Aperçu

Les vulnérabilités de sécurité cloud vous aident à améliorer votre posture de sécurité et à atteindre la conformité, en scannant en continu les images de conteneurs, les hôtes, les images d’hôtes et les fonctions sans serveur pour détecter les vulnérabilités, des pipelines CI/CD à la production en direct. En tirant parti de l’observabilité en temps réel, cela vous aide à prioriser et à remédier aux vulnérabilités exploitables dans vos flux de travail quotidiens, le tout dans une vue unique, sans dépendances sur d’autres produits Datadog.

Avec les vulnérabilités de sécurité cloud, vous pouvez gérer votre stratégie de gestion de la sécurité cloud, le tout en un seul endroit :

  • Créez un programme de gestion des vulnérabilités, des pipelines CI/CD aux ressources de production
  • Réussissez les audits de conformité (tels que SOC2, PCI, HIPAA, CIS et FedRamp)
  • Remédiez aux vulnérabilités émergentes (CVE 0-day)

Remarque : Pour la gestion des vulnérabilités dans les bibliothèques d’applications, voir Analyse de la composition logicielle. Pour le code d’application, voir Sécurité du code.

Fonctionnalités clés

La numérisation sans agent n'est pas disponible dans le site sélectionné ().

Déployez en utilisant le mode sans agent ou l’agent Datadog unifié
Scannez rapidement l’ensemble de votre infrastructure à la recherche de vulnérabilités, soit en utilisant un agent sans agent, soit en utilisant l’agent Datadog unifié que vous avez déjà déployé.
Inventoriez les ressources cloud, en temps réel
Inventoriez les images de conteneurs, les hôtes, les fonctions sans serveur et tous les packages déployés dans votre infrastructure, en temps réel, et exportez votre SBOM (liste de matériaux logiciels).
Détecter les vulnérabilités en continu
Analysez les mises à jour récentes et les CVE nouvellement publiés, à travers les images de conteneurs en cours d’exécution provenant des hôtes et des registres, des hôtes, des images hôtes et des fonctions sans serveur, et identifiez les couches d’images de conteneurs vulnérables.
Priorisez les vulnérabilités exploitables, en utilisant l’observabilité en temps réel
Exploitez le scoring de sécurité de Datadog, qui est basé sur le CVSS, en intégrant des informations de CISA KEV, EPSS et de la disponibilité publique des exploits. Avec l’observabilité en temps réel, vous pouvez surveiller la production, l’exposition aux attaques, le traitement des données sensibles et l’accès privilégié.
Profitez d’une remédiation guidée
Voyez quelles couches sont impactées, obtenez des suggestions spécifiques à chaque image, et agissez sur la gestion du cycle de vie de vos vulnérabilités.
Mettez en œuvre l’automatisation et les intégrations
Automatisez la création de tickets Jira et mettez en œuvre des SLA. Utilisez l’API publique de Datadog pour exporter les vulnérabilités, la couverture et les SBOM.
Explorez les rapports
Visualisez et surveillez les données de vulnérabilité dans vos tableaux de bord.

Méthodes de déploiement

Commencez avec les vulnérabilités de sécurité cloud et protégez votre infrastructure en quelques minutes, en utilisant :

Vous pouvez également utiliser plusieurs méthodes de déploiement ensemble : utilisez l’agent Datadog unifié là où vous l’avez déjà déployé, sans agent ailleurs, et l’analyse CI/CD pour détecter les vulnérabilités avant la production.

Une fois que vous l’avez activé, Datadog commence à scanner vos ressources en continu et commence à signaler les vulnérabilités prioritaires dans votre page des résultats des vulnérabilités de sécurité cloud dans l’heure qui suit.

Utilisez ces tableaux pour décider par quelle solution commencer :

FonctionnalitéSans agentAgent unifié Datadog
Temps de déploiement dans votre infrastructureMinutesHeures à semaines
Priorisation des vulnérabilitésOuiOui, avec contexte d’exécution
Fréquence de scan des vulnérabilités12 heuresTemps réel
Portée de détection des vulnérabilitésSans agentAgent unifié Datadog
Hôte et image d’hôtePaquets OS et paquets d’application, mappés à l’imagePaquets OS
Image de conteneurPaquets OS et paquets d’application, mappés à l’imagePaquets OS
Fournisseur cloudAWS, Azure, GCPAWS, Azure, GCP, sur site, etc.
Système d’exploitationLinux, WindowsLinux, Windows
Sans serveurAWS Lambda, Amazon ECS Fargate, Azure Container Apps, Azure Container Instances, GCP Cloud Run (déploiement de conteneurs uniquement)Non applicable
Registres de conteneursAmazon ECR (en cours d’exécution + au repos), Google Artifact Registry (charges de travail en cours d’exécution uniquement), Azure Container Registry (images de conteneurs en cours d’exécution uniquement)Non applicable

Pour plus d’informations sur la compatibilité, consultez Compatibilité des hôtes et des conteneurs de vulnérabilités de sécurité cloud. Si vous avez besoin d’aide, consultez le guide de dépannage, ou contactez [email protected].

