ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

Orca Security はどのようにして SideScanning を実現しているのか?

フォージビジョン Orca Security のサービスサイト がオープンしました。

コーポレートサイトで活用事例を公開中!

こんにちは、フォージビジョン Orca Security 担当の尾谷です。

本ブログでは、Orca Security のユニークな機能の一つである SideScanning について解説したいと思います。

概要

Orca Security は対象にエージェントをインストールすることなくセキュリティリスクを検出できるため、現状のシステムに負荷をかけません。
このエージェントレス・スキャンは、SideScanning という技術によって、実現しています。

本ブログでは、特許も取得している画期的な SideScanning がどのような仕組みで動作するのかを解説します。

前提

SaaS 版の動きを解説しています。
お客様のアカウント内で SideScanning を行う In-Account 版は動きが異なります。

スキャンの流れ

  1. まず最初に、Orca バックエンドアカウントがお客様のアカウントの API を叩いて、どんなネットワークの設定になっているのか?どんなセキュリティの設定になっているのか?どんな IAM の設定になっているのか?などリソースのスキャンを開始します。(コントロール プレーン スキャンと呼びます。)
    これを行うため、お客様のアカウントでは IAM ポリシーを設定する必要があります。
  2. スキャンした情報は Orca バックエンドアカウントに保存されます。
    情報を吸い上げる際、TLS で暗号化された通信を行います。
  3. Orca バックエンド内のサービスアカウントにて、エフェメラルなサイドスキャナーという(VM)が作成されます。
    スキャナーは使い回しされずに、1 インスタンスにつき 1 つのスキャナーが作成されます。
  4. 対象アカウントのスナップショットが作成され、対象アカウントのスナップショットが、サービスアカウントにシェアされて渡されます。
  5. スナップショットがサービスアカウント内に作成されたスキャナーにマウントされて、スキャニングされます。
    公式ドキュメントには、スナップショットをマウントすると記載がされているのですが、おそらくスナップショットからボリュームを作成しているのだと想定しています。
    この挙動に関しては、In-Account 型にすると確認ができるようなので、別のブログで検証してみたいと思います。
  6. メタデータはバックエンドに送信され、SideScanner はセキュリティリスクや観察結果を検出して、Orca バックエンドの S3 バケットに送信されます。
    スキャニングが完了すると、インスタンスは終了します。暗号化に利用した秘密鍵も削除されるため、後日読み取るといったことはできません。

SideScanning に必要な費用に関して

SaaS 版では、スキャン対象のインスタンスと同じリージョンでエフェメラルスキャナーを起動するので、リージョン間、AZ 間転送の料金はかかりません。

以上です。