Datadog CSPM 使ってみた
こんにちは、SREディビジョンの島田です。
Datadog のCSPM をGoogle Cloud で使ってみたので紹介したいと思います。
概要
Datadog CSPM はDatadog社の提供するCloud Security Posture Management(以下CSPM)サービスです。
CSPM とはCloud Security Posture Management の略で、クラウド サービスの脆弱な設定を検出するツールやサービスの総称です。
このDatadog CSPM はDatadog のオプショナル サービスという位置づけになります。
公式ドキュメント
料金
料金はホスト(VM)1台あたり月7.5ドルからで、それ以外のリソースはなんと料金がかかりません。
稼働中のVMやコンテナを保護するワークロード セキュリティとは分けて考える必要があるため単純比較はできませんが、競合する他のCSPM サービスには最低利用価格が年間数百万円からのものもあるため、大きな強みになります。
公式ドキュメント
セットアップ
Datadog 自体のセットアップが完了していれば、あとはCSPM のON/OFFを切り替えるだけで有効化でき、リソースのスキャンが始まります。
リソースをスキャンするためのサービス アカウントへの追加のIAMロール付与は必要ありません。Datadog の Google Cloud Platform Integration 設定時の次のロールで対応できます。
- Compute 閲覧者
- クラウドアセット閲覧者
- モニタリング閲覧者
検出ルール
コンソールの「Compliance Rules」から各プロバイダーやコンプライアンスごとの検出ルールを表示できます。Google Cloud 単体では68個のルールが存在します。
対応しているGoogle Cloud サービスとしてはGCE、SQL、GCS、BigQuery、IAM などがあります。2022年の11月に一般提供が始まったこともあり、対応しているGoogle Cloud サービス及び検出ルール数は他のCSPM サービスと比較して少ない印象です。
検出UIがDatadog と共通しているのが特徴で、同じようにフィルタなどが使用できます。
検出ルールは中身も含めて英語になります。
検出間隔
リソースのスキャンは15分~4時間間隔で行われます。
筆者が検証で作成した脆弱なFWルールはリソース作成後約10分ほどでスキャンされました。
CSPM は、15 分~4 時間間隔 (タイプによって異なる) でリソースを評価します。スキャンが完了するとすぐに、スキャンごとの新たな所見が生成されます。
通知方法
コンソールの「Security」→「Configuration」→「General」→「Notifications」から通知の設定ページを開くことができます。
アラートの通知条件は重要度やタグで制御することができ、通知先にはEメールの他以下のオプションが利用できます。
- Slack
- Jira
- PagerDuty
- ServiceNow
- Microsoft Teams
- Webhooks
Eメールで検出結果を通知した際の一例はこちらです。(サイズの関係で一部省略)
検出ルールの概要(Description)、根拠(Rationale)、影響(Impact)、修正方法(Remediation)に加え、ドキュメントや付随情報が記載されています。
こちらも英語です。
カスタムルール
Datadog CSPM ではポリシー言語のRegoを使用してカスタムルールを作成できます。
これを使用することで、例えばリソースの特定の値以外の設定をすべてアラートとして検出するルールを作成することもできます。
まとめ
ポイントをまとめると以下になります。
良い点
- Datadog を導入済みであればセットアップが非常に簡単
- CSPM 単体としては料金が安い
- カスタムルールに対応
課題点
- 対応しているGoogle Cloud サービスと検出ルール数が少なめ
Datadog をすでに導入済みでCSPM をこれから使い始めたいというライトなユーザーにメリットがある一方で、Google Cloud のリソースをCSPM でしっかり保護したいというヘビーなユーザーはもう少し対応サービスが拡充するのを待つ必要がありそうです。
Discussion