로그 관리 데이터 보안

이 페이지는 Datadog으로 전송되는 데이터의 보안에 관한 것입니다. 클라우드 및 애플리케이션 보안 제품 및 기능을 찾으려면 보안 섹션을 참조하세요.

로그 관리 프로덕트는 여러 환경 및 형식을 지원하므로 원하는 거의 모든 데이터를 Datadog에 제출할 수 있습니다. 본 문서에서는 로그를 Datadog에 제출할 때 사용할 수 있는 주요 보안 보장 및 필터링 제어에 대해 설명합니다.

참고: 로그는 다양한 Datadog 프로덕트에서 확인할 수 있습니다. 애플리케이션 성능 모니터링(APM) 트레이스 페이지에 표시되는 로그를 포함하여 Datadog UI에서 표시되는 모든 로그는 로그 관리 프로덕트의 일부입니다.

정보 보안

Datadog 에이전트는 HTTPS 또는 포트 10516의 TLS 암호화 TCP 연결을 통해 로그를 Datadog으로 제출하며, 이 떄 아웃바운드 통신이 필요합니다(에이전트 로그 전송 참조).

Datadog은 유휴 상태인 인덱싱된 로그에 대칭형 암호화(AES-256)를 사용합니다. 인덱싱된 로그는 사용자가 정의한 보존 기간이 만료되면 Datadog 플랫폼에서 삭제됩니다.

로그 필터링

버전 6 이상에서는 에이전트가 Datadog 애플리케이션으로 전송하는 로그를 필터링하도록 에이전트를 설정할 수 있습니다. 특정 로그의 제출을 방지하려면 log_processing_rules 설정을 exclude_at_match 또는 include_at_match type과 함께 사용합니다. 이 설정을 사용하면 하나 이상의 정규식이 포함된 목록을 생성할 수 있으며, 에이전트가 제공된 포함 또는 제외 규칙에 따라 로그를 필터링하도록 지시합니다.

로그 난독화

버전 6 이상에서는 에이전트가 Datadog 애플리케이션으로 전송하는 로그 내의 특정 패턴을 난독화하도록 에이전트를 설정할 수 있습니다. 특정 로그의 민감한 시퀀스를 마스킹하려면 log_processing_rules 설정을 mask_sequences type과 함께 사용합니다. 이 설정을 사용하면 하나 이상의 정규식이 포함된 목록을 생성할 수 있으며, 에이전트가 로그 내의 민감한 데이터를 수정하도록 지시합니다.

또는 클라우드나 에이전트에서 민감한 데이터 스캐너를 사용하여 민감한 데이터를 식별, 태깅 및 수정합니다. 민감한 데이터 스캐너에서 스캔 그룹을 설정하여 스캔할 데이터를 정의한 다음, 스캔 규칙을 설정하여 데이터 내에서 일치하는 민감한 정보를 결정합니다. Datadog은 신용카드 번호, 이메일 주소, IP 주소, API 키 등과 같은 민감한 정보를 감지하기 위해 미리 정의된 규칙 라이브러리를 제공합니다. 또한 정규식 기반 스캔 규칙을 정의하여 민감한 정보를 식별할 수도 있습니다.

민감한 데이터 스캐너는 통합 관측성 파이프라인의 프로세서로도 사용할 수 있습니다. 관측성 파이프라인을 사용하면 자체 인프라스트럭처 내에서 로그를 수집 및 처리한 다음 다운스트림 통합으로 라우팅할 수 있습니다.

HIPAA 사용 고객

Datadog will sign a Business Associate Agreement (BAA) with customers that transmit protected health information (ePHI) through Datadog’s HIPAA-eligible services.

These restrictions are imposed on customers who have signed Datadog’s BAA:

Users cannot request support through Zendesk Live Chat.
Users cannot share logs or security signals from the Datadog explorer.
Users cannot use third-party powered generative AI services.

If you have any questions about how the Log Management Service satisfies the applicable requirements under HIPAA, contact your account manager. HIPAA-enabled customers do not need to use specific endpoints to submit logs to enforce specific encryptions. The encryptions are enabled on all log submission endpoints.

로그 관리에 대한 PCI DSS 규정 준수

로그 관리에 대한 PCI DSS 규정 준수는 US1 사이트의 Datadog 조직에서만 사용 가능합니다.

Datadog을 사용하면 고객은 요청 시에 로그를 PCI DSS를 준수하는 Datadog 조직으로 전송할 수 있습니다. PCI를 준수하는 Datadog 조직을 설정하려면 다음 단계를 따르세요.

To set up PCI-compliant Log Management, you must meet the following requirements:

Audit Trail must be enabled and remain enabled for PCI DSS compliance. If you haven’t already enabled Audit Trail, it is automatically enabled once the org is configured as PCI-compliant (after following the steps below).
Your Datadog organization is in the US1 site.
All logs sent to the PCI endpoints using HTTPS only. If you are using the Agent to send logs, you should enforce HTTPS transport.
All your logs endpoints need to be changed to the PCI endpoints for logs.
You may request access to the PCI Attestation of Compliance and Customer Responsibility Matrix on Datadog’s Trust Center - note that these documents are only applicable once you have finished all the onboarding steps and have been manually configured to be compliant by Datadog support.

To begin onboarding:

Contact Datadog support or your Customer Success Manager to request to being the PCI onboarding process while ensuring the necessary PCI requirements are met.
After Datadog support or Customer Success confirms that the org is ready to onboard, configure the respective configuration file to send all your logs to the dedicated PCI compliant endpoint(s):

agent-http-intake-pci.logs.datadoghq.com:443 for Agent traffic
http-intake-pci.logs.datadoghq.com:443 for non-Agent traffic
pci.browser-intake-datadoghq.com:443 for browser logs

For example, add the following lines to the Agent configuration file:

logs_config:
  logs_dd_url: <agent-http-intake-pci.logs.datadoghq.com:443>

All logs that are sent to the PCI compliant endpoint(s) automatically have a set of Sensitive Data Scanner PCI rules that are applied to scrub any cardholder data. These dedicated PCI rules must be enabled for PCI DSS compliance and are included with no additional charge.

To finish onboarding and be moved to compliant:

Inform your Datadog support or your Customer Success Manager that you have moved over all your endpoints to the PCI compliant endpoint(s).
Once confirmed by Datadog, your Logs and Log Management is considered to be PCI-compliant.

If you have any questions about how your now PCI-compliant Log Management satisfies the applicable requirements under PCI DSS, contact your account manager. See information on setting up PCI-compliant Application Performance Monitoring.

자세한 내용은 PCI DSS 규정 준수를 참조하세요. 애플리케이션 성능 모니터링(APM)에 대한 PCI 규정 준수를 활성화하려면 애플리케이션 성능 모니터링(APM)의 PCI DSS 규정 준수를 참조하세요.