Datadog ぽすちゃ管理（CSPM）ってなんだ？

すごく進化した Datadog の CSPM で俺のクラウド管理ポータルの設定不備を全部検出してみる

ひらがなで『ぽすちゃ管理』と書くと柔らかい印象なので、面倒くさそうな CSPM を親しみやすくできるかな。

自分が学習用に使っている多分セキュリティのあまいであろう AWS と Azure のクラウド管理ポータルを Datadog の CSPM でセルフ監査してみる

• Datadog の CSPM ってどんな機能なの？
• CSPM の設定方法は？
• 検出可能なルール数ってどれくらい？
• ルール違反を検出したときにメール通知されるの？

以下すべて、2022年11月26日時点の情報です。クラウドの進化は早いので、きっと情報はすぐに更新されます。３回に渡って確認していきます。

目次

1. 背景（CSPMは大切だよ）
2. ぽすちゃ管理って何？
3. 初期設定（CSPM）
4. 検出したルールを読む（サマリー）
5. 検出したルールのサンプルを読む（そして幾つか是正してみる）
6. ルール違反を検出したときにメール通知する設定

１．背景（CSPMは大切だよ）

クラウドのセキュリティはしっかり設定した。初期設定はしっかりと。だがしかし、詳しくは記載できないが大変な経験をした話を聞くことがある。例えば…

• OSの脆弱性検査をするために一時的に全てのポートのセキュリティグループを許可して脆弱性検査を実施。検査後、セキュリティグループを再設定することを失念して、そのまま総合テストを開始。しばらくしてマルウェア感染騒ぎに。
• クラウド管理ポータルに臨時でユーザを追加。パスワードはよくあるシンプルな文字列。後日、操作した覚えのないクラウドサービスが有効になっており短期間で数万円の課金が発生。涙と冷や汗で仕事が手につかないとか。

クラウドのセキュリティ対策は初期設定だけでなく、利用している期間はずうっと対策を維持しなければならない。自分はしっかり対策維持しているつもりでも間違いは防げない。と記載している自分も、後述するCSPMで検出されたルールの多さにびっくりした。その CSPM は特に、サーバーインフラには詳しくないけれどクラウドサービスでアプリケーションを開発したり、構築したりする人にぜひ導入して欲しいセキュリティ機能です。

２．ぽすちゃ管理って何？

ぽすちゃ管理（CSPM, Cloud Security Posture Management）は、クラウド環境の脆弱性となるセキュリティポリシー違反や設定ミスを検知してくれるサービスです。

• 英単語のPostureってどういう意味？　(体の)姿勢、(ある特定の)姿勢、ポーズ、姿勢、態度、状態、形勢　by weblio英和辞典
• 監視する対象は何？　IAMユーザー、セキュリティグループ、オブジェクトストレージのバケット、データベースなどリソースのコンフィグレーションなど多岐に渡って勝手に監査してくれます。
• 監査できるルールは何？　Datadogが設定済みのOOTB（out-of-the-box）開封してすぐに使えるOOTBクラウドルールとOOTBインフラルールであり、 検出できるルールの最新情報はこちらのURL→ OOTBルール集 に掲載。
• ルール数はどれくらい？　2022/11/26時点で500以上のルールがあるようです。
• 何を根拠にしたルールなの？　CISベンチマークなど下記のベストプラクティスです。
  • PCI - v3.2.1
  • SOC2 - v2
  • CIS AWS, Azure, GCP - v1.3.0
  • CIS Kubernetes - v1.5.1, CIS Docker - v1.2.0
  • HIPAA - v1
  • GDPR - v1
  • ISO/IEC 27001 - v2
• CISベンチマークって何？　Center for Internet Security はインターネット・セキュリティ標準化に取り組む米国団体。CISベンチマークは、政府・企業・研究機関によって世界的に認められたセキュリティのベストプラクティスです。
• AWSやAzureのクラウドサービスに標準で使えるCIS機能ないの？　あります。例えばAWSでのCISベンチマークは、AWS Security Hubです。
• なぜ Datadog CSPM を使うの？　AWSとAzureで設定方法や画面の読み方が異なるし、ルール違反などの通知を自動化するには CloudWatch や amazon SNS などを、AWSやAzureなどそれぞれのアカウントに設定するのが手間だったりします。Datadogならどのクラウドにも同じひとつの手順・手法で済みます。

一旦、まとめ

AWSやAzureなどのクラウドサービスを使って情報システムを構築する。初期設定でしっかりとセキュリティ対策をしている。しかし、クラウド管理ポータルでのファイアウォール設定などのセキュリティ対策はいつでも手動で変更することができてしまう。万が一、誤って設定を変更してしまうなど、人的リソースによるミスを自動検知してくれるツールがあるならば採用すべきだろう。Datadog の CSPM は7つ以上の規格や500以上のルールでベストプラクティスに沿わない設定を検出してくれる。

第２回は Datadog の CSPM を初期設定する。