こんにちは、フォージビジョン Orca Security 担当の尾谷です。
本ブログでは、Orca Security のユニークな機能の一つである SideScanning について解説したいと思います。
概要
Orca Security は対象にエージェントをインストールすることなくセキュリティリスクを検出できるため、現状のシステムに負荷をかけません。
このエージェントレス・スキャンは、SideScanning という技術によって、実現しています。
本ブログでは、特許も取得している画期的な SideScanning がどのような仕組みで動作するのかを解説します。
前提
SaaS 版の動きを解説しています。
お客様のアカウント内で SideScanning を行う In-Account 版は動きが異なります。
スキャンの流れ
- まず最初に、Orca バックエンドアカウントがお客様のアカウントの API を叩いて、どんなネットワークの設定になっているのか?どんなセキュリティの設定になっているのか?どんな IAM の設定になっているのか?などリソースのスキャンを開始します。
これを行うため、お客様のアカウントでは IAM ポリシーを設定する必要があります。
- スキャンした情報は Orca バックエンドアカウントに保存されます。
情報を吸い上げる際、TLS で暗号化された通信を行います。
- Orca バックエンド内のサービスアカウントにて、エフェメラルなサイドスキャナーという(VM)が作成されます。
スキャナーは使い回しされずに、1 インスタンスにつき 1 つのスキャナーが作成されます。
- 対象アカウントのスナップショットが作成され、対象アカウントのスナップショットが、サービスアカウントにシェアされて渡されます。
- スナップショットがサービスアカウント内に作成されたスキャナーにマウントされて、スキャニングされます。
公式ドキュメントには、スナップショットをマウントすると記載がされているのですが、おそらくスナップショットからボリュームを作成しているのだと想定しています。
この挙動に関しては、In-Account 型にすると確認ができるようなので、別のブログで検証してみたいと思います。
- メタデータはバックエンドに送信され、SideScanner はセキュリティリスクや観察結果を検出して、Orca バックエンドの S3 バケットに送信されます。
スキャニングが完了すると、インスタンスは終了します。暗号化に利用した秘密鍵も削除されるため、後日読み取るといったことはできません。
SideScanning に必要な費用に関して
SaaS 版では、スキャン対象のインスタンスと同じリージョンでエフェメラルスキャナーを起動するので、リージョン間、AZ 間転送の料金はかかりません。
以上です。