Agentless Scanning の互換性

This product is not supported for your selected Datadog site. ().

提供状況

Agentless Scanning は AWS、Azure、GCP でサポートされています。

次の表は、サポート対象の各クラウド プロバイダーごとに、Agentless Scanning が対応している技術と関連コンポーネントをまとめたものです。

コンポーネントAWSAzureGCP
オペレーティング システムLinux; Windows Server 2016 以降; Windows 10 以降Linux; Windows Server 2016 以降; Windows 10 以降Linux; Windows Server 2016 以降; Windows 10 以降
ホスト ファイル システムBtrfs, Ext2, Ext3, Ext4, xfs, NTFSBtrfs, Ext2, Ext3, Ext4, xfs, NTFSBtrfs, Ext2, Ext3, Ext4, xfs, NTFS
パッケージ マネージャーDeb (debian, ubuntu)
RPM (amazon-linux, fedora, redhat, centos)
APK (alpine)		Deb (debian, ubuntu)
RPM (fedora, redhat, centos)
APK (alpine)		Deb (debian, ubuntu)
RPM (fedora, redhat, centos)
APK (alpine)
暗号化AWS
暗号化なし
暗号化あり - Platform Managed Key (PMK) および Customer Managed Key (CMK)		暗号化あり - Platform Managed Key (PMK): Azure Disk Storage Server-Side Encryption、Encryption at host
: 暗号化あり - Customer Managed Key (CMK) には 対応していません		暗号化あり - Platform Managed Key (PMK): Persistent Disk Encryption、Confidential VM
: 暗号化あり - Customer Managed Encryption Key (CMEK) および Customer-Supplied Encryption Keys (CSEK) には 対応していません
コンテナ ランタイムDocker、containerd
: CRI-O には 対応していません		Docker、containerd
: CRI-O には 対応していません		Docker、containerd
: CRI-O には 対応していません
サーバーレスAWS Lambda
AWS Fargate for ECS		Azure Container Apps および Azure Container Instances
: 最新バージョンの agentless scanner が必要です。Agentless Scanning の更新 を参照してください。		Cloud Run (コンテナ デプロイのみ - GitHub リポジトリやインライン エディタからのデプロイは対象外)
KubernetesEC2 ノード上の EKS のみ
: Fargate ベースの EKS ノードには 対応していません		仮想マシンおよび Virtual Machine Scale Sets (VMSS) 上の AKS
: ACI 上の AKS には 対応していません		GKE Standard のみ
: GKE Autopilot およびイメージ ストリーミングには 対応していません
アプリケーション言語 (ホストおよびコンテナ内)Java, .NET, Python, Node.js, Go, Ruby, Rust, PHP, Swift, Dart, Elixir, Conan, CondaJava, .NET, Python, Node.js, Go, Ruby, Rust, PHP, Swift, Dart, Elixir, Conan, CondaJava, .NET, Python, Node.js, Go, Ruby, Rust, PHP, Swift, Dart, Elixir, Conan, Conda
コンテナ レジストリAmazon ECR (public and private): 稼働中のコンテナ イメージに加え、レジストリ内に保存されている直近 1,000 件の push 済みイメージをスキャンACR: 稼働中のコンテナ イメージのみをスキャン
: レジストリ内に保存されたイメージのスキャンを希望する場合は、Datadog サポート にお問い合わせください		Google Artifact Registry: 稼働中のワークロードに紐付いたイメージのみをスキャン
: レジストリ内に保存されたイメージのスキャンを希望する場合は、Datadog サポート にお問い合わせください
ホスト イメージAMI非対応非対応
機微データ (SDS)S3、RDS (プライベート ベータ)非対応非対応

: AMI は Datadog の AWS integration を利用しているアカウントに保存されている必要があります。そうでない場合、Datadog は AMI の基盤となる Amazon Elastic Block Store (EBS) スナップショットを読み取れないため、AMI のスキャンやレポートを行えません。

