Google Cloudでエージェントレスによる脆弱性と脅威の検出を始める

クラウドリソースの脆弱性と不正プログラムのスキャンを開始するには、Terraformテンプレートを使用してGoogle CloudプロジェクトをCloud AccountsのTrend Vision Oneに接続します。機能と権限でエージェントレスによる脆弱性と脅威の検出を有効にします。

エージェントレスによる脆弱性と脅威の検出は次のGoogle Cloudリソースタイプをスキャンします:

• Compute Engineインスタンスに接続されたHyperdisksおよびPersistent Disks
• Artifact Registryコンテナイメージ

エージェントレスによる脆弱性と脅威の検出はディスクのスナップショットを撮り、コンテナイメージを収集することでGoogle Cloudで動作します。収集されたリソースは脆弱性や不正プログラムのスキャンが行われます。エージェントレスによる脆弱性と脅威の検出をGoogle Cloudプロジェクトにデプロイするには、2つの方法のいずれかを使用できます:

• 従来の方法: エージェントレスによる脆弱性と脅威の検出はプロジェクトに直接デプロイされます。この機能はプロジェクトのクラウドリソースを使用して実行されるため、クラウドプロジェクトに関連するコストが増加します。従来のデプロイ方法を使用すると、直接のクラウドリソース使用量とエージェントレスによる脆弱性と脅威の検出リソース使用量を区別できない場合があります。
  
• サイドカー: エージェントレスによる脆弱性と脅威の検出は、スキャンしたい各プロジェクトごとに組織内の別のプロジェクトで実行されます。機能のリソース収集コンポーネントのみが直接プロジェクト内で実行されます。サイドカーのデプロイメントにより、プロジェクトとエージェントレスによる脆弱性と脅威の検出のリソースクォータを分けることができるため、リソース使用量のモニタが容易になります。サイドカーのデプロイメントは、次の3つの方法のいずれかで開始できます:
  • エージェントレスによる脆弱性と脅威の検出にGoogle Cloudの請求情報を自動的に見つけて使用し、サイドカープロジェクトを作成することを許可します。
  • エージェントレスによる脆弱性と脅威の検出を有効にする際にGoogle Cloudの請求情報を手動で指定し、その後エージェントレスによる脆弱性と脅威の検出がサイドカープロジェクトを自動的に作成することを許可します。
  • エージェントレスによる脆弱性と脅威の検出をデプロイする前にサイドカープロジェクトを手動で作成し、デプロイ時に作成したサイドカープロジェクトを指定してください。
  

スキャン結果はTrend Vision Oneに送信され、[Cloud Posture]、Executive Dashboard、Operations Dashboard、および[Attack Surface Discovery]のアセットプロファイル画面で確認できます。脆弱性を修正したり、ディスク内の不正プログラムを修復した後、次の日次スキャン後には検出結果は表示されなくなります。コンテナイメージ内の脆弱性検出は、修正後7日間、[Operations Dashboard] → [脆弱性]に表示され続けます。コンテナイメージ内の不正プログラムの検出は、修復後7日間、[Operations Dashboard] → [すべてのリスクイベント]に表示され続けます。

次の表は、サポートされている各Google Cloudリソースタイプに適用されるスキャンの制限を示しています。

エージェントレスによる脆弱性と脅威の検出は、Google Cloudプロジェクトでの脆弱性スキャンに対して、以下のOSインスタンスのみをサポートします。

エージェントレスによる脆弱性と脅威の検出はすべてのGoogle Cloudリージョンをサポートしていますが、Google Cloud Schedulerが利用可能なリージョンのみが主要なデプロイメントリージョンとして機能します。主要なデプロイメントリージョンは、Cloud AccountsにGoogle Cloudプロジェクトを追加する際に選択したリージョンです。エージェントレスによる脆弱性と脅威の検出はデフォルトで主要なリージョンにデプロイし、スキャンするほか、選択したリージョンにもデプロイします。以下のリージョンが主要なデプロイメントリージョンとしてサポートされています。