Si vas a hacer el uso previsto de Datadog, tendrás que enviar datos a Datadog. Datadog te ayuda a reducir los riesgos asociados a los datos y te proporciona herramientas para limitar adecuadamente los datos que envías y protegerlos durante la transmisión y una vez que esta finaliza.

Es posible que también quieras consultar la información disponible en la sección de seguridad de Datadog y los términos de nuestra Política de privacidad.

Así llegan tus datos a Datadog

Tus datos pueden llegar a Datadog de diversas maneras; por ejemplo, desde el Agent, DogStatsD, la API pública y las integraciones. Además, los SDK de Real User Monitoring (RUM) y las bibliotecas de rastreo generan datos basados en el código de tus aplicaciones y servicios, y los envían a Datadog.

Los datos que se transmiten a través de las herramientas proporcionadas por Datadog se protegen mediante los protocolos TLS y HSTS. Los datos almacenados por Datadog se protegen mediante cifrado, controles de acceso y sistemas de autenticación. Para más detalles, consulta la sección de seguridad de Datadog.

El Datadog Agent

El Agent representa el principal canal de transmisión de los datos desde tus sistemas a Datadog. Consulta todo lo que debes saber sobre las medidas de seguridad que aplica el Agent para proteger tus datos.

Para saber cómo evitar que se almacenen secretos en texto sin formato en los archivos de configuración del Agent, consulta Gestión de secretos.

Integraciones con servicios de terceros

Las integraciones con algunos servicios de terceros se configuran directamente en Datadog, y es posible que tengas que introducir tus credenciales para que Datadog se conecte a dicho servicio. Datadog cifra esas credenciales y las guarda en un almacén seguro.

Todos los datos que pasan por estas integraciones se cifran cuando están en reposo en los sistemas de Datadog y cuando se están transmitiendo. El acceso al almacén de credenciales seguro está controlado y se somete a auditorías, y los servicios o las acciones en los servicios de terceros se limitan exclusivamente a lo necesario. Existen herramientas de detección de comportamientos anómalos que están activas todo el tiempo para evitar accesos no autorizados. La autorización de acceso para realizar tareas de mantenimiento se limita a un grupo reducido de ingenieros de Datadog.

Integraciones con soluciones en la nube

Las integraciones con proveedores de soluciones en la nube son de carácter confidencial. Por tanto, siempre que es posible, se aplican medidas de seguridad adicionales, como utilizar credenciales específicas de Datadog con permisos limitados. Por ejemplo:

• Para la integración con Amazon Web Services (AWS), debes configurar la delegación de roles en AWS IAM, tal y como se indica en las prácticas recomendadas de seguridad en AWS IAM, y conceder ciertos permisos mediante una política de AWS.
• Para la integración con Microsoft Azure, tienes que definir un inquilino para Datadog que tenga acceso a una aplicación específica sólo con el rol de “lector” en las suscripciones que quieres monitorizar.
• Para la integración con Google Cloud Platform, debes asignar una cuenta de servicio a Datadog y concederle sólo los roles de “Visualizador de cálculos” y “Visualizador de monitorización”.

Medidas para atenuar los riesgos que amenazan los datos

El fin de Datadog es recopilar información de observabilidad de varias fuentes de tu infraestructura y tus servicios en un único lugar para que puedas analizarla e investigar. Para ello, es necesario que envíes una amplia variedad de datos a los servidores de Datadog. La mayoría de los datos recopilados para el funcionamiento previsto de los productos de Datadog, en la inmensa mayoría de los casos, no contienen información privada ni personal. Si se diera el caso de que los datos contuvieran información privada y personal innecesaria, para que puedas actuar, te proporcionamos instrucciones, herramientas y recomendaciones de cara a impedir o atenuar la inclusión de información privada o personal en los datos que compartes con Datadog, y enmascararla.

