Prisma Cloud Compute:カスタムネットワークリソース(カスタムサブネットIDとセキュリティグループ)を使用したAzureでのエージェントレススキャン
7481
Created On 11/13/23 08:21 AM - Last Modified 12/19/23 05:19 AM
Objective
- この記事では、カスタム ネットワーク リソース (カスタム サブネット ID とセキュリティ グループ) を使用した Azure でのエージェントレス スキャンと、必要なアクセス許可について説明します。
Environment
- プリズマ クラウド コンピューティング エディション
- Saas
- セルフホスト
- Azure
Procedure
Prisma 内で Azure のエージェントレス スキャンを構成する場合、特定のサブネットまたはセキュリティ グループ (SG) をスキャン プロセスに指定できます。 スキャナは、指定されたサブネット/SGの構成設定を採用します。 ただし、「prismacloud-scan-XXXXXXXXXXX」という名前のリソースによって識別されます。
構成プロセス:
- Azure 環境では、指定されたカスタム ネットワーク リソースは、エージェントレス スキャンには直接使用されません。
- これは、サブネット/セキュリティ グループに対して 1 つの識別子のみをサポートするという現在の制限によるもので、Azure では、同じリソース グループ内で同じサブネット/セキュリティ グループ名を持つことが禁止されています。
- したがって、指定されたサブネット/セキュリティグループがすべてのリージョンに存在すると想定することはできません。
- これに対処するために、ネットワークリソースは、Prisma Agentlessリソースグループの下に提供されたリソースと同じ構成で作成され、「prismacloud-scan-XXXXXXXXXX」として識別されます。
ネットワークリソースの作成:
- Prismaは、Prisma UIを介してカスタムネットワーク構成を選択した場合でも、新しいサブネットとセキュリティグループを作成するイニシアチブを取ります。
- このアプローチにより、一貫性と目的の構成への準拠が保証されます。
- 新しく作成されたネットワーク リソースは、Prisma Cloud Agentless識別子「prismacloud-scan-XXXXXXXXXX」で提供されたリソースをミラーリングします。
権限の要件:
- Prisma UI を使用してカスタム ネットワーク リソースを選択する場合でも、カスタム ネットワーク リソースを使用して Azure でエージェントレス スキャンを正常に実行するには、Azure エージェントレスのアクセス許可に関するドキュメントに記載されている必須ではないアクセス許可が引き続き必要であることに注意することが重要です。
|
アクセス 許可
|
目的
|
| Microsoft.Network/networkInterfaces/write (英語) | スキャナインスタンスのネットワークインタフェースを作成する |
| Microsoft.Network/networkInterfaces/delete (英語) | スキャナインスタンスのネットワークインタフェースの削除 |
| マイクロソフトネットワーク/networkSecurityGroups/書き込み | スキャナーインスタンスセキュリティグループの作成 |
| Microsoft.Network/networkSecurityGroups/delete | スキャナーインスタンスセキュリティグループを削除する |
| Microsoft.Network/virtualNetworks/write (英語) | スキャナー・インスタンス・ネットワークの作成 |
| Microsoft.Network/virtualNetworks/delete | スキャナインスタンスネットワークの削除 |
Additional Information
カスタム セキュリティ グループとサブネット ID を使用した Azure エージェントレス スキャンの例を次に示
します。
- Azure のカスタム セキュリティ グループとサブネット ID を使用した Azure エージェントレス スキャンのプロセスを説明するために、PCCAgentlessScanResourceGroup でカスタム セキュリティ グループとサブネット ID を使用します。 これは、Prisma Agentlessスキャンのデフォルトのリソースグループです。 実際のシナリオでは、お客様は異なるリソースグループにカスタムセキュリティグループとサブネットIDを持っている可能性があることに注意してください。
- エージェントレスに使用する Azure サブネット ID:
- エージェントレスに使用される Azure セキュリティ グループは次のとおりです。
Prisma構成:
- Prisma で Azure Agentless スキャンを構成し、指定されたサブネット ID とセキュリティ グループを使用して、"ネットワーク リソース" セクションで構成します。
- スキャンモード:
- 同じアカウント: すべてのアカウントにネットワーク インフラストラクチャが必要です。 カスタムネットワークリソースを使用する場合は、すべてのアカウントのすべてのリージョンにネットワークインフラストラクチャを作成する必要があります
- ハブ アカウント : ネットワーク インフラストラクチャは、ハブ アカウントでのみ必要です。 カスタム ネットワーク リソースを使用する場合は、ハブ アカウントのすべてのリージョンにネットワーク インフラストラクチャを作成するだけで済みます。
エージェントレス検索の実行:
- エージェントレス スキャンが開始されると、Prismaは「PCCAgentlessScanResourceGroup」という名前のリソース グループの下にすべてのリソースを作成します
- この Azure リソース グループを監視すると、Azure 上のエージェントレス用に作成されたすべてのリソースと、それぞれの状態が明らかになります。
- Prisma は、Azure でカスタム リソースを作成しているにもかかわらず、エージェントレス スキャンの Prisma UI で構成されているように、既存のリソースを直接利用するのではなく、ネットワーク セキュリティ グループと仮想ネットワーク用の新しいリソースを生成します。 ただし、「prismacloud-scan-XXXXXXXXXXX」という名前で作成されたリソースは、構成されたカスタムサブネット/SGの設定を使用して構成を確立します。
Prisma Agentlessで作成されたリソース:
- 仮想ネットワーク (prismacloud-scan-XXXXXXXXXXX) の構成は、サブネット 10.0.0.0/24 のカスタム仮想ネットワークと同じです。
- カスタム サブネット ID のサブネット 10.0.0.0/24 は、スキャンのために Prisma Agentless リソースで使用されます。
- エージェントレス用に作成されたネットワーク・セキュリティ・グループの構成は、カスタム・セキュリティ・グループと同じです。