Linux ディストリビューション

ホストおよびコンテナのスキャンでは、次の Linux ディストリビューションがサポートされています。

オペレーティング システム対応バージョンパッケージ マネージャーセキュリティ アドバイザリ
Alpine Linux2.2 - 2.7、3.0 - 3.19 (edge はサポート対象外)apkhttps://secdb.alpinelinux.org/
Wolfi LinuxN/Aapkhttps://packages.wolfi.dev/os/security.json
ChainguardN/Aapkhttps://packages.cgr.dev/chainguard/security.json
Red Hat Enterprise Linux6、7、8dnf/yum/rpmhttps://www.redhat.com/security/data/metrics/ および https://www.redhat.com/security/data/oval/v2/
CentOS6、7、8dnf/yum/rpmhttps://www.redhat.com/security/data/metrics/ および https://www.redhat.com/security/data/oval/v2/
AlmaLinux8、9dnf/yum/rpmhttps://errata.almalinux.org/
Rocky Linux8、9dnf/yum/rpmhttps://download.rockylinux.org/pub/rocky/
Oracle Linux5、6、7、8dnf/yum/rpmhttps://linux.oracle.com/security/oval/
CBL-Mariner1.0、2.0dnf/yum/rpmhttps://github.com/microsoft/CBL-MarinerVulnerabilityData/
Amazon Linux1, 2, 2023dnf/yum/rpmhttps://alas.aws.amazon.com/
openSUSE Leap42、15zypper/rpmhttp://ftp.suse.com/pub/projects/security/cvrf/
SUSE Linux Enterprise11、12、15zypper/rpmhttp://ftp.suse.com/pub/projects/security/cvrf/
Photon OS1.0、2.0、3.0、4.0tdnf/yum/rpmhttps://packages.vmware.com/photon/photon_cve_metadata/
Debian GNU/Linux7、8、9、10、11、12 (unstable/sid はサポート対象外)apt/dpkghttps://security-tracker.debian.org/tracker/ および https://www.debian.org/security/oval/
UbuntuCanonical がサポートするすべてのバージョンapt/dpkghttps://ubuntu.com/security/cve

アプリケーション ライブラリ

コンテナ イメージ、Lambda 関数、およびホスト上で稼働するコンテナに対する脆弱性スキャンでは、次のアプリケーション言語とライブラリがサポートされています。

言語対応パッケージ マネージャー対応ファイル
RubybundlerGemfile.lock, gemspec
.NETnugetpackages.lock.json, packages.config, .deps.json, *packages.props
GomodGo でビルドされたバイナリ、go.mod
JavaGradle, Mavenpom.xml, *gradle.lockfile, JAR/WAR/PAR/EAR (pom.properties を含む)
Node.jsnpm, pnpm, yarnpackage-lock.json, yarn.lock, pnpm-lock.yaml, package.json
PHPcomposercomposer.lock
Pythonpip, poetrypipfile.lock, poetry.lock, egg package, wheel package, conda package

コンテナ イメージ レジストリ

コンテナ イメージのスキャンでは、次のコンテナ イメージ レジストリがサポートされています。

レジストリサポート レベル
Amazon ECR (パブリックとプライベート)GA稼働中のコンテナ イメージ および、日付ベースで直近 1,000 件の push 済みイメージを、レジストリに保存された状態のままスキャンします。レジストリ内の保存済みイメージ スキャンに対応している唯一のレジストリです。
Google Artifact Registry (GAR)GA稼働中のワークロード (Cloud Run、GKE) に紐付いたイメージのみをスキャンします
: レジストリ内に保存されたイメージのスキャンを希望する場合は、Datadog サポート にお問い合わせください
Azure Container Registry (ACR)GAAzure Container Apps および Azure Container Instances で稼働中のコンテナ イメージのみをスキャンします
: レジストリ内に保存されたイメージのスキャンを希望する場合は、Datadog サポート にお問い合わせください

: レジストリからのコンテナ イメージ スキャンは、次のバージョンで Agentless を導入している場合にのみサポートされます。

  • CloudFormation Integrations >= v2.0.8
  • Terraform Agentless Module >= v0.11.7

コンテナ ランタイム

次のコンテナ ランタイムがサポートされています。

  • containerd: v1.5.6 以降
  • Docker

コンテナの観測に関する注記: Agentless Scanning では、圧縮されていないコンテナ イメージ レイヤーが必要です。回避策として、containerd の設定ファイルで構成オプション discard_unpacked_layers=false を設定できます。