Nouvelles annonces sur les technologies sans serveur et réseau ainsi que sur le RUM (Real-User Monitoring) dévoilées à la conférence Dash ! Nouvelles annonces dévoilées à la conférence Dash !

Considérations de sécurité supplémentaires

Cet article fait partie d’une série d’articles sur la sécurité des données.

Cet article décrit des considérations de sécurité supplémentaires qui pourraient être utiles aux clients lorsqu’ils utilisent Datadog et l’Agent.

Obfuscation des arguments de processus

Si vous utilisez la version 6, vous pouvez configurer l’Agent afin d’obfusquer des commandes de processus ou des arguments envoyés par l’Agent à l’application Datadog. Pour masquer des séquences sensibles au sein de vos données de processus, utilisez le paramètre custom_sensitive_words. Il s’agit d’une liste contenant une ou plusieurs expressions régulières qui demandent à l’Agent de filtrer les informations de processus en fonction d’une liste d’exclusion.

De plus, les mots-clés suivants sont obfusqués par défaut :

"password", "passwd", "mysql_pwd", "access_token", "auth_token", "api_key", "apikey", "secret", "credentials", "stripetoken"

Sécurité des intégrations cloud

Datadog permet aux clients d’intégrer des services tiers. Datadog propose plus de 350 intégrations embarquées, certaines d’entre elles étant directement configurées dans l’application : les clients doivent parfois fournir des identifiants pour permettre à Datadog de se connecter à un service tiers en leur nom. Les identifiants fournis par les clients sont chiffrés et stockés par Datadog dans un datastore sécurisé soumis à des protocoles de sécurité strictes. Toutes les données sont chiffrées durant leur stockage et leur transfert. L’accès au datastore sécurisé est soumis à des contrôles et à une surveillance strictes. Chaque service et chaque action de service a uniquement accès aux données qui lui sont nécessaires. Un système de détection des comportements anormaux surveille en permanence les accès non autorisés. L’accès des employés à des fins de maintenance est limité à un petit groupe d’ingénieurs.

En raison de leur nature sensible, des protocoles de sécurité supplémentaires sont mis en place lors de l’intégration avec les fournisseurs cloud lorsque cela est possible, notamment via l’utilisation d’identifiants spécifiques à Datadog avec des autorisations limitées. Par exemple :

  • L’intégration avec Amazon Web Services nécessite que le client configure la délégation des rôles par le biais d’AWS IAM, conformément au guide des bonnes pratiques pour AWS IAM. Le client doit également accorder les autorisations spécifiques avec une stratégie AWS.
  • Pour configurer l’intégration avec Microsoft Azure, le client doit définir un locataire pour Datadog. L’accès à une application spécifique n’est accordé qu’au rôle « reader » pour les abonnements qu’il souhaite surveiller.
  • Pour configurer l’intégration avec Google Cloud Platform, le client doit définir un compte de service pour Datadog. Il doit également octroyer les rôles « Compute Viewer » et « Monitoring Viewer » uniquement.

Pour aller plus loin

Documentation, liens et articles supplémentaires utiles: