Agentless Scanning のデプロイ

This product is not supported for your selected Datadog site. ().

このガイドでは、クラウド環境に応じて Agentless Scanning に最適なデプロイ トポロジーを選ぶ方法を説明します。セットアップ手順については、Agentless Scanning の有効化 を参照してください。

概要

Datadog では、次のガイドラインを推奨しています。

  • マルチ アカウント環境では、専用のスキャナー アカウントを使用する
  • 150 台を超えるホストがある各リージョンにスキャナーをデプロイする
  • Cloud Storage スキャン を利用する場合は、データ ストア (たとえば S3 バケットや RDS インスタンス) がある各リージョンにスキャナーをデプロイする
Datadog に送信されるのは、収集したパッケージ一覧とホスト メタデータ (ホスト名、EC2 / VM / Compute Engine のインスタンス識別子) のみです。スキャン対象のデータは、すべてお客様のインフラストラクチャ内に留まります。

クラウド アカウントとリージョンの構成

どのデプロイ トポロジーを採用するかは、スキャン対象のクラウド アカウント (AWS アカウント、Azure サブスクリプション、GCP プロジェクト) の数と、それらがどのリージョンをカバーしているかによって決まります。

  • クラウド アカウント: スキャン対象が 1 つのアカウントだけであれば、そのアカウントに直接 1 台以上のスキャナーをデプロイしてください。複数アカウントを対象にする場合は、専用のスキャナー アカウントを用意し、ほかのアカウントをスキャンできるように委任ロールでアクセス権を付与します。この方式を クロス アカウント スキャンと呼びます。
  • リージョン: 1 台のスキャナーで、自身が配置されているリージョン以外を含む任意のリージョンのホストをスキャンできます。ただし、クロス リージョン スキャンではデータ転送コストが発生します。追加のスキャナーをどこに配置するかは、各リージョンのホスト数に応じて判断してください。

以下のタブでは、デプロイ トポロジーの構成方法を説明しています。まず、スキャン対象のアカウント数に合うタブを選び、そのうえでカバーするリージョン数に応じた構成を確認してください。

    スキャン対象が 1 つのアカウントだけであれば、そのアカウントに直接 1 台以上のスキャナーをデプロイしてください。

    複数のリージョンをカバーする単一アカウントに Agentless スキャナーを配置した Agentless Scanning の構成図

    デプロイするスキャナー数を決める

    1 台のスキャナーで、自身が配置されているリージョン以外も含め、任意のリージョンのホストをスキャンできます。ただし、クロス リージョン スキャンではデータ転送コストが発生するため、追加のスキャナーをどこに配置するかは、各リージョンのホスト数に応じて判断する必要があります。

    • 全リージョン合計のホスト数が約 150 未満: 1 つのリージョンにスキャナーを 1 台配置する構成が、最もコスト効率に優れます。離れたリージョンのホストをクロス リージョンでスキャンする際のデータ転送料は、追加のスキャナーを常時稼働させる固定コストより低いためです。
    • 特定のリージョンに約 150 台を超えるホストがある: そのリージョン専用のスキャナーをデプロイしてください。この規模になると、そのリージョン内でスキャンすることで削減できるデータ送信コストが、スキャナー運用コストを上回ります。
    • この目安を超えるリージョンが複数ある: 約 150 台を超える各リージョンにスキャナーをデプロイしてください。この目安に満たないリージョンは、最寄りのスキャナーからクロス リージョンでスキャンできます。

    Datadog は、クロス リージョン コストを最小限に抑えるため、適切なリージョンのスキャナーに自動でスキャンを振り分けます。

    スキャナーの処理能力に関する制限

    各スキャナーの処理能力には、クラウド プロバイダーの API クォータに基づく上限があります。

    制限項目
    アカウント / リージョンあたりのスキャナー最大数4 (固定上限。AWS などのクラウド プロバイダーでは、アカウント / リージョンあたりの同時スナップショット数が 100 に制限されています)
    スキャン間隔12 時間ごと
    Autoscaling Group (ASG) の desired count は、リージョンあたり 4 台のスキャナーを超えて増やさないでください。追加したスキャナーは、クラウド プロバイダー側の同時スナップショット数の上限により、スナップショットを作成できません。

    どのアカウントにスキャナーをデプロイするかを決める

    Datadog では、専用のスキャナー アカウントにスキャナーをデプロイし、クロス アカウント用の委任ロールを使って、対象アカウント (スキャナー アカウント自身を含む) へのアクセス権をスキャナーに付与する構成を推奨しています。

    AWS Organizations を利用している場合は、CloudFormation StackSet を使ってすべてのメンバー アカウントに委任ロールを展開すると、クロス アカウント スキャンのオンボーディングを自動化できます。

    次の図は、中央アカウント (Account 4) から実行するクロス アカウント スキャンを示しています。

    中央のクラウド アカウントに Agentless スキャナーを配置した Agentless Scanning の構成図

    クロス アカウント権限を付与したくない場合は、代わりに各アカウントへスキャナーをデプロイしてください。ただしこの構成では、各スキャナーが自アカウント内でクロス リージョン スキャンを行うため、コストは高くなります。

    各クラウド アカウントに Agentless スキャナーを配置した Agentless Scanning の構成図

    デプロイするスキャナー数を決める

    1 台のスキャナーで、自身が配置されているリージョン以外も含め、任意のリージョンのホストをスキャンできます。ただし、クロス リージョン スキャンではデータ転送コストが発生するため、追加のスキャナーをどこに配置するかは、各リージョンのホスト数に応じて判断する必要があります。

    • 全リージョン合計のホスト数が約 150 未満: 1 つのリージョンにスキャナーを 1 台配置する構成が、最もコスト効率に優れます。離れたリージョンのホストをクロス リージョンでスキャンする際のデータ転送料は、追加のスキャナーを常時稼働させる固定コストより低いためです。
    • 特定のリージョンに約 150 台を超えるホストがある: そのリージョン専用のスキャナーをデプロイしてください。この規模になると、そのリージョン内でスキャンすることで削減できるデータ送信コストが、スキャナー運用コストを上回ります。
    • この目安を超えるリージョンが複数ある: 約 150 台を超える各リージョンにスキャナーをデプロイしてください。この目安に満たないリージョンは、最寄りのスキャナーからクロス リージョンでスキャンできます。

    Datadog は、クロス リージョン コストを最小限に抑えるため、適切なリージョンのスキャナーに自動でスキャンを振り分けます。

    スキャナーの処理能力に関する制限

    各スキャナーの処理能力には、クラウド プロバイダーの API クォータに基づく上限があります。

    制限項目
    アカウント / リージョンあたりのスキャナー最大数4 (固定上限。AWS などのクラウド プロバイダーでは、アカウント / リージョンあたりの同時スナップショット数が 100 に制限されています)
    スキャン間隔12 時間ごと
    Autoscaling Group (ASG) の desired count は、リージョンあたり 4 台のスキャナーを超えて増やさないでください。追加したスキャナーは、クラウド プロバイダー側の同時スナップショット数の上限により、スナップショットを作成できません。

    エンタープライズ ネットワークに関する考慮事項

    デフォルトでは、スキャナーはデプロイ時に新しい VPC を作成します。組織で Terraform を利用しており、VPC の作成を制限する Service Control Policies (SCPs) が適用されている場合は、セットアップ時に custom VPC オプションを使って、新規作成ではなく既存の VPC を利用してください。

    参考資料

    お役に立つドキュメント、リンクや記事:

    Cloud Security における Agentless Scanningドキュメント more more Agentless Scanning の有効化ドキュメント more more Agentless Scanning の更新ドキュメント more more