Configuración de Agentless Scanning para Cloud Security Management

Agentless Scanning para Cloud Security Management no es compatible con el sitio de Datadog seleccionado ().

Agentless Scanning proporciona visibilidad de las vulnerabilidades que existen dentro de tus hosts de AWS, contenedores en ejecución, funciones de Lambda y Amazon Machine Images (AMIs), sin necesidad de instalar el Datadog Agent.

Prerequisites

To deploy Agentless scanning in your AWS environment, in addition to having Cloud Security Management enabled, you must enable Remote Configuration.

Enable Remote Configuration

Remote Configuration (enabled by default as of April 8th, 2024) is required to allow Datadog to send information to Agentless scanners, such as which cloud resources should be scanned. If Remote Configuration has not been enabled for your organization, navigate to your Organization Settings in Datadog and follow steps 1-4 in the Remote Configuration docs.

Note: CSM-enabled AWS accounts that have scanners deployed require Remote-config enabled API keys.

Permissions

Note: The following are permissions required for Agentless scanning, and are applied automatically as a part of the installation process.

IAM permissions (host and container permissions)

The Agentless Scanning instance requires the following IAM permissions to scan for hosts and containers:

ec2:DescribeVolumes
ec2:CreateTags
ec2:CreateSnapshot
ec2:DeleteSnapshot
ec2:DescribeSnapshots
ec2:DescribeSnapshotAttribute
ebs:ListSnapshotBlocks
ebs:ListChangedBlocks
ebs:GetSnapshotBlock

Lambda permissions

The Agentless Scanning instance requires the following IAM permissions to scan for Lambdas:

lambda:GetFunction

Métodos de despliegue

Hay dos maneras recomendadas maneras de desplegar escáneres sin Agent en tu entorno, ya sea usando escaneo entre cuentas, o escaneo en la misma cuenta.

Nota: Cuando se utiliza Agentless Scanning, hay costos adicionales para ejecutar escáneres en tus entornos en la nube. Para optimizar los costes y, al mismo tiempo, poder escanear de forma fiable cada 12 horas, Datadog recomienda configurar Agentless Scanning con Terraform como plantilla predeterminada, ya que así también se evitan las redes entre regiones.

Para establecer estimaciones sobre los costes del escáner, ponte en contacto con tu gerente de Éxito del cliente de Datadog.

    Con el escaneo entre cuentas, los escáneres sin Agent se despliegan en varias regiones de una única cuenta en la nube. Los escáneres sin Agent desplegados tienen visibilidad en varias cuentas sin necesidad de realizar escaneos entre regiones, que en la práctica resultan costosos.

    Para grandes cuentas con 250 o más hosts, esta es la opción más rentable, ya que evita los escaneos entre regiones y reduce la fricción para gestionar tus escáneres sin Agent. Puedes crear una cuenta dedicada para tus escáneres sin Agent o elegir una ya existente. También se puede escanear la cuenta en la que se encuentran los escáneres sin Agen.

    El siguiente diagrama ilustra cómo funciona Agentless Scanning cuando se despliega en una cuenta central en la nube:

    Diagrama de Agentless Scanning que muestra el escáner sin Agent desplegado en una cuenta central en la nube

    Con el análisis en la misma cuenta, se despliega un único escáner sin Agent por cuenta. Aunque esto puede suponer más costes, ya que requiere que cada escáner sin Agent realice escaneos entre regiones por cuenta, Datadog recomienda esta opción si no deseas conceder permisos entre cuentas.

    El siguiente diagrama ilustra cómo funciona Agentless Scanning cuando se despliega dentro de cada cuenta en la nube:

    Diagrama de Agentless Scanning que muestra el escáner sin Agent desplegado en cada cuenta en la nube

    Nota: Los datos reales que se analizan permanecen dentro de tu infraestructura, y solo la lista recopilada de paquetes, así como la información relacionada con hosts recopilados (nombres de host/instancias EC2) se informan de nuevo a Datadog.

    Instalación

    Hay dos maneras de instalar y configurar Agent Scanning para tus entornos en la nube: manualmente con Terraform, o con la plantilla de CloudFormation con la integración de AWS.

