Setting up Agentless Scanning for Cloud Security Management
Agentless Scanning for Cloud Security Management is not supported for your selected
Datadog site (
).
エージェントレススキャンは、Datadog Agent をインストールすることなく、AWS ホスト、実行中のコンテナ、Lambda 関数、Amazon Machine Images (AMI) 内に存在する脆弱性を視覚化します。
Prerequisites
To deploy Agentless scanning in your AWS environment, in addition to having Cloud Security Management enabled, you must enable Remote Configuration.
Enable Remote Configuration
Remote Configuration (enabled by default as of April 8th, 2024) is required to allow Datadog to send information to Agentless scanners, such as which cloud resources should be scanned. If Remote Configuration has not been enabled for your organization, navigate to your Organization Settings in Datadog and follow steps 1-4 in the Remote Configuration docs.
Note: CSM-enabled AWS accounts that have scanners deployed require Remote-config enabled API keys.
Permissions
Note: The following are permissions required for Agentless scanning, and are applied automatically as a part of the installation process.
IAM permissions (host and container permissions)
The Agentless Scanning instance requires the following IAM permissions to scan for hosts and containers:
ec2:DescribeVolumes
ec2:CreateTags
ec2:CreateSnapshot
ec2:DeleteSnapshot
ec2:DescribeSnapshots
ec2:DescribeSnapshotAttribute
ebs:ListSnapshotBlocks
ebs:ListChangedBlocks
ebs:GetSnapshotBlock
Lambda permissions
The Agentless Scanning instance requires the following IAM permissions to scan for Lambdas:
デプロイ方法
エージェントレススキャナを環境にデプロイするには、クロスアカウントスキャンまたは同一アカウントスキャンの 2 つの方法が推奨されます。
注: エージェントレススキャンを使用する場合、クラウド環境でスキャナを実行するための追加コストが発生します。12 時間ごとに確実にスキャンを行いながらコストを最適化するために、Datadog では Terraform をデフォルトテンプレートとしてエージェントレススキャンをセットアップすることを推奨しています。
スキャナコストの見積もりについては、Datadog カスタマーサクセスマネージャーまでお問い合わせください。
クロスアカウントスキャンでは、エージェントレススキャナは単一のクラウドアカウント内の複数のリージョンにデプロイされます。デプロイされたエージェントレススキャナは、実際にコストがかかるクロスリージョンスキャンを実行せずに、複数のアカウントに対する可視性を付与されます。
250 ホスト以上の大規模アカウントの場合、これが最も費用対効果の高いオプションです。クロスリージョンスキャンを回避し、エージェントレススキャナの管理の摩擦を軽減するためです。エージェントレススキャナ専用のアカウントを作成するか、既存のアカウントを選択できます。エージェントレススキャナが配置されているアカウントもスキャンできます。
次の図は、中央のクラウドアカウントにデプロイされた場合のエージェントレススキャンの動作を示しています。
同一アカウントスキャンでは、アカウントごとに 1 つのエージェントレススキャナがデプロイされます。この方法は、各エージェントレススキャナがアカウントごとにクロスリージョンスキャンを実行する必要があるため、より多くのコストが発生する可能性がありますが、クロスアカウント権限を付与したくない場合、Datadog はこのオプションを推奨しています。
以下の図は、各クラウドアカウント内でデプロイされた場合のエージェントレススキャンの動作を示しています。
注: 実際にスキャンされたデータはインフラストラクチャー内に残り、収集されたパッケージのリストと、収集されたホスト (ホスト名/EC2 インスタンス) に関連する情報のみが Datadog に報告されます。
インストール
クラウド環境にエージェントレススキャンをインストールして構成するには、Terraform を使って手動で行う方法と、AWS インテグレーションで CloudFormation テンプレートを使う方法があります。
- AWS クラウドアカウントを Cloud Security Management に追加するためのセットアップ手順に従ってください。
- Cloud Security Management Setup ページで、Cloud accounts > AWS をクリックします。
- エージェントレススキャナをデプロイする AWS アカウントの Edit scanning ボタンをクリックします。
- Enable Resource Scanning は既に有効になっているはずです。Agentless scanning セクションで監視したいクラウドリソースのスキャンを有効にします。
- Terraform のセットアップの指示に従ってください。
- テンプレートが正常に実行されたことを確認したら、Done をクリックしてスキャンを開始します。
- Cloud Security Management Setup ページで、Cloud accounts > AWS をクリックします。
- エージェントレススキャナをデプロイする AWS アカウントの Edit scanning ボタンをクリックします。
- Enable Resource Scanning は既に有効になっているはずです。Agentless Scanning セクションで監視したいクラウドリソースのスキャンを有効にします。
- Terraform のセットアップの指示に従ってください。
- テンプレートが正常に実行されたことを確認したら、Done をクリックしてスキャンを開始します。
AWS インテグレーション
Amazon Web Services インテグレーションをセットアップし、リソース収集に必要な権限を追加してください。
新しい AWS アカウントを追加すると、以下の画面が表示されます。
- Cloud Security Management で Yes をクリックし、Agentless scanning セクションで監視したいクラウドリソースのスキャンを有効にします。
- リモート構成に構成済みの API キーを選択します。リモート構成が有効になっていない API キーを入力すると、選択時に自動的に有効になります。
- Launch CloudFormation Template をクリックします。テンプレートにはエージェントレススキャナのデプロイと管理に必要なすべての権限が含まれており、スキャンを受信するにはテンプレートが正常に実行される必要があります。
- Cloud Security Management Setup ページで、Cloud accounts > AWS をクリックします。
- エージェントレススキャナをデプロイする AWS アカウントの Edit scanning ボタンをクリックします。
- Enable Resource Scanning は既に有効になっているはずです。Agentless scanning セクションで監視したいクラウドリソースのスキャンを有効にします。
- AWS コンソールに移動し、このテンプレートを使用して新しい CloudFormation Stack を作成し、それを実行します。
- テンプレートが正常に実行されたことを確認したら、Done をクリックしてスキャンを開始します。
リソースの除外
AWS ホスト、コンテナ、Lambda 関数 (該当する場合) に、DatadogAgentlessScanner:false
タグを設定して、スキャンから除外します。このタグをリソースに追加するには、AWS ドキュメントに従ってください。
エージェントレススキャンの無効化
AWS アカウントでエージェントレススキャンを無効にするには、各クラウドリソースのスキャンを無効にします。
- Cloud Security Management Setup ページで、Cloud accounts > AWS をクリックします。
- エージェントレススキャナをデプロイした AWS アカウントの Edit scanning ボタンをクリックします。
- Agentless Scanning セクションで、監視を停止したいクラウドリソースのスキャンを無効にします。
- Done をクリックします。
AWS コンソールにアクセスし、エージェントレススキャン用に作成した CloudFormation スタックを削除します。
Terraform のアンインストールの手順に従ってください。