クラウドセキュリティポスチャ管理は、現在このサイトでは利用できません。
クラウドセキュリティポスチャ管理 (CSPM) は、お使いのクラウドリソースにおける現在および過去のセキュリティポスチャ (セキュリティ体制) のスムーズな評価と視覚化、監査エビデンス収集の自動化、攻撃に対するオーガニゼーションの脆弱性の原因となるコンフィギュレーションミスの検知などをサポートします。
クラウドリソースの CSPM を有効にする
CSPM は、AWS、Azure、Google Cloud、Docker、Kubernetes などのクラウドプロバイダーと既存の Datadog インテグレーションを使用して、エージェントレスオンボーディングを提供します。CSPM の構成方法の詳細については、クラウドプロバイダーを選択し、指示に従ってください。
Datadog AWS インテグレーションのセットアップ
まだの場合は、Amazon Web Services インテグレーションを設定します。CSPM の場合は、リソース収集に必要な必要な権限も追加する必要があります。
AWS に対して CSPM を有効にする
次のいずれかの方法で、AWS アカウントに対して CSPM を有効にします。
セキュリティ設定
- Security > Setup に移動します。
- アプリ内の説明に従い、アカウントに対して CSPM を有効にします。
- Setup > Cloud Providers タブで、AWS タイルをクリックします。
- AWS アカウントで CSPM を有効にするには、Collect Resources のトグルをオンにします。
AWS インテグレーションタイル
- AWS インテグレーションタイルで、AWS アカウントを選択し、Resource Collection をクリックします。
- CSPM のリソース収集を有効にするには、Cloud Security Posture Management Collection を選択します。
- 保存をクリックします。
Datadog Azure インテグレーションのセットアップ
Microsoft Azure インテグレーションをまだセットアップしていない場合は、セットアップします。
注: Azure コンプライアンスルールのフルセットにアクセスするには、Microsoft Graph API の Application.Read.All
、Directory.Read.All
、Group.Read.All
、Policy.Read.All
、User.Read.All
の権限を有効にする必要があります。
Azure に対して CSPM を有効にする
次のいずれかの方法で、Azure サブスクリプションに対して CSPM を有効にします。
セキュリティ設定
- Security > Setup に移動します。
- アプリ内の説明に従い、アカウントに対して CSPM を有効にします。
- Setup > Cloud Providers タブで、Azure タイルをクリックします。
- CSPM Enabled のトグルをオンにして、Azure サブスクリプションに対して CSPM を有効にします。
Azure インテグレーションタイル
- Azure インテグレーションタイルで、Azure アプリを 1 つ選択します。
- Resource Collection で、Enable resource collection for Cloud Security Posture Management のチェックボックスを選択します。
- Update Configuration をクリックします。
Datadog Google Cloud インテグレーションのセットアップ
Datadog Google Cloud インテグレーションでは、サービスアカウントを使用して、Google Cloud と Datadog の間の API 接続を作成します。CSPM のメトリクス収集を有効にするには、サービスアカウントを作成し、Datadog にサービスアカウントの資格情報を提供することで、自動的に API 呼び出しが開始します。
注: 監視するプロジェクトで、Google Cloud の課金、Cloud Monitoring API、Compute Engine API、Cloud Asset API がすべて有効になっている必要があります。
Google Cloud
- Datadog インテグレーションをセットアップする Google Cloud プロジェクトの Google Cloud 認証情報ページに移動します。
- Create credentials をクリックし、Service account を選択します。
- サービスアカウントに一意の名前を付け、Create and Continue をクリックします。
- サービスアカウントに以下のロールを追加し、Continue をクリックします。
- Compute Viewer
- Monitoring Viewer
- Cloud Asset Viewer
- ページ下部のサービスアカウントを選択します。
- Keys タブで、New Key をクリックし、Create new key を選択します。
- JSON を選択し、Create をクリックすると、JSON キーがダウンロードされます。
Datadog
- Datadog で、Datadog Google Cloud インテグレーションタイルに移動します。
- Configuration タブで、サービスアカウントを探し、Upload Private Key File を選択し、プロジェクトを Datadog とインテグレーションします。
- JSON ファイルをアップロードし、Update Configuration をクリックします。
- 複数のプロジェクトを監視する場合は、次の方法のいずれかを使用します。
- 複数のサービスアカウントを使用する場合は、上のプロセスを繰り返します。
- 同じサービスアカウントを使用する場合は、ダウンロードした JSON ファイルで
project_id
を更新します。次に、手順 1 ~ 3 の説明に従って、このファイルを Datadog にアップロードします。
Google Cloud に対して CSPM を有効にする
次のいずれかの方法で、Google Cloud プロジェクトに対して CSPM を有効にします。
セキュリティ設定
- Security > Setup に移動します。
- アプリ内の説明に従い、アカウントに対して CSPM を有効にします。
- Setup > Cloud Providers タブで、Google Cloud Platform タイルをクリックします。
- CSPM Enabled のトグルをオンにして、Google Cloud プロジェクトに対して CSPM を有効にします。
Google Cloud インテグレーションタイル
- Google Cloud インテグレーションタイルで、Google Cloud プロジェクトを 1 つ選択します。
- Enable resource collection for Cloud Security Posture Management (クラウドセキュリティポスチャ管理のためにリソースの収集を有効にする) で、Resource collection のチェックボックスをオンにします。
- Update Configuration をクリックします。
Docker に対して CSPM を有効にする
- Security > Setup に移動します。
- アプリ内の説明に従い、アカウントに対して CSPM を有効にします。
- Setup > Host and containers タブで、Docker タイルをクリックします。
- Select API key をクリックして、CSPM で使用する API キーを選択します。
- 自動生成されたコマンドをコピーし、Docker 環境で実行して CSPM を有効にします。
Kubernetes に対して CSPM を有効にする
Datadog Agent (バージョン 7.27 以上) のインストールがまだの場合は、先にインストールを行います。
Security > Setup に移動します。
アプリ内の説明に従い、アカウントに対して CSPM を有効にします。
values.yaml
ファイルの datadog
セクションに以下を追加します。
# values.yaml file
datadog:
[...]
# Add this to enable Cloud Security Posture Management and Cloud Workload Security
securityAgent:
runtime:
enabled: true
compliance:
enabled: true
Agent を再起動します。
最初の結果の表示
CSPM は、15 分~4 時間間隔 (タイプによって異なる) でリソースを評価します。スキャンが完了するとすぐに、スキャンごとの新たな所見が生成されます。
クラウドリソースに関する所見を表示するには、CSPM ホームページ に移動します。
デフォルトの検出ルールについて
CSPM では、クラウドリソースを評価し、潜在的なコンフィギュレーションミスを特定する独自の検出ルールが一揃い用意されているため、直ちに修復手順を実行できます。コンフィギュレーション検出ルールが新たに追加された場合は、自動的にアカウントにインポートされます。
デフォルトの検出ルールをクラウドプロバイダーごとに絞り込む方法
- Security > Posture Management > Compliance Rules に移動します。
- Tag ファセットから次のいずれかの値を選択します。
- AWS: cloud_provider:aws
- Azure: cloud_provider:azure
- Google Cloud: cloud_provider:gcp
- Docker: framework:cis-docker
- Kubernetes: framework:cis-kubernetes
デフォルトの検出ルールに目を通した後は、Security Findings Explorer でクラウドのコンフィギュレーションミスを確認して対策を行い、 各ルールが自社の環境をどのようにスキャンするかをカスタマイズして、通知ターゲットを設定することができます。
CSPM の無効化
CSPM を無効にした後も、これまでの知見やホームページはアプリ内で利用可能であり、追加の請求費用は発生しません。
クラウドプロバイダーの CSPM を無効にするには
- AWS: Setup > Cloud Providers タブで、AWS タイルをクリックし、AWS アカウントの Collect Resources トグルをオフにします。
- Azure: Setup > Cloud Providers タブで、Azure タイルをクリックし、Azure サブスクリプションの CSPM Enabled トグルをオフにします。
- Google Cloud: Setup > Cloud Providers タブで、Google Cloud Platform タイルをクリックし、Google Cloud プロジェクトの CSPM Enabled トグルをオフにします。
- Docker: Docker の構成で
DD_COMPLIANCE_CONFIG_ENABLED
を false
に設定します。 - Kubernetes:
values.yaml
ファイルの datadog
セクションで、 compliance
> enabled
を false
に設定します。
その他の参考資料