Détecter, prioriser et remédier en continu aux vulnérabilités exploitables

La page des résultats des vulnérabilités de sécurité cloud vous aide à enquêter sur les vulnérabilités détectées dans vos images de conteneurs, images d’hôtes, hôtes en cours d’exécution et fonctions sans serveur en utilisant des capacités de filtrage et de regroupement.

Concentrez-vous d’abord sur les vulnérabilités exploitables, en utilisant le score de gravité Datadog, combinant le score de base CVSS avec de nombreux facteurs de risque, y compris les données sensibles, la sensibilité de l’environnement, l’exposition aux attaques, la disponibilité des exploits ou les sources de renseignement sur les menaces.

Pour les vulnérabilités avec des correctifs disponibles, la page des résultats fournit des étapes de remédiation guidées pour aider les équipes Dev et Ops à résoudre les problèmes plus rapidement et efficacement. Vous pouvez également trier, mettre en sourdine, commenter et attribuer des vulnérabilités pour gérer leur cycle de vie.

La page des résultats des vulnérabilités de sécurité dans le cloud affichant une vulnérabilité et les actions qu'un utilisateur peut entreprendre pour y remédier.

Dans Images de conteneurs, vous pouvez retracer les vulnérabilités trouvées dans une image à des couches spécifiques, afin de pouvoir identifier et remédier plus rapidement à vos risques de sécurité.

Une liste de vulnérabilités associées à chaque couche d'une image.

Tracez les vulnérabilités de production jusqu’au code source

Lorsque Datadog détecte un CVE sur une image de conteneur en cours d’exécution, il peut lier le CVE directement au Dockerfile et à l’engagement qui a introduit le package vulnérable. Cela comble le fossé entre une alerte de production et le changement de code qui l’a causée, donnant aux développeurs le contexte dont ils ont besoin pour remédier à la source plutôt que de poursuivre les versions de packages à travers les registres.

Pour activer cette cartographie du code au cloud, ajoutez des annotations d’image OCI à vos images de conteneurs au moment de la construction. Datadog utilise ces annotations pour afficher un aperçu du Dockerfile dans le panneau des vulnérabilités des images de conteneurs et pour faire ressortir le dépôt exact, l’engagement et le chemin de fichier associés à la vulnérabilité.

Pour configurer le lien source, consultez Lier le Dockerfile aux vulnérabilités dans le guide de scan des images de conteneurs CI/CD.

Automatisation et intégration Jira

Intégrez les vulnérabilités de sécurité dans le cloud dans votre flux de travail quotidien en configurant règles de notification de sécurité et pipelines d’automatisation (en aperçu) :

  • Recevez une alerte lors de la détection d’une vulnérabilité exploitable pour votre périmètre.
  • Créez automatiquement des tickets Jira.
  • Configurez des SLA pour remédier aux vulnérabilités.
L'écran de configuration des règles de notification.

Suivi et reporting

Utilisez le tableau de bord Vulnérabilités de sécurité dans le cloud prêt à l’emploi pour suivre et rapporter les progrès aux parties prenantes. Clonez-le et modifiez-le selon vos besoins uniques.

Le tableau de bord des vulnérabilités de sécurité dans le cloud.

Explorez les packages d’infrastructure

Le Catalogue des packages d’infrastructure fournit un inventaire en temps réel de tous les packages sur les hôtes, les images d’hôtes et les images de conteneurs déployés dans votre infrastructure. Il offre une interface que vous pouvez utiliser pour examiner vos SBOMs, enrichie de contexte de vulnérabilité et d’exécution.

Évaluez rapidement l’impact d’une vulnérabilité critique émergente en recherchant les versions de paquets affectées et en identifiant toutes les ressources qui l’utilisent.

L'inventaire des paquets déployés dans l'infrastructure, intégrant le contexte de vulnérabilité et le pivot vers les ressources qui les utilisent.

Lectures complémentaires