デフォルトの APM エージェント設定は、高レベルのセキュリティを提供します。ただし、デフォルトの APM エージェント設定がより寛容になるようにオーバーライドされた場合でも、APM エージェントによって機密データが New Relic に報告されないことを保証する必要がある場合があります。この場合は、APM 高セキュリティ モード (エンタープライズ セキュリティ モードとも呼ばれます) をオンにする必要があります。
デフォルトのセキュリティ対策の詳細については、 セキュリティとプライバシーに関するドキュメントを参照するか、 New Relic セキュリティ Web サイトにアクセスしてください。
要件
高セキュリティ モードには Enterprise エディションが必要です。
高セキュリティ モードは、組織ごとの設定ではなく、アカウントごとの設定です。つまり、 組織に複数のアカウントが含まれている場合は、アカウントごとにこのモードを有効にする必要があります。
この機能へのアクセスについて質問がありますか?New Relic のアカウント担当者にご相談ください。
バージョン
ハイセキュリティモードには 2 つのバージョンがあります。バージョン 1 は非推奨となっており、すでに所有している場合にのみ使用できます。初めて高セキュリティ モードを有効にする場合、唯一のオプションはバージョン 2 (v2) です。バージョン 2 のエージェント サポートの詳細については、 「 バージョン サポート 」を参照してください。
ハイセキュリティモードの有効化(バージョン2)
高いセキュリティを有効にするには、サーバーのローカル構成 と、UIのリモート構成 の両方を更新する必要があります。
これを行う前に、次の点に注意してください。
- アカウントに対してハイセキュリティを有効にすると、 ハイセキュリティは、 New Relic Support からの支援なしに をオフにすることはできません。
- これは アカウントごとの設定です。つまり、高セキュリティ モードを付与するアカウントごとに設定する必要があります。
設定場所 | 説明 |
|---|---|
UIでの設定 |
|
ローカル、エージェント経由 | エージェント設定ファイルでハイセキュリティモードを有効にします。ハイセキュリティモードはデフォルトでは無効になっており、有効にするための正確な手順はエージェントによって異なります。 |
ハイセキュリティモードを有効にした場合の結果(バージョン2)
ハイセキュリティモード(v2)を有効にすると、お客様のアカウントに以下のことが保証されます。
機能 | コメントコメント |
|---|---|
エージェントが安全な接続(HTTPS)を使用する必要があります。 | 高セキュリティモードでは、セキュア(HTTPS)な接続が必要です。セキュアでない接続の試みは拒否されます。すべての New Relic エージェントの最新バージョンは、HTTPS をサポートしています。構成が適切に設定されていない場合、エージェントはプロパティを上書きして、最新の業界標準に従って転送されるすべてのデータを確保します。 |
HTTP paramのキャプチャを防ぐ | ハイセキュリティモードでは、機密性の高い顧客データが含まれている可能性のある HTTP パラムを New Relic コレクターに送信することができません。エージェントがローカルまたは サーバーサイドの設定 を通じて HTTP パラメータを送信するように設定されている場合、ハイセキュリティモードはその設定を上書きして HTTP パラメータをキャプチャしないようにします。 |
メッセージキューのパラメータ取得を防ぐ | 高セキュリティモードでは、機密性の高い顧客データを含む可能性のあるメッセージキューパラムをNew Relicコレクターに送信することはできません。エージェントがローカルまたは サーバーサイドの設定 を通じてメッセージキューパラムを送信するように設定されている場合、ハイセキュリティモードはメッセージキューパラムをキャプチャしないように設定を上書きします。 |
生のクエリ文の取り込みを防ぐ | 高セキュリティモードでは、機密性の高い顧客データを含む可能性のある生のデータベースクエリ文をキャプチャすることはできません。エージェントがローカルで、または サーバー側の設定 を通じて生のクエリをキャプチャするように設定されている場合、高セキュリティモードは生のクエリをキャプチャしないように設定された内容を上書きします。 |
ユーザーの属性取得を防ぐ | 高セキュリティモードでは、各エージェントのAPIを使って設定された属性を取得することができません。 たとえば、Javaエージェントでは、次の |
| 高セキュリティモードでは、各エージェントの たとえば、Javaエージェントでは、次の |
カスタムイベントを防ぐ | 高セキュリティモードでは、エージェントAPIを使用してカスタムイベントを作成することができません。これらのイベントには機密性の高い顧客データが含まれている可能性があるからです。 たとえば、.NETエージェントでは、API呼び出し |
エージェント内のログイベントの転送を防止します | 高セキュリティモードでは、ログメッセージに顧客の機密データが含まれている可能性があるため、 |
高セキュリティモードでは、 Custom Instrumentation Editor を使用している場合、カスタムインスツルメンテーションを展開することはできません。高セキュリティモードが有効になっている場合は、 インストルメンテーションをエクスポートして アプリサーバに手動でインポートする必要があります。 |
バージョン2対応
高セキュリティ モード バージョン 2 をサポートするエージェント バージョンの詳細は次のとおりです。
ハイセキュリティモードv1の有効化の結果(非推奨)
ハイセキュリティモードのバージョン1は非推奨で、バージョン2が利用可能になる前に有効にした場合のみ利用可能です。ハイセキュリティモードのバージョン1では、お客様のアカウントで以下のことが保証されます。
機能 | コメントコメント |
|---|---|
エージェントが安全な接続(HTTPS)を使用する必要があります。 | 高セキュリティモードでは、暗号化された接続(HTTPS)が必要です。セキュアでない接続の試みは拒否されます。すべての New Relic エージェントの最新バージョンは、HTTPS をサポートしています。構成が適切に設定されていない場合、エージェントはプロパティを上書きして、転送中のすべてのデータが最新の業界標準に従って暗号化されるようにします。 |
HTTP paramのキャプチャを防ぐ | 機密性の高い顧客データを含む可能性のある HTTP パラメータをキャプチャするように設定されたエージェントは、New Relic への接続ができません。ローカル設定でリクエストパラメーターをキャプチャするように設定されている場合、New Relic のコレクターは接続を拒否し、エージェントはシャットダウンします。 |
生のクエリ文の取り込みを防ぐ | 機密性の高い顧客データを含む可能性のある生のデータベースクエリ文をキャプチャするように設定されたエージェントは、New Relic への接続ができません。エージェントがローカルで、または サーバーサイドの設定 で生のクエリをキャプチャするように設定されている場合、New Relic のコレクターは接続を拒否し、エージェントはシャットダウンします。 |
高セキュリティモードでは、 Custom Instrumentation Editor を使用している場合、カスタムインスツルメンテーションを展開することはできません。高セキュリティモードが有効になっている場合は、 インストルメンテーションをエクスポートして アプリサーバに手動でインポートする必要があります。 |
バージョン1からバージョン2への移行
以上が、2つのバージョンのハイ・セキュリティの主な違いです。
- ハイセキュリティをさらに安全にするためには、New Relic のユーザーインターフェイス およびローカルの New Relic 設定ファイル でハイセキュリティを有効にする必要があります。ハイセキュリティv1では、New Relic UIでハイセキュリティを設定するだけでした。
- ユーザー属性、
noticeError属性、およびメッセージキューパラメータは、バージョン2では高いセキュリティでオフになっていますが、バージョン1ではオフになっています。
v1からv2に更新するには、ローカルエージェント構成ファイルにhigh_security: trueを追加します。