Información general

Agentless Scanning brinda visibilidad de las vulnerabilidades que existen en tu infraestructura en la nube de AWS, Azure y GCP, sin necesidad de instalar el Datadog Agent. Datadog recomienda activar Agentless Scanning como primer paso para obtener una visibilidad completa de tus recursos en la nube y, luego, instalar el Datadog Agent en tus activos principales con el tiempo para obtener un contexto de seguridad y observabilidad más profundo.

Cómo funciona

El siguiente diagrama ilustra el funcionamiento de Agentless Scanning:

1. Datadog programa escaneos automáticos en intervalos de 12 horas y envía los recursos a escanear a través de Remote Configuration.
   • Si tienes configurados Filtros de evaluación de seguridad en la nube, Agentless Scanning respeta estos filtros y solo explora los recursos que coinciden con los criterios configurados.
2. En el caso de las funciones sin servidor (como AWS Lambda), los escáneres obtienen el código de la función.
3. El escáner crea snapshots de los volúmenes utilizados en las instancias de máquinas virtuales en ejecución. Utilizando las snapshots o el código de función, el escáner genera un SBOM (una lista de paquetes y dependencias).
4. El SBOM y los metadatos del host se transmiten a Datadog. Todos los demás datos -incluidas las snapshots, el contenido de los discos y las imágenes de los contenedores- permanecen en tu infraestructura. Las snapshots se eliminan.
5. Datadog utiliza el SBOM para identificar vulnerabilidades conocidas en tus recursos.

Esta arquitectura proporciona:

• Privacidad de los datos: el contenido de tus discos, imágenes de contenedores y datos confidenciales permanecen dentro de tu cuenta en la nube. Solo los metadatos del paquete (el SBOM) se transmiten a Datadog.
• Residencia de datos: ningún dato cruza los límites de una cuenta para entrar en la infraestructura de Datadog, lo que simplifica el cumplimiento de los requisitos de soberanía de datos.
• Cumplimiento: los auditores pueden verificar que los datos de escaneado permanecen dentro de tu perímetro.

Para más información sobre la privacidad de los datos, consulta Qué datos se envían a Datadog.

Datos que se envían a Datadog

En lugar de copiar instantáneas de disco fuera de tu entorno para su análisis, para mantener la privacidad de tus datos, Datadog despliega una infraestructura de análisis ligera dentro de tu cuenta en la nube. Agentless Scanning crea snapshots de tus recursos y las analiza localmente, eliminando las snapshots una vez finalizados los análisis. Solo envía a Datadog la lista de materiales de software (SBOM) resultante, que contiene una lista de paquetes y dependencias. Los datos en bruto, el contenido de los discos y las imágenes de los contenedores nunca salen de tu entorno.

El analizador Agentless utiliza el formato OWASP cycloneDX para transmitir una lista de paquetes a Datadog. Nunca se transmite información personal confidencial o privada fuera de tu infraestructura.

Datadog no envía:

• Configuraciones de sistemas y paquetes
• Claves de cifrado y certificados
• Logs y registros de auditoría
• Datos empresariales sensibles

Coste del proveedor de servicio en la nube

Dado que Agentless Scanning se ejecuta dentro de tu cuenta en la nube, los costes informáticos y de red aparecen en la factura de tu proveedor de servicios en la nube. Mientras que los proveedores que escanean en su propia infraestructura incluyen los costes de computación en sus tarifas SaaS, mantener los datos en tu entorno significa que ves el coste de la infraestructura directamente.

Para reducir costes:

• Despliega un escáner en cada región donde tengas más de 150 hosts. Un escáner regional evita la transferencia de datos entre regiones, lo que resulta más rentable que escanear esos hosts desde una región remota.
• Utiliza la configuración recomendada con Terraform para desplegar un escáner por región.
• Para grandes despliegues multiregionales, consulta Despliegue de Agentless Scanning para obtener orientación sobre la elección de una topología de despliegue.

Restringir el acceso al escáner

Las instancias de escáner requieren permisos para crear y copiar instantáneas y describir volúmenes. Datadog recomienda seguir las siguientes directrices para mantener la seguridad de los escáneres:

• Restringe el acceso a las instancias de escáner a los usuarios administrativos.
• Configura los permisos del escáner para que sigan el principio de mínimos privilegios, limitados al mínimo necesario para el escaneado.
• Cifra toda la transmisión de datos entre el escáner y Datadog con HTTPS.
• Activa las actualizaciones de seguridad desatendidas y rota las instancias automáticamente cada 24 horas.
• No permitas el acceso entrante a las instancias de escáner (grupo de seguridad restringido).

Análisis del almacenamiento en la nube

Puedes activar Sensitive Data Scanner para tus recursos de Agentless Scanning durante el despliegue o después de la configuración. Sensitive Data Scanner cataloga y clasifica los datos confidenciales de tu almacenamiento en la nube (como los buckets de Amazon S3). Solo lee los almacenes de datos y sus archivos en tu entorno, sin enviar ningún dato confidencial a Datadog.

On-demand scanning

Por defecto, Agentless Scanning analiza automáticamente los recursos cada 12 horas. En AWS, también puedes activar un análisis inmediato de un recurso específico (host, contenedor, función de Lambda o bucket de S3) mediante la API de escaneo bajo demanda. Para obtener más información, consulta la documentación On-Demand Scanning API.

Referencias adicionales

Más enlaces, artículos y documentación útiles:

Más información sobre Cloud Security VulnerabilitiesDOCUMENTACIÓN Configurar Sensitive Data Scanner para el almacenamiento en la nubeDOCUMENTACIÓN Actualización de Agentless ScanningDOCUMENTACIÓN Resolución de problemas de Agentless ScanningDOCUMENTACIÓN