Configuración de Cloud Security en Kubernetes

Documentos > Datadog Security > Cloud Security Management > Configuración de Cloud Security > Despliegue de Cloud Security en el Agent > Configuración de Cloud Security en Kubernetes

Sigue las siguientes instrucciones para activar Misconfigurations y Vulnerability Management.

Collecting events using Cloud Security Management will affect your billing. For more information, see Datadog Pricing.

Requisitos previos

Versión más reciente del Datadog Agent. Para obtener instrucciones de instalación, consulta Empezando con el Agent o instala el Agent desde la interfaz de usuario Datadog.

Nota: La recopilación de SBOM no es compatible con la función de transmisión de imágenes en Google Kubernetes Engine (GKE). Para desactivarla, consulta la sección Desactivar la transmisión de imágenes de la documentación de GKE.

Instalación

Añade lo siguiente a la sección spec del archivo datadog-agent.yaml:

# datadog-agent.yaml file
apiVersion: datadoghq.com/v2alpha1
kind: DatadogAgent
metadata:
  name: datadog
spec:
  features:
    cspm:
      enabled: true
      hostBenchmarks:
        enabled: true
    # Enables the image metadata collection and Software Bill of Materials (SBOM) collection
    sbom:
      enabled: true
      # Enables Container Vulnerability Management
      # Image collection is enabled by default with Datadog Operator version `>= 1.3.0`
      containerImage:
        enabled: true

        # Uncomment the following line if you are using Google Kubernetes Engine (GKE) or Amazon Elastic Kubernetes (EKS)
        # uncompressedLayersSupport: true

      # Enables Host Vulnerability Management
      host:
        enabled: true

Aplica los cambios y reinicia el Agent.

Añade lo siguiente a la sección datadog del archivo datadog-values.yaml:

# datadog-values.yaml file
datadog:
  securityAgent:
    # Enables Misconfigurations
    compliance:
      enabled: true
      host_benchmarks:
        enabled: true
  sbom:
    containerImage:
      enabled: true

      # Uncomment the following line if you are using Google Kubernetes Engine (GKE) or Amazon Elastic Kubernetes (EKS)
      # uncompressedLayersSupport: true

    # Enables Host Vulnerability Management
    host:
      enabled: true

    # Enables Container Vulnerability Management
    # Image collection is enabled by default with Datadog Helm version `>= 3.46.0`
    # containerImageCollection:
    #   enabled: true

Reinicia el Agent.

Añade la siguiente configuración a la sección env de security-agent y system-probe en el archivo daemonset.yaml:

  # Source: datadog/templates/daemonset.yaml
  apiVersion:app/1
  kind: DaemonSet
  [...]
  spec:
  [...]
  spec:
      [...]
        containers:
        [...]
          - name: agent
            [...]
          - name: system-probe
            [...]
            env:
              - name: DD_COMPLIANCE_CONFIG_ENABLED
                value: "true"
              - name: DD_COMPLIANCE_CONFIG_HOST_BENCHMARKS_ENABLED
                value: "true"
              - name: DD_CONTAINER_IMAGE_ENABLED
                value: "true"
              - name: DD_SBOM_ENABLED
                value: "true"
              - name: DD_SBOM_CONTAINER_IMAGE_ENABLED
                value: "true"
              - name: DD_SBOM_HOST_ENABLED
                value: "true"
              - name: DD_SBOM_CONTAINER_IMAGE_USE_MOUNT
                value: "true"
          [...]