らのケースは厳密には盗まれたパスワードでは