    Terraform

      1. Sigue las instrucciones de configuración para añadir cuentas en la nube de AWS a Cloud Security Management.
      2. En la página Cloud Security Management Setup (Configuración de Cloud Security Management), haz clic en Cloud accounts > AWS (Cuentas en la nube > AWS).
      3. Haz clic en el botón Edit scanning (Editar escaneado) de la cuenta de AWS en la que deseas desplegar el escáner sin Agent.
      4. Enable Resource Scanning (Habilitar escaneo de recursos) ya debería estar habilitado. Habilita el escaneo para los recursos en la nube que desees monitorizar en la sección Agentless Scanning.
      5. Sigue las instrucciones para la configuración de Terraform.
      6. Asegúrate de que la plantilla se ejecuta correctamente y, a continuación, haz clic en Done (Hecho) para iniciar el escaneo.
      Página de configuración de Agentless que muestra las opciones del conmutador para el escaneo de recursos
      1. En la página Cloud Security Management Setup (Configuración de Cloud Security Management), haz clic en Cloud accounts > AWS (Cuentas en la nube > AWS).
      2. Haz clic en el botón Edit scanning (Editar escaneado) de la cuenta de AWS en la que deseas desplegar el escáner sin Agent.
      3. Enable Resource Scanning (Habilitar escaneo de recursos) ya debería estar habilitado. Habilita el escaneo para los recursos en la nube que desees monitorizar en la sección Agentless Scanning.
      4. Sigue las instrucciones para la configuración de Terraform.
      5. Asegúrate de que la plantilla se ejecuta correctamente y, a continuación, haz clic en Done (Hecho) para iniciar el escaneo.
      Página de configuración de Agentless que muestra las opciones del conmutador para el escaneo de recursos

      Integración de AWS

        1. Configura la integración de Amazon Web Services. También debes añadir los permisos necesarios para la recopilación de recursos.

          Al añadir una nueva cuenta AWS, aparece la siguiente pantalla:

        Página de configuración de Agentless Scanning para añadir una cuenta de AWS nueva con la opción Añadir una cuenta de AWS única seleccionada

        1. Haz clic en Yes (Si) en Enable Cloud Security Management (Activar Cloud Security Management) y activa el escaneo para los recursos en la nube que desees monitorizar en la sección Agentless Scanning.
        2. Selecciona una clave de API que ya esté configurada para la Configuración remota. Si introduces una clave de API que no tenga activada la opción Configuración remota, se activará automáticamente al seleccionarla.
        3. Haz clic en Launch CloudFormation Template (Lanzar plantilla de CloudFormation). La plantilla incluye todos los permisos necesarios para desplegar y gestionar los escáneres sin Agent. La plantilla debe ejecutarse correctamente para recibir escaneos.
        1. En la página Cloud Security Management Setup (Configuración de Cloud Security Management), haz clic en Cloud accounts > AWS (Cuentas en la nube > AWS).
        2. Haz clic en el botón Edit scanning (Editar escaneado) de la cuenta de AWS en la que deseas desplegar el escáner sin Agent.
        3. Enable Resource Scanning (Habilitar escaneo de recursos) ya debería estar habilitado. Habilita el escaneo para los recursos en la nube que desees monitorizar en la sección Agentless Scanning.
        4. Ve a tu consola de AWS, crea una nueva CloudFormation Stack usando esta plantilla, y ejecútala.
        5. Asegúrate de que la plantilla se ejecuta correctamente y, a continuación, haz clic en Done (Hecho) para iniciar el escaneo.
        Página de configuración de Agentless que muestra las opciones del conmutador para el escaneo de recursos

        Exclusión de recursos

        Establece la etiqueta DatadogAgentlessScanner:false en hosts de AWS, contenedores y funciones de Lambda (si procede), para que se excluyan de los escaneos. Para añadir esta etiqueta a tus recursos, sigue la documentación de AWS.

        Desactivación de Agentless Scanning

        Para desactivar Agentless Scanning en una cuenta de AWS, desactiva el escaneo para cada recurso en la nube:

        1. En la página Cloud Security Management Setup (Configuración de Cloud Security Management), haz clic en Cloud accounts > AWS (Cuentas en la nube > AWS).
        2. Haz clic en el botón Edit scanning (Editar escaneado) de la cuenta de AWS en la que desplegaste el escáner sin Agent.
        3. En la sección Agentless Scanning, desactiva el escaneo para los recursos en la nube que deseas dejar de monitorizar.
        4. Haz clic en Done (Listo).

        Desinstalación con CloudFormation

        Ve a tu consola de AWS y elimina la CloudFormation stack que se creó para Agentless Scanning.

        Desinstalación con Terraform

        Sigue las instrucciones para la desinstalación de Terraform.