- 필수 기능
- 시작하기
- Glossary
- 표준 속성
- Guides
- Agent
- 통합
- 개방형텔레메트리
- 개발자
- API
- Datadog Mobile App
- CoScreen
- Cloudcraft
- 앱 내
- 서비스 관리
- 인프라스트럭처
- 애플리케이션 성능
- APM
- Continuous Profiler
- 스팬 시각화
- 데이터 스트림 모니터링
- 데이터 작업 모니터링
- 디지털 경험
- 소프트웨어 제공
- 보안
- AI Observability
- 로그 관리
- 관리
신용 카드 번호, 은행 라우팅 번호 및 API 키와 같은 민감 데이터는 종종 애플리케이션 로그, APM 스팬 및 RUM 이벤트에 의도치 않게 노출되어 조직을 재무 및 프라이버시 위험에 노출시킬 수 있습니다.
민감 데이터 스캐너는 민감 데이터를 식별, 태깅, 삭제 또는 해시 처리하는 데 활용되는 스트림 기반 패턴 매칭 서비스입니다. 보안 및 규정 준수 팀은 민감 데이터 스캐너를 새로운 방어선으로 구현하여 민감 데이터 유출을 방지하고 규정 위반 위험을 경감합니다.
민감 데이터 스캐너를 사용하려면 스캔 그룹을 설정하여 스캔할 데이터를 정의한 후, 스캔 규칙을 설정하여 데이터 내에서 매칭시킬 민감한 정보를 결정합니다.
본 문서에서는 다음 사항을 안내합니다.
참고: PCI 준수 Datadog 조직을 설정하는 방법에 대한 자세한 내용을 확인하려면 PCI DSS 준수를 참조하세요.
민감 데이터를 수정할 수 있는 위치가 두 개 있습니다.
클라우드:
환경:
Datadog 에이전트에 대한 Sensitive Data Scanner 지원은 베타 버전입니다. 등록하려면 액세스 요청을 클릭하세요.
Request Access관측성 파이프라인:
관측성 파이프라인에서 파이프라인을 설정할 때 내 환경을 벗어나기 전에 로그에 있는 민감 데이터를 수정하도록 민감 데이터 스캐너 프로세서를 추가합니다. 자세한 정보는 관측성 파이프라인을 참고하세요.
기본적으로 Datadog 관리자 역할이 있는 사용자는 스캔 규칙을 살펴보고 설정할 수 있는 접근 권한이 있습니다. 다른 사용자의 접근을 허용하려면 [규정 준수(Compliance)2에서 data_scanner_read
또는 data