原标题:容器资安厂商Sysdig开始支援AWS Kubernetes代管服务
图片来源:Sysdig
在近日才发布一波大更新,加强支援Kubernetes、Prometheus的Sysdig,近日又再下一城,宣布开始支援AWS△Kubernetes代管服务EKS,而Sysdig这次发布的产品整合,同时将监控解决方案Sysdig△Monitor、容器资安工具Sysdig△Secure推上EKS环境。在AWS上个月正式释出EKS正式版后,已经有一大波独立软件供应商宣布支援,像是New△Relic、Datadog、HashiCorp、JFrog、Twistlock及Rancher等。
在Sysdig△Monitor当中,总共有二个重要内建功能。首先是ContainerVision功能,在每个主机上都会部署一个代理人程式,方便使用者监控基础架构内容器、微服务的运作情形,并且整理成Metrics。第二个功能是ServiceVision,该服务原生整合Kubernetes,可以搜集容器调度程序所产生的中介资料,“搭配这两项技术,可以判断丛集现在何处效能异常必须排除,或者当下发生的资安事件。”Sysdig表示,企业用户的EKS环境的容器、微服务会产生上千个不同的标签资料,而该公司提供的平台,可以将这些标签资讯,按照虚拟化资源(如AWS△EC2)、容器化资源(Kubernetes节点、Pod)分成两大类,让基础架构管理员更加掌握公有云环境发生的大小事。
要在EKS环境导入Sysdig解决方案,必须先准备容器代理程式,打包成Docker容器后进行部署,而利用Kubernetes内建的DaemonSet,系统可以确保每个执行Pod的丛集,都有部署Sysdig。当系统管理员新增了监控、资安代理节点后,系统也会自动将它们安插至丛集。
这一次产品发布,Sysdig平台下的许多功能,现在也都推上了EKS环境。首先是在今年3月释出的Spotlight功能,在系统完成基础架构扫描的任务后,Spotlight会自动发布通知,在选单中显示红点,提醒使用者应该要注意的事项。如果使用者在基础架构中执行许多系统服务,通过Spotlight功能,可以快速检视目前EKS环境中执行的应用程序,是否都正常运作。
第二个功能是Explore,由于Spotlight主要是满足快速浏览,想要更加深入检视的使用者,Explore服务所提供的观察尺度,从最大范围上至AWS服务区,向下可再细分为丛集、Namespace、Deployment、Pod,最小可至单一容器。而CPU、硬盘、记忆体以及网络流量等资料,也都会一并呈现在仪表板中。而系统会将运作状况异常的应用程序、服务,利用色块标注,方便企业用户更快锁定问题。而视觉化功能的部分,系统可将使用者部署的服务、容器,根据系统流程,串接成拓墣图,并且一次列出系统回应时间、网络流量、CPU使用率。
另外一个重要的新整合功能,就是Sysdig提供EKS环境的内建仪表板功能,可用来观察Pod健康度、Kubernetes环境等。而开发者也自行修改,让平台只需整理符合内部需求的Metrics。目前仪表板内,总共有三个服务,分别是警报、资安事件,以及纪录(Captures)。
对基础架构维运者而言,监控功能在此类平台非常重要。而Sysdig警报功能,管理员可以自行设定触发条件,例如节点硬盘资源已耗尽、Pod故障,或者不法人士在容器中执行未授权应用,都可以触发警报,通过Slack、电子邮件或者PagerDuty,维运人员马上就会收到通知。
再者是资安事件功能,Sysdig会纪录违反EKS环境部署政策的事件,像是未授权人士登入系统,尝试阅读机密文件时,资安团队收到通知后,马上就可以阻挡该存取行为,而Sysdig记录下的事件,也可以供团队进行后续调查。最后一项则是纪录功能,Sysdig表示,使用者可以分析系统呼叫、IT环境数据,并且将这些数据与系统发布的警报纪录、资安事件进行连结,拼凑出事件发生的样貌,“即使该容器已经删除、消失,Sysdig也可以提供使用者所需的资料。”
使用Spotlight功能,在系统完成基础架构扫描的任务后,Spotlight会自动发布通知,在选单中显示红点,提醒使用者应该要注意的事项,确保基础架构中的应用程序都正常运作。图片来源:Sysdig
Explore服务所提供的观察尺度,从最大范围的上至AWS服务区,最小下至单一容器,在清单中列出CPU、硬盘、记忆体等讯息。而系统会将运作状况异常的应用程序、服务,利用色块标注,方便企业用户更快锁定问题。图片来源:Sysdig
系统可将使用者部署的服务、容器,根据系统流程,串接成拓墣图,并且一次列出系统回应时间、网络流量、CPU使用率。图片来源:Sysdig
管理员可以自行设定触发条件,例如节点硬盘资源已耗尽、Pod故障等状况,都可以触发警报,通过Slack、电子邮件或者PagerDuty,维运人员马上会收到通知。图片来源:Sysdig
使用资安事件功能,可以纪录违反EKS环境部署政策的事件,像是未授权人士登入系统,尝试阅读机密文件时,资安团队收到通知后,马上就可以阻挡该存取行为,而留存事件资料,也可在后续调查中使用。图片来源:Sysdig
?
以系统数据为基础,将系统发布的警报纪录、资安事件进行连结,系统可以拼凑出事件发生的样貌。即便容器已经删除、消失,Sysdig也可以提供后续资安鉴识所需资料。图片来源:Sysdig
相关:
Container周报第73期:Google释出Java大型应用容器化工具,微软则推出开发者新Azure测试空间
07/04~07/11精选Container新闻#Java△#容器化大型Java应用容器化更容易了,Google开源释出Java容器化工具Jib今年多家云端厂商相继推出代管容器服务,可支援Java、Python、Node.js等环境,但老旧大型Java应用如何支援
加州购物中心与执法单位分享顾客车牌资料爆隐私争议!- EFF与厂商论战
图片来源: EFF 业者搜集使用者资料再传资料滥用疑虑,电子前线基金会(Electronic△Frontier△Foundation,EFF)指控加州不动产公司Irvine旗下的购物中心,将建筑物内部的摄影机所收集的车牌(Automated△License△P
学术界发公开信要AWS停止提供美国政府脸部分辨技术,微软促政府主动监管
微软总裁兼首席法务官Brad△Smith敦促政府应对脸部分辨技术的应用制定相关法令。 图片来源: 微软 学术界于ICRAC(International△Committee△for△Robot△Arms△Control)网站发表公开信给Amazon以及美国政府,除了
AWS云端架构策略副总裁:飙速开发又有新方向,Serverless是容器和微服务的下一步
图片来源: 资料来源:Adrian△Cockcroft,iThome整理,2018年7月 早在2015年冬天AWS年度大会一场演讲中,AWS云端架构策略副总裁Adrian△Cockcroft就预言,Serverless将是下一阶段的云端架构方向。当时,Docker崛起才
【深度专访AWS云端架构策略副总裁】冲刺数位转型,企业需要什么IT新架构?
Adrian△Cockcroft有云端第一架构师的美称,也曾入选云端运算年度十大关键人物。 (摄影/洪政伟) 他是打造Netflix全球服务架构的关键人物。早在2009年,当时担任Netflix网站工程总监的Adrian△Cockcroft,就开始