Sensitive Data Scanner

Sensitive Data Scanner es un servicio de flujos (streams) que hace comparaciones con patrones establecidos para detectar, etiquetar y, si se quiere, limpiar o codificar mediante hash datos confidenciales. Al implementarlo, los equipos de seguridad y de cumplimiento de tu organización pueden añadir una línea de defensa para impedir que los datos confidenciales salgan de la organización. Para obtener información sobre esta herramienta de análisis y su configuración, consulta Sensitive Data Scanner.

Gestión de logs

Los logs son los registros que producen tus sistemas y servicios, así como también las actividades derivadas de ellos. Para obtener información sobre cómo proteger los datos de los logs, por ejemplo, cómo filtrarlos y enmascararlos, consulta Seguridad de los datos en Log Management.

Y si quieres información más detallada, puedes consultar la guía Controlar los datos confidenciales de los logs y el artículo sobre la configuración avanzada de Agent para recopilar logs.

Para reducir los riesgos que amenazan la seguridad de los datos en los logs, es fundamental controlar los accesos. Descubre cómo configurar RBAC en los logs y cómo funcionan los permisos de RBAC en Datadog.

Live Processes y contenedores

Para que no se filtren datos confidenciales cuando estás monitorizando procesos activos y contenedores activos, Datadog te ofrece la función predeterminada de limpieza de contraseñas confidenciales en argumentos de procesos y charts de Helm. Puedes enmascarar más secuencias confidenciales en comandos o argumentos de procesos con el parámetro custom_sensitive_words y añadirlas a la lista de palabras para limpiar en contenedores con la variable de entorno DD_ORCHESTRATOR_EXPLORER_CUSTOM_SENSITIVE_WORDS.

APM y otros productos de bibliotecas de rastreo

Las bibliotecas de rastreo de Datadog sirven para instrumentar aplicaciones, servicios, tests y pipelines, y enviar datos de funcionamiento a Datadog a través del Agent. Se generan datos de trazas y tramos (spans), entre muchos otros, para que puedan utilizarlos los siguientes productos:

• Monitorización del rendimiento de la aplicación (APM)
• Continuous Profiler
• CI Visibility
• App and API Protection

Para obtener información detallada sobre cómo se gestionan los datos que proceden de bibliotecas de rastreo, sobre las configuraciones de seguridad básicas y sobre las operaciones predeterminadas de enmascaramiento, limpieza, exclusión y modificación de elementos relacionados con trazas, consulta la configuración del Agent y el rastreador para proteger los datos de trazas.

Rastreo distribuido sin servidor

Con Datadog, puedes recopilar y visualizar las cargas útiles de solicitudes y respuestas JSON de las funciones de AWS Lambda. Para que no se envíen a Datadog los datos confidenciales que puedan incluirse en objetos JSON de solicitud y respuesta (como el ID de cuenta y las direcciones), tienes la posibilidad de limpiar determinados parámetros. Para obtener más detalles, consulta cómo enmascarar contenido de las cargas útiles de AWS Lambda.

Monitorización Synthetic

Los tests Synthetic simulan solicitudes y transacciones comerciales en localizaciones de tests de todo el mundo. En el artículo Seguridad de los datos en la monitorización Synthetic encontrarás todo lo que debes tener en cuenta para cifrar configuraciones, recursos, resultados y credenciales, y para aprender a utilizar las opciones de privacidad de los tests.

RUM y Session Replay

Puedes modificar los datos que recopila Real User Monitoring (RUM) del navegador para no proporcionar información de identificación personal y para muestrear los datos de RUM que se están recopilando. Para obtener más información, consulta el artículo Modificar los datos y el contexto de RUM.

De manera predeterminada, Session Replay protege la privacidad de los usuarios finales e impide la recopilación de datos confidenciales de las organizaciones. Para obtener más información sobre cómo se enmascaran, sustituyen y ocultan elementos en las reproducciones de sesiones, consulta Opciones de privacidad de Session Replay.

