Configuración remota

Este producto no es compatible con el sitio Datadog seleccionado. ().

Información general

La configuración remota es una función de Datadog que te permite configurar y cambiar de forma remota el comportamiento de los componentes de Datadog (por ejemplo, Agents, bibliotecas de rastreo y Observability Pipelines Workers) desplegados en tu infraestructura. Utiliza la configuración remota para aplicar configuraciones a componentes de Datadog de tu entorno, disminuyendo los costes de gestión, reduciendo la fricción entre equipos y acelerando los tiempos de resolución de problemas.

Para productos de seguridad de Datadog, App and API Protection y Workload Protection, los Agents habilitados por configuración remota y bibliotecas de rastreo compatibles proporcionan actualizaciones y respuestas de seguridad en tiempo real, lo que mejora la situación de seguridad de tus aplicaciones y la infraestructura de la nube.

Cómo funciona

Cuando la configuración remota está activada, los componentes de Datadog como el Datadog Agent sondean de forma segura el sitio Datadog configurado en busca de cambios de configuración que estén listos para ser aplicados. Los cambios pendientes se aplican automáticamente a los componentes de Datadog. Por ejemplo, después de enviar cambios de configuración en la interfaz de usuario de Datadog para una función de producto habilitada por configuración remota, los cambios se almacenan en Datadog.

El siguiente diagrama muestra como funciona la configuración remota:

Users configure features in the UI, the config is stored in Datadog, the Agent requests config updates.
  1. Configura las funciones del producto escogidas en la interfaz de usuario de Datadog.
  2. La configuración de las funciones del producto se almacenan en condiciones seguras en Datadog.
  3. Los componentes de Datadog habilitados por configuración remota en tus entornos sondean, reciben y aplican automáticamente actualizaciones de configuración de forma segura desde Datadog. Las bibliotecas de rastreo que se despliegan en tus entornos se comunican con los Agents para solicitar y recibir actualizaciones de configuración desde Datadog, en lugar de sondear Datadog directamente.

Entornos compatibles

La configuración remota funciona en entornos en los que están instalados los componentes compatibles de Datadog. Entre los componentes compatibles de Datadog se incluyen:

  • Agents
  • Rastreadores (indirectamente)
  • Observability Pipeline Workers
  • Ejecutores de acciones privadas y servicios de nube de contenedores sin servidor como AWS Fargate

La configuración remota no es compatible con aplicaciones sin servidor gestionadas por contenedores, como AWS App Runner, Azure Container Apps, Google Cloud Run, ni con funciones desplegadas con paquetes de contenedores, como AWS Lambda, Azure Functions y Google Cloud Functions.

Productos y funciones compatibles

Los siguientes productos y funciones son compatibles con la configuración remota.

Fleet Automation
  • Envía flares directamente desde el sitio Datadog. Soluciona sin problemas incidentes del Datadog Agent sin acceder directamente al host.
App and API Protection (AAP)
  • Protección: Bloquea las IP de los atacantes, los usuarios autenticados y las solicitudes sospechosas indicadas en señales y rastros de seguridad de AAP de forma temporal o permanente a través de la interfaz de usuario de Datadog.
Application Performance Monitoring (APM)
  • Configuración en tiempo de ejecución (Vista previa): Cambia la frecuencia de muestreo del rastreo de un servicio, la activación de la inyección de logs y las etiquetas (tags) de encabezados HTTP desde la interfaz de usuario del Catálogo de software, sin tener que reiniciar el servicio. Consulta Configuración en tiempo de ejecución para obtener más información.
  • Configura de forma remota la frecuencia de muestreo del Agent (Vista previa): Configura de forma remota el Datadog Agent para cambiar sus frecuencias de muestreo del rastreo y configura reglas para escalar la ingesta de trazas (traces) de tu organización según tus necesidades, sin necesidad de reiniciar tu Datadog Agent.
Dynamic Instrumentation
  • Envía métricas, trazas y logs críticos de tus aplicaciones en directo sin cambios en el código.
Workload Protection
  • Actualizaciones automáticas de reglas predeterminadas del Agent: Recibe y actualiza automáticamente las reglas predeterminadas del Agent mantenidas por Datadog a medida que se publican nuevas detecciones y mejoras del Agent. Consulta Configuración de Workload Protection para obtener más información.
  • Despliegue automático de reglas personalizadas del Agent: Despliega automáticamente tus reglas personalizadas del Agent en los hosts designados (todos los hosts o un subconjunto definido de hosts).
Observability Pipelines
  • Despliega y actualiza de forma remota Observability Pipelines Workers (OPW): Crea y edita pipelines en la interfaz de usuario de Datadog, desplegando tus cambios de configuración en las instancias OPW que se ejecutan en tu entorno.
Ejecutor de acciones privadas
  • Ejecuta flujos de trabajo y aplicaciones de Datadog que interactúan con servicios alojados en tu red privada sin exponer tus servicios a la Internet pública. Para obtener más información, consulta Private Actions.

