Te ofrecemos esta traducción automática para facilitar la lectura.
En caso de que haya discrepancias entre la versión en inglés y la versión traducida, se entiende que prevalece la versión en inglés. Visita esta página para obtener más información.
El agente de infraestructura de New Relic se ejecuta en sus hosts y proporciona datos completos, especialmente cuando se ejecuta con privilegios de administrador. Lo que sigue es una descripción general de la seguridad de nuestro agente de infraestructura y algunas recomendaciones.
Comunicación segura con el agente
Cada pieza de información intercambiada entre sus hosts y el agente de infraestructura se entrega de forma segura. Toda la comunicación del agente se produce a través de HTTPS, utilizando Transport Layer Security (TLS). Para garantizar una comunicación segura, el agente de infraestructura fue diseñado con las siguientes medidas de protección:
Toda comunicación se establece directamente del agente al servicio.
El agente no requiere que se abra ningún puerto de entrada.
El agente es de sólo lectura y no puede realizar cambios en su sistema.
New Relic está comprometido con la seguridad de sus datos. Todos los datos obtenidos mientras se ejecuta el agente de infraestructura están protegidos y se utilizan únicamente para devolverle información relacionada con su infraestructura.
Linux
Puede ejecutar el agente de infraestructura Linux en tres modos diferentes:
Cuando el agente se ejecuta como usuario root tiene acceso total a toda la métrica e inventario del sistema.
El agente ejecuta un usuario sin privilegios, denominado nri-agent, al que se le otorgan capacidades extendidas del kernel durante el proceso de instalación. Por lo tanto, el usuario privilegiado nri-agent puede recopilar algunas métricas y la mayor parte del inventario. Estos permisos son de sólo lectura.
El script de instalación en modo privilegiado realizará los siguientes cambios en su sistema:
Cree el usuario y grupo nri-agent .
Establezca el usuario y grupo nri-agent como propietarios de los siguientes directorios:
CAP_SYS_PTRACE, que permite inspeccionar y rastrear procesos arbitrarios
CAP_DAC_READ_SEARCH, para evitar la lectura de archivos y directorios y ejecutar verificações de permisos
El agente se ejecuta con un usuario sin privilegios, nri-agent, que se crea automáticamente durante el proceso de actualización/instalación, y no tendrá acceso de lectura a todas las métricas del sistema. Esto proporciona visibilidad de entornos con políticas regulatorias o de seguridad muy estrictas. No se otorgan permisos ni acceso especiales al usuario en este modo de ejecución.
El script de instalación en modo sin privilegios realizará los siguientes cambios en su sistema:
Cree el usuario y grupo nri-agent .
Establezca nri-agent y el grupo como propietarios de los siguientes archivos y carpetas del sistema:
En sistemas Windows, el agente debe ejecutarse con permisos de administrador.
Fuentes de recopilación de datos
El agente de infraestructura recopila métricas, eventos y datos de inventario de una variedad de fuentes del sistema operativo. Si bien algunas de estas fuentes se pueden leer desde una cuenta sin privilegios, otras requieren privilegios elevados.
Para las versiones actuales del agente, New Relic requiere que se ejecute como usuario root (en Linux) o con acceso completo de administrador (Windows). Aquí hay detalles adicionales sobre cómo el agente de infraestructura accede a los directorios predeterminados y qué paquetes y comandos utiliza.
A menos que se indique lo contrario, esta información se aplica a cualquier sistema operativo Linux.
Directorio o archivo
Objetivo
Sistema operativo Linux
/etc/newrelic-infra.yml
Archivo de configuración predeterminado
Cualquier
/usr/bin/newrelic-infra-service
Ubicación predeterminada de instalación binaria del contenedor de servicios del agente
Cualquier
/usr/bin/newrelic-infra
Ubicación predeterminada de instalación binaria del agente
Cualquier
/usr/bin/newrelic-infra-ctl
Ubicación binaria de control del agente CLI predeterminada
Cualquier
/var/db/newrelic-infra/
Caché de inventario predeterminado y binarios de complementos
Cualquier
/var/run/newrelic-infra.pid
Archivo pid predeterminado
Cualquier
stdout, stderr, logs
Dependiendo de la configuración, el agente escribe el registro en stdout, que puede conectarse al servicio de registro de su sistema.
Cualquier
Algunas fuentes de datos son específicas de un sistema operativo en particular. A menos que se indique lo contrario, New Relic utiliza la fuente en todas las variaciones de un sistema operativo cuando se detecta el software relacionado. Muchas de las herramientas se encuentran en un camino accesible para el agente. Si no se indica lo contrario, el agente de infraestructura normalmente los busca en /usr/bin, /bin o /sbin.
New Relic utiliza algunas herramientas o fuentes de datos para recopilar información para múltiples características de infraestructura. A continuación se muestran algunos casos de uso principales. A menos que se indique lo contrario, New Relic utiliza esta información principalmente para la páginaInventory.
Varios complementos recopilan detalles de todo el sistema a través de este directorio. Usado para infraestructura Inventory y métrica.
/proc/
Cualquier
Varios complementos recopilan sysctl configuraciones a través de este directorio. Utilizado para infraestructura Inventory y métrica.
/sys/
Cualquier
Varios complementos (sshd_config, hostinfo) leen configuraciones específicas en este directorio. Utilizado para infraestructura Inventory y métrica.
/etc/
Cualquier
Apoderados
New Relic incluye configuraciones opcionales para que pueda configurar el agente para que se comunique a través de un proxy. Para definir la configuración del proxy, consulte la documentación de configuración para el monitoreo de infraestructura.
Conexiones de agentes externos
El agente envía periódicamente datos en formato JSON que describen la calculadora métrica, el evento y la configuración de su inventario al extremo de infraestructura de New Relic. Estas comunicaciones están asociadas con el agente utilizando el generado para su cuenta. Una vez que New Relic reciba datos de cualquier agente externo, mostrará los nuevos datos de métrica, evento o configuración en la UI de monitoreo de infraestructura.
Comandos de agentes externos
El agente maneja dos fuentes diferentes de comandos, newrelic-infra-ctl y command-API:
Los comandos CLI enviados con newrelic-infra-ctl se envían al agente con señalización de Linux o docker o con canalizaciones con nombres de Windows.
Utilizando la plataforma command-API extremo de New Relic, el agente sondea los comandos proporcionados por la plataforma cada 60 segundos. La conexión siempre está abierta desde el agente hacia la plataforma de comando-extremos de API de New Relic, nunca al revés. El extremo command-API se utiliza únicamente para forzar la habilitación o deshabilitación del registro dinámico de la entidad. También aplica para la integración Docker que viene con el agente de infraestructura versión 1.9.0 o superior.
Entregables
El agente de infraestructura y toda la integración en el host que se ejecuta sobre él se proporcionan utilizando paquetes y repositorios de sistema operativo estándar. New Relic firma criptográficamente todos los paquetes y los pasos de verificación se proporcionan de forma predeterminada en el script de instalación.
Todo el código se verifica en busca de vulnerabilidades de dependencia a través de herramientas de seguridad estándar (Snyk, Dependabot, Trivy).
El sitio de descargas oficial de New Relic está alojado en AWS a través de S3 y cuenta con Fastly, nuestro proveedor de CDN de confianza.