Monitorización de bases de datos

El Agent para la monitorización de bases de datos enmascara todos los parámetros ligados a consultas que se envían a Datadog. Por lo tanto, ni las contraseñas, ni la información de identificación personal (PII) ni cualquier otro dato potencialmente confidencial que tengas en tu base de datos aparecerán en las métricas de consultas, en las muestras de consultas o en los explain plans Para obtener información sobre cómo atenuar los riesgos que amenazan otros datos que se utilizan para monitorizar el funcionamiento de la base de datos, consulta Datos recopilados para la monitorización de bases de datos.

Otras fuentes de datos que pueden considerarse confidenciales

Además de los datos confidenciales que se pueden limpiar, enmascarar y excluir de la recopilación automáticamente, mucha de la información que recopila Datadog son nombres y descripciones de elementos. Te recomendamos que no incluyas información privada ni personal en los textos que envías. Piensa que al hacer el uso previsto de Datadog, envías los siguientes datos de texto (la lista no es exhaustiva):

Metadatos y etiquetas (tags)

Los metadatos son, principalmente, etiquetas con el formato key:value, por ejemplo, env:prod. Datadog los utiliza para filtrar y agrupar datos con el fin de ayudarte a darle sentido a la información.

Dashboards, notebooks, alertas, monitores, incidencias y objetivos de nivel de servicio (SLOs)

Los textos descriptivos, los títulos y los nombres que asignas a lo que creas en Datadog son datos.

Métricas

Las métricas (incluidas las métricas de infraestructura y las métricas provenientes de las integraciones) y los demás datos consumidos (como logs, trazas, RUM y tests Synthetic) son cronologías que sirven para rellenar gráficos. Suelen tener etiquetas asociadas.

Datos de APM

Entre los datos de APM se incluyen servicios, recursos, perfiles, trazas y tramos, además de sus etiquetas asociadas. Consulta el glosario de APM para ver una explicación de cada uno.

Firmas de consultas de la base de datos

Entre los datos de monitorización de la base de datos se incluyen las métricas y las muestras (junto con sus etiquetas asociadas) que recopila el Agent y se utilizan para controlar cómo han funcionado las consultas normalizadas en el pasado. El nivel de detalle de estos datos viene determinado por la firma de la consulta normalizada correspondiente y el identificador de host único. Todos los parámetros de las consultas quedan enmascarados y se descartan de las muestras recopiladas antes de enviarse a Datadog.

Información de procesos

Los procesos constan de métricas y datos del sistema de archivos proc, que actúa como interfaz de entrada a las estructuras de datos internas del kernel. Los datos de procesos pueden incluir el comando (incluidos sus argumentos y su ruta), el nombre de usuario asociado, el ID del proceso y su elemento principal, el estado del proceso y el directorio de trabajo. Estos datos suelen tener asociados metadatos de etiqueta.

Eventos y comentarios

Los datos de eventos provienen de varias fuentes y se agregan en una vista unificada, que muestra los monitores activados, los eventos enviados por integraciones, los eventos enviados por la propia aplicación y los comentarios enviados por los usuarios o a través de la API. Los eventos y los comentarios suelen tener asociados metadatos de etiqueta.

Pipelines y tests de integración continua

Tanto los nombres de las ramas como los pipelines, los tests y los conjuntos de tests son datos que se envían a Datadog.

Para leer más

Más enlaces, artículos y documentación útiles:

Seguridad de los datos en los logsDOCUMENTACIÓN Seguridad de los datos en el AgentDOCUMENTACIÓN Seguridad de los datos en la monitorización SyntheticDOCUMENTACIÓN Seguridad de los datos de rastreoDOCUMENTACIÓN Seguridad de los datos en RUMDOCUMENTACIÓN Opciones de privacidad de Session ReplayDOCUMENTACIÓN Sensitive Data ScannerDOCUMENTACIÓN