エージェントレス スキャンのデプロイ

This product is not supported for your selected Datadog site. ().

エージェントレススキャナを環境にデプロイするには、クロスアカウントスキャンまたは同一アカウントスキャンの 2 つの方法が推奨されます。

    クロスアカウントスキャンでは、エージェントレススキャナは単一のクラウドアカウント内の複数のリージョンにデプロイされます。デプロイされたエージェントレススキャナは、実際にコストがかかるクロスリージョンスキャンを実行せずに、複数のアカウントに対する可視性を付与されます。

    250 ホスト以上の大規模アカウントの場合、これが最も費用対効果の高いオプションです。クロスリージョンスキャンを回避し、エージェントレススキャナの管理の摩擦を軽減するためです。エージェントレススキャナ専用のアカウントを作成するか、既存のアカウントを選択できます。エージェントレススキャナが配置されているアカウントもスキャンできます。

    次の図は、中央のクラウドアカウントにデプロイされた場合のエージェントレススキャンの動作を示しています。

    中央のクラウド アカウントにエージェントレス スキャナをデプロイした構成を示すエージェントレス スキャンの図

    同一アカウントスキャンでは、アカウントごとに 1 つのエージェントレススキャナがデプロイされます。この方法は、各エージェントレススキャナがアカウントごとにクロスリージョンスキャンを実行する必要があるため、より多くのコストが発生する可能性がありますが、クロスアカウント権限を付与したくない場合、Datadog はこのオプションを推奨しています。

    以下の図は、各クラウドアカウント内でデプロイされた場合のエージェントレススキャンの動作を示しています。

    各クラウド アカウントにエージェントレス スキャナをデプロイした構成を示すエージェントレス スキャンの図

    推奨されるコンフィギュレーション

    エージェントレス スキャンでは、クラウド環境でスキャナを稼働させるために 追加のクラウド サービス プロバイダー コスト が発生します。12 時間ごとに安定してスキャンを実行しつつコストを抑えるため、Datadog は既定テンプレートとして Terraform を用いてエージェントレス スキャンをセットアップすることを推奨します。Terraform ならリージョンごとに 1 台のスキャナをデプロイでき、クロス リージョンのネットワーキングを避けられます。 スキャナの効果を高めるため、構成が次のガイドラインに沿っていることを確認してください:

    • 1 つの AWS アカウント内にスキャナをデプロイする
    • ホストが 250 台を超えるリージョンごとにスキャナをデプロイする
    • クラウド ストレージ スキャン を利用している場合は、データ ストアを含むリージョンにスキャナをデプロイする

    Datadog は、クロス リージョンのコストを最小化できるよう、適切なリージョンにスキャンを自動スケジューリングします。

    : 実際にスキャンされたデータはお客様のインフラ内に残り、Datadog へは収集したパッケージ一覧と、収集したホストに関する情報 (ホスト名/EC2 インスタンス) のみが送信されます。

    参考資料

    お役に立つドキュメント、リンクや記事:

    Cloud Security エージェントレス スキャンドキュメント more more