Cet article fait partie d’une série d’articles sur la sécurité des données.
Le produit Log Management prend en charge de nombreux environnements et formats. Nos clients sont ainsi libres d’envoyer à Datadog la grande majorité de leurs données, selon leurs besoins. Cet article décrit les principales garanties de sécurité et les commandes de filtrage proposées aux utilisateurs lors de l’envoi de logs à Datadog.
L’Agent Datadog transmet les logs à Datadog via HTTPS ou via une connexion TCP avec chiffrement TLS sur le port 10516, ce qui nécessite une communication sortante (consultez Transport de l’Agent pour les logs).
Datadog utilise un chiffrement symétrique au repos (AES-256) pour les logs indexés. Les logs indexés sont supprimés de la plateforme Datadog lorsque leur période de rétention expire (telle que définie par le client).
Si vous utilisez la version 6 ou une version ultérieure, vous pouvez configurer l’Agent afin de filtrer les logs envoyés par l’Agent à l’application Datadog. Pour empêcher l’envoi de logs spécifiques, utilisez le paramètre log_processing_rules
avec le type
exclude_at_match ou include_at_match. Cela permet de créer une liste contenant une ou plusieurs expressions régulières qui demandent à l’Agent de filtrer les logs en fonction des règles d’inclusion ou d’exclusion fournies.
Si vous utilisez la version 6, vous pouvez configurer l’Agent afin d’obfusquer des patterns spécifiques au sein des logs envoyés par l’Agent à l’application Datadog. Pour masquer des séquences sensibles au sein de vos logs, utilisez le paramètre log_processing_rules
avec le type
mask_sequences. Cela permet de créer une liste contenant une ou plusieurs expressions régulières qui demandent à l’Agent d’effacer les informations sensibles au sein de vos logs.
Datadog signe un Business Associate Agreement (BAA) avec les clients qui transmettent des informations de santé protégées électroniquement (ePHI) via le service Log Management de Datadog.
Ces fonctionnalités ne sont pas disponibles pour les clients qui ont signé le BAA de Datadog :
group-by
.Pour toute question sur la conformité du service Log Management aux exigences applicables de la loi HIPAA, contactez votre chargé de compte.
Remarques :
Auparavant, les clients soumis à la loi américaine HIPAA devaient utiliser des endpoints particuliers pour transmettre leurs logs afin d’appliquer des chiffrements spécifiques. Ce n’est plus nécessaire. Les chiffrements sont activés sur tous les endpoints de transmission de logs.
Ces endpoints hérités sont toujours pris en charge :
tcp-encrypted-intake.logs.datadoghq.com
lambda-tcp-encrypted-intake.logs.datadoghq.com
gcp-encrypted-intake.logs.datadoghq.com
http-encrypted-intake.logs.datadoghq.com
Documentation, liens et articles supplémentaires utiles:
Sur cette page