Cuestiones de seguridad

Datadog implementa las siguientes medidas de seguridad para proteger la confidencialidad, la integridad y la disponibilidad de las configuraciones que reciben y aplican los componentes de Datadog:

  • Los componentes de Datadog habilitados por configuración remota y desplegados en tu infraestructura necesitan configuraciones de Datadog.
    Algunos componentes, como los ejecutores de acciones privadas, están siempre habilitados por configuración remota. Otros, como el Agent, pueden activarse o desactivarse mediante opciones de configuración en el disco.
  • Datadog nunca envía cambios de configuración a menos que se lo soliciten componentes de Datadog. Si envía cambios de configuración, Datadog solo envía aquellos relevantes para el componente solicitante.
  • Las solicitudes de configuración se inician desde tu infraestructura a Datadog a través de HTTPS (puerto 443). Este es el mismo puerto que el Agent utiliza por defecto para enviar datos de observabilidad.
  • La comunicación entre tus componentes de Datadog y Datadog se cifra mediante HTTPS y se autentica y autoriza utilizando tu clave de API Datadog, excepto en el caso de los ejecutores de acciones privadas donde se utiliza un token JWT en su lugar.
  • Solo los usuarios con el permiso api_keys_write están autorizados a activar o desactivar la función de configuración remota en las claves de API y a utilizar las funciones compatibles del producto.
  • Los cambios de configuración enviados a través de la interfaz de usuario de Datadog son firmados y validados por el componente de Datadog solicitante, lo que verifica la integridad de la configuración.

Activar la configuración remota

En la mayoría de los casos, la configuración remota está activada por defecto para tu organización. Puedes comprobar si la configuración remota está activada en tu organización desde la página de parámetros de Configuración remota. Si necesitas activarla:

  1. Asegúrate de que los permisos de RBAC incluyan org_management, para poder habilitar la configuración remota en tu organización.
  2. Desde la página Parámetros de tu organización, activa Configuración remota. Esto permite que los componentes de Datadog de toda la organización reciban configuraciones de Datadog.
  3. Sigue las instrucciones de configuración específicas del producto que se indican a continuación para finalizar la configuración remota.

Configuración específica del producto

Consulta la documentación a continuación para obtener instrucciones específicas para el producto que estás configurando.

ProductoInstrucciones de instalación
Automatización de flotasConfigurar Fleet Automation
APMConfiguración en tiempo de ejecución
Dynamic InstrumentationEmpezando con Dynamic Instrumentation
Workload ProtectionWorkload Protection
Observability PipelinesAsegúrate de que has activado la configuración remota en la clave de API que estás utilizando para Observability Pipelines.
Sensitive Data ScannerAlmacenamiento en la nube
Ejecutor de acciones privadasInformación general sobre acciones privadas

Prácticas recomendadas

Audit Trail de Datadog

Utiliza Audit Trail de Datadog para monitorizar el acceso a la organización y a eventos habilitados por configuración remota. Audit Trail permite a los administradores y equipos de seguridad realizar un seguimiento de la creación, eliminación y modificación de la API de Datadog y las claves de aplicación. Una vez configurado Audit Trail, podrás ver los eventos relacionados con las funciones habilitadas por configuración remota y quién ha solicitado estos cambios. Audit Trail permite reconstruir secuencias de eventos y establecer una monitorización sólida de Datadog para la configuración remota.

Monitores

Configurar los monitores para recibir notificaciones cuando se encuentre un evento de interés.

Exclusión de la configuración remota

En lugar de desactivar la configuración remota de forma global, Datadog recomienda optar por desactivarla en productos específicos de Datadog. Para obtener más información, consulta la documentación del producto en cuestión.

Referencias adicionales

Más enlaces, artículos y documentación útiles:

Como funciona Application Security MonitoringDOCUMENTACIÓN more more Dynamic InstrumentationDOCUMENTACIÓN more more Configuración de Workload ProtectionDOCUMENTACIÓN more more Como usar Datadog Audit TrailBLOG more more Aplicar actualizaciones en tiempo real a los componentes de Datadog con la configuración remotaBLOG more more