CSPM のセットアップ

クラウドセキュリティポスチャ管理は、現在このサイトでは利用できません。

クラウドセキュリティポスチャ管理 (CSPM) は、お使いのクラウドリソースにおける現在および過去のセキュリティポスチャ (セキュリティ体制) のスムーズな評価と視覚化、監査エビデンス収集の自動化、攻撃に対するオーガニゼーションの脆弱性の原因となるコンフィギュレーションミスの検知などをサポートします。

クラウドリソースの CSPM を有効にする

CSPM は、AWS、Azure、Google Cloud、Docker、Kubernetes などのクラウドプロバイダーと既存の Datadog インテグレーションを使用して、エージェントレスオンボーディングを提供します。CSPM の構成方法の詳細については、クラウドプロバイダーを選択し、指示に従ってください。

    Datadog AWS インテグレーションのセットアップ

    まだの場合は、Amazon Web Services インテグレーションを設定します。CSPM の場合は、リソース収集に必要な必要な権限も追加する必要があります。

    AWS に対して CSPM を有効にする

    次のいずれかの方法で、AWS アカウントに対して CSPM を有効にします。

    セキュリティ設定

    1. Security > Setup に移動します。
    2. アプリ内の説明に従い、アカウントに対して CSPM を有効にします。
    3. Setup > Cloud Providers タブで、AWS タイルをクリックします。
    4. AWS アカウントで CSPM を有効にするには、Collect Resources のトグルをオンにします。

    AWS インテグレーションタイル

    1. AWS インテグレーションタイルで、AWS アカウントを選択し、Resource Collection をクリックします。
    2. CSPM のリソース収集を有効にするには、Cloud Security Posture Management Collection を選択します。
    3. 保存をクリックします。

    Datadog Azure インテグレーションのセットアップ

    Microsoft Azure インテグレーションをまだセットアップしていない場合は、セットアップします。

    : Azure コンプライアンスルールのフルセットにアクセスするには、Microsoft Graph API の Application.Read.AllDirectory.Read.AllGroup.Read.AllPolicy.Read.AllUser.Read.All の権限を有効にする必要があります。

    Azure に対して CSPM を有効にする

    次のいずれかの方法で、Azure サブスクリプションに対して CSPM を有効にします。

    セキュリティ設定

    1. Security > Setup に移動します。
    2. アプリ内の説明に従い、アカウントに対して CSPM を有効にします。
    3. Setup > Cloud Providers タブで、Azure タイルをクリックします。
    4. CSPM Enabled のトグルをオンにして、Azure サブスクリプションに対して CSPM を有効にします。

    Azure インテグレーションタイル

    1. Azure インテグレーションタイルで、Azure アプリを 1 つ選択します。
    2. Resource Collection で、Enable resource collection for Cloud Security Posture Management のチェックボックスを選択します。
    3. Update Configuration をクリックします。

    Datadog Google Cloud インテグレーションのセットアップ

    Datadog Google Cloud インテグレーションでは、サービスアカウントを使用して、Google Cloud と Datadog の間の API 接続を作成します。CSPM のメトリクス収集を有効にするには、サービスアカウントを作成し、Datadog にサービスアカウントの資格情報を提供することで、自動的に API 呼び出しが開始します。

    : 監視するプロジェクトで、Google Cloud の課金Cloud Monitoring APICompute Engine APICloud Asset API がすべて有効になっている必要があります。

    Google Cloud

    1. Datadog インテグレーションをセットアップする Google Cloud プロジェクトの Google Cloud 認証情報ページに移動します。
    2. Create credentials をクリックし、Service account を選択します。
    3. サービスアカウントに一意の名前を付け、Create and Continue をクリックします。
    4. サービスアカウントに以下のロールを追加し、Continue をクリックします。
      • Compute Viewer
      • Monitoring Viewer
      • Cloud Asset Viewer
    5. ページ下部のサービスアカウントを選択します。
    6. Keys タブで、New Key をクリックし、Create new key を選択します。
    7. JSON を選択し、Create をクリックすると、JSON キーがダウンロードされます。

    Datadog

    1. Datadog で、Datadog Google Cloud インテグレーションタイルに移動します。
    2. Configuration タブで、サービスアカウントを探し、Upload Private Key File を選択し、プロジェクトを Datadog とインテグレーションします。
    3. JSON ファイルをアップロードし、Update Configuration をクリックします。
    4. 複数のプロジェクトを監視する場合は、次の方法のいずれかを使用します。
      • 複数のサービスアカウントを使用する場合は、上のプロセスを繰り返します。
      • 同じサービスアカウントを使用する場合は、ダウンロードした JSON ファイルで project_id を更新します。次に、手順 1 ~ 3 の説明に従って、このファイルを Datadog にアップロードします。

    Google Cloud に対して CSPM を有効にする

    次のいずれかの方法で、Google Cloud プロジェクトに対して CSPM を有効にします。

    セキュリティ設定

    1. Security > Setup に移動します。
    2. アプリ内の説明に従い、アカウントに対して CSPM を有効にします。
    3. Setup > Cloud Providers タブで、Google Cloud Platform タイルをクリックします。
    4. CSPM Enabled のトグルをオンにして、Google Cloud プロジェクトに対して CSPM を有効にします。

    Google Cloud インテグレーションタイル

    1. Google Cloud インテグレーションタイルで、Google Cloud プロジェクトを 1 つ選択します。
    2. Enable resource collection for Cloud Security Posture Management (クラウドセキュリティポスチャ管理のためにリソースの収集を有効にする) で、Resource collection のチェックボックスをオンにします。
    3. Update Configuration をクリックします。

    Docker に対して CSPM を有効にする

    1. Security > Setup に移動します。
    2. アプリ内の説明に従い、アカウントに対して CSPM を有効にします。
    3. Setup > Host and containers タブで、Docker タイルをクリックします。
    4. Select API key をクリックして、CSPM で使用する API キーを選択します。
    5. 自動生成されたコマンドをコピーし、Docker 環境で実行して CSPM を有効にします。

    Kubernetes に対して CSPM を有効にする

    1. Datadog Agent (バージョン 7.27 以上) のインストールがまだの場合は、先にインストールを行います。

    2. Security > Setup に移動します。

    3. アプリ内の説明に従い、アカウントに対して CSPM を有効にします。

    4. values.yaml ファイルの datadog セクションに以下を追加します。

      # values.yaml file
datadog:
[...]
  # Add this to enable Cloud Security Posture Management and Cloud Workload Security
  securityAgent:
    runtime:
      enabled: true
    compliance:
      enabled: true

    5. Agent を再起動します。

    最初の結果の表示

    CSPM は、15 分~4 時間間隔 (タイプによって異なる) でリソースを評価します。スキャンが完了するとすぐに、スキャンごとの新たな所見が生成されます。

    クラウドリソースに関する所見を表示するには、CSPM ホームページ に移動します。

    Cloud Security Posture Management サマリーページ

    デフォルトの検出ルールについて

    CSPM では、クラウドリソースを評価し、潜在的なコンフィギュレーションミスを特定する独自の検出ルールが一揃い用意されているため、直ちに修復手順を実行できます。コンフィギュレーション検出ルールが新たに追加された場合は、自動的にアカウントにインポートされます。

    デフォルトの検出ルールをクラウドプロバイダーごとに絞り込む方法

    1. Security > Posture Management > Compliance Rules に移動します。
    2. Tag ファセットから次のいずれかの値を選択します。
      • AWS: cloud_provider:aws
      • Azure: cloud_provider:azure
      • Google Cloud: cloud_provider:gcp
      • Docker: framework:cis-docker
      • Kubernetes: framework:cis-kubernetes

    デフォルトの検出ルールに目を通した後は、Security Findings Explorer でクラウドのコンフィギュレーションミスを確認して対策を行い、 各ルールが自社の環境をどのようにスキャンするかをカスタマイズして、通知ターゲットを設定することができます。

    CSPM の無効化

    CSPM を無効にした後も、これまでの知見やホームページはアプリ内で利用可能であり、追加の請求費用は発生しません。

    クラウドプロバイダーの CSPM を無効にするには

    • AWS: Setup > Cloud Providers タブで、AWS タイルをクリックし、AWS アカウントの Collect Resources トグルをオフにします。
    • Azure: Setup > Cloud Providers タブで、Azure タイルをクリックし、Azure サブスクリプションの CSPM Enabled トグルをオフにします。
    • Google Cloud: Setup > Cloud Providers タブで、Google Cloud Platform タイルをクリックし、Google Cloud プロジェクトの CSPM Enabled トグルをオフにします。
    • Docker: Docker の構成で DD_COMPLIANCE_CONFIG_ENABLEDfalse に設定します。
    • Kubernetes: values.yaml ファイルの datadog セクションで、 compliance > enabledfalse に設定します。

    その他の参考資料

    お役に立つドキュメント、リンクや記事:

    デフォルトのクラウドコンフィギュレーション検出ルールについてDOCUMENTATION more more CSPM 検出結果を検索および調査DOCUMENTATION more more フレームワークおよび業界のベンチマークの詳細DOCUMENTATION more more Cloud Security Management の概要DOCUMENTATION more more