Zenn
👏

セキュリティを一歩先へ:Datadog Application Security Management による脆弱性管理と脅威対策

2024/03/08に公開
Security
datadog
#
asm
#
IAST
#
sca
tech

はじめに

今回は、Datadog が提供するセキュリティ機能の一つである、Datadog Application Security Managementについて調査しました。

すでに Datadog を導入していて、Application Security の導入を検討している方は参考にしてください。

Datadog Application Security Management(Datadog ASM)

一言でまとめると、コードレベルの脆弱性を利用しようとする攻撃に対する保護機能を提供するものです。

主な機能は、下記の 3 つとなります。

  • 脆弱性管理
  • 脅威検出
  • 脅威防御

WAF との違い

似たような Security 製品として WAF が挙げられますが、WAF との機能は大きく 2 つあります。

まず機能を配置する場所について違いがあります。

従来の WAF はインフラコンポーネントの境界に配置されますが、Datadog ASM はアプリケーションとともに配置されます。

どういうことかというと、Datadog ASM はサーバーの Agent やコンテナのサイドカーとして配置されるということです。これにより、アプリケーショントレースに基づいた詳細な脅威管理ができるところがこの機能の特徴となります。

また、機能が得意とする役割にも違いがあります。

攻撃シグネチャなど既存の情報に基づいて脅威をブロックする WAF に対して、Datadog ASM は IDS/IPS のようなサービスとしての意味合いが強く、アプリケーションのトレースを含めた様々な情報から脅威を検出することに優れています。

WAF も IDS/IPS のような動きは可能だが、WAF はどちらかというと脅威をブロックする意味合いが強い。
また、Datadog ASM はトレースなどを利用して検査を行うため、誤検知が少ない。

互換性

各言語と機能の対応状況については、互換性要件 から確認ができるようになっています。

脆弱性管理

ここからは Datadog ASM が提供する機能について具体的に紹介していきます。

まず、脆弱性管理です。

これは、Datadog が提供する SCA となります。

Getting Started with Software Composition Analysis

具体的には、Dependabot のような機能と IAST のような機能を有しています。

IAST は一般的には導入コストが高いものなので、Datadog Agent を利用して簡単にデプロイできることは特徴の一つですね。

脅威検出、脅威防御

次に、脅威検出と脅威防御についてです。

Datadog ASM は、APM と同じトレーシングライブラリを使用してトラフィックを監視します。

既知の攻撃パターンであるシグネチャとトラフィックを比較し、脅威や攻撃を検出、サービスを防御することが可能となっています。

WAF の代わりに使っても良さそうですが、その代わりトラフィックがコンテナまで到達する懸念があるので、基本的には併用するのがいいと思います。

実際にそのような 使い方 も紹介されています。

AWS WAF にあるような rate limit 機能などは使えなさそうですが、自動で Deny List に IP を追加したり、コンソールから簡単に IP のブロックをすることが可能になっています。

OOTB Rules

脅威の検出には、Datadog が提供する OOTB Detection Rules に基づいて、アプリケーション内での脅威を検出することが可能となっています。

OOTB Rules は、Datadog の Security Reserch Team により継続的に新しい Rules が追加されるので、常に最新の攻撃パターンに対応することができます。

ユーザーモニタリングと保護

脅威防御の機能の一つとして、トレースからユーザーのアクティビティを追跡し、アプリケーション上で不審な動きをするような悪質なユーザーを検出、ブロックすることが可能です。

これは、非認証ユーザーと認証済みユーザーどちらに対しても利用することができます。これはトレースなどアプリケーションの情報を利用しないといけないので、Datadog ASM の特徴に一つだと思います。

ユーザーモニタリングと保護

その他の機能

上記の機能に加えて、保護 による脅威へのリアルタイムでの対応や、カスタム検出ルール の作成、アプリ内 WAF ルール の追加などを可能で、ニーズに応じてカスタマイズできるようになっています。

AWS WAF と併用する場合

アプリケーション上の Datadog ASM により脅威を検出した上で、ネットワークの境界に配置された AWS WAF で脅威をブロックするのがベストな構成かなと思います。

そうすることで、AWS WAF による大まかな脅威対策と、Datadog ASM によるアプリケーション毎のきめ細やかな脅威対策が可能になります。

コスト

それぞれの機能に関するコストは 料金 | Datadog を確認してください。

AWS Fargate での利用であれば低コストでお試し利用も可能ですね。

こちらもおすすめ

https://zenn.dev/yukionodera/articles/good-about-mise

https://zenn.dev/yukionodera/articles/easy-share-tab-with-google-meet

https://zenn.dev/yukionodera/articles/arc-2-released

おわりに

ニーズがあれば他の https://docs.datadoghq.com/ja/security/ に記載されている Datadog Security 製品についても調査していこうと思います!

GitHubで編集を提案

Discussion