Contrôler les données de logs sensibles

Présentation

Étant donné que vos logs peuvent contenir des données sensibles, ils doivent être traités avec le plus grand soin. Si vous ingérez des données sensibles dans Datadog, gardez à l’esprit les deux points suivants :

  • Si vous avez intentionnellement configuré vos logs pour qu’ils comportent des données sensibles à des fins de dépannage et d’audit légitimes, utilisez le RBAC pour configurer les restrictions appropriées et faire ainsi en sorte que seuls les utilisateurs autorisés ayant accès à votre compte Datadog puissent accéder à ces données. Pour en savoir plus, consultez le guide d’utilisation du RBAC pour les logs pour découvrir comment le configurer pour votre organisation.
  • Si des données sensibles sont loguées de façon involontaire, traitez-les sans attendre pour éviter tout problème en aval. Continuez à lire cette page pour en savoir plus.

Il n’est pas toujours facile de contrôler l’ensemble de vos données, en particulier sur des plateformes vastes et collaboratives. Ce guide présente les différentes options pour découvrir et gérer les données sensibles qui sont ingérées dans Datadog.

Scanner de données sensibles

Le scanner de données sensibles est un service de détection d’expressions en temps réel que vous pouvez utiliser pour identifier, taguer et éventuellement censurer ou hacher des données sensibles. Cette fonctionnalité permet à vos équipes de conformité et de sécurité de mettre en place une ligne de défense contre les fuites de données sensibles en dehors de votre organisation. Le scanner de données sensibles est disponible dans vos paramètres d’organisation.

Si vous avez déjà indexé des logs qui contiennent des données sensibles, suivez les trois étapes ci-après :

  1. Déterminer le contexte des données envoyées
  2. Corriger la source de données en amont
  3. Traiter les données déjà envoyées à Datadog

Déterminer le contexte des données envoyées

Quelle est la requête de log utilisée pour définir les données sensibles ?

Définissez d’abord une requête correspondant aux données sensibles. Cette requête renverra alors tous les logs comportant des données sensibles.

Des requêtes comme version:x.y.z source:python status:debug peuvent par exemple répondre à cette exigence. Consultez la documentation sur la syntaxe de recherche de log si vous avez besoin d’utiliser des opérateurs avancés (wildcards, opérateurs booléens, etc.).

Ce guide utilise l’expression requête de recherche des données sensibles pour faire référence à cette requête.

Où se trouvent les données sensibles dans Datadog ?

Une fois que des données sensibles dans des logs ont été envoyées à votre plateforme Datadog, elles peuvent se trouver à plusieurs endroits. Vérifiez donc chacun des emplacements suivants (classés selon la probabilité, de la plus forte à la plus faible, qu’ils contiennent des données sensibles) :

  • Les index Datadog conservent vos logs jusqu’à ce qu’ils soient trop anciens, selon le paramètre de rétention des index. Vérifiez les index Datadog en premier : il est moins probable que les logs situés ailleurs présentent des problèmes de conformité. Examinez les filtres d’index et les filtres d’exclusion pour vérifier si des logs avec des données sensibles sont indexés.

  • Vérifiez vos archives de logs : c’est là que les logs sont envoyés par Datadog afin d’être stockés. Configurez des filtres d’archives pour vérifier si votre archive contient des logs sensibles.

  • Vérifiez également les métriques générées à partir de logs qui stockent des métriques agrégées. Les données sensibles ont probablement été filtrées. Passez en revue les filtres de métriques custom pour vérifier si des logs avec des données sensibles ont été traités.

  • Les notifications des log monitors peuvent inclure des exemples de log. Vérifiez notamment les monitors qui se sont déclenchés pendant la période d’envoi de données sensibles.

  • Les flux Livetail permettent aux utilisateurs de votre organisation de visualiser en temps réel les logs. Il n’y a aucune persistance au-delà des 50 logs mis en cache dans les navigateurs, et pour les requêtes plus vastes, les résultats peuvent présenter un niveau d’échantillonnage très élevé.

Corriger la source de données en amont

Censurer les données sensibles lors de streaming de logs à l’aide du scanner de données sensibles

Utilisez des règles prêtes à l’emploi ou personnalisées pour identifier et censurer les autres types de données sensibles qui continuent d’arriver dans vos logs.

Arrêter l’indexation de logs sensibles

Si vous n’utilisez pas le scanner de données sensibles, déterminez si vous souhaitez empêcher tous les nouveaux logs contenant des données sensibles d’être indexés. Vous devrez dans tous les cas traiter les logs contenant des données sensibles déjà indexés dans Datadog.

  • Recherchez les index qui contiennent des logs avec des données sensibles.
  • Pour chaque index, ajoutez un filtre d’exclusion en fonction de la requête de recherche des données sensibles.
Filtres d'exclusion des données sensibles

Arrêter d’envoyer des données sensibles à Datadog

Si certains types de données sensibles ne doivent pas quitter votre environnement et sont ingérées dans Datadog, ajoutez des règles de nettoyage au niveau de la collection source.

Si vous pouvez modifier directement les loggers, Datadog propose des solutions pour empêcher l’envoi de données sensibles en dehors de votre plateforme lorsque vous utilisez l’Agent Datadog pour la collecte de logs :

Des fonctionnalités de nettoyage des données similaires sont disponibles pour le Forwarder sans serveur.

Traiter les données déjà envoyées et indexées dans Datadog

Effectuez les étapes suivantes conformément à vos exigences de conformité. Veuillez noter que vous n’aurez peut-être pas à effectuer toutes ces étapes.

Faire en sorte que les logs sensibles ne puissent pas être interrogés dans Datadog (jusqu’à ce qu’ils soient trop anciens)

Grâce à cette étape, les logs comportant des données sensibles, aussi bien ceux qui ont déjà été envoyés que ceux susceptibles d’être envoyés plus tard, ne peuvent pas faire l’objet d’une requête dans Datadog (Log Explorer, dashboards et Livetail).

Accédez à la page de configuration de l’accès aux données et utilisez une requête de recherche de données sensibles pour définir une restriction qui s’applique à tous les membres de votre organisation. Il peut s’agir par exemple de la requête utilisée ci-dessus : version:x.y.z source:python status:debug.

Remarque : si vous utilisez l’opérateur NOT dans la requête de recherche des données sensibles, les utilisateurs n’auront plus accès qu’aux logs correspondants.

Accès à des données sensibles

Modifier vos archives

Si vous devez modifier vos archives afin de supprimer des données sensibles, consultez la documentation sur le format des archives générées par Datadog.

Assistance

Si vous avez des questions concernant la conformité des logs ou si vous avez besoin d’aide, n’hésitez pas à contacter l’équipe d’assistance Datadog. Assurez-vous au préalable d’avoir à disposition les informations suivantes :

  • La requête de recherche des données sensibles ou tout élément pouvant être utilisé pour définir les données sensibles, comme un intervalle, un service ou un environnement.
  • Si vous utilisez le scanner de données sensibles ou non.
  • Si des données sensibles sont encore envoyées à Datadog.
  • Si des données sensibles ont été indexées (et dans quels index) ou transformées en métriques.
  • Si vous avez déjà fait en sorte que les données sensibles ne puissent plus faire l’objet d’une requête.

Pour aller plus loin

PREVIEWING: may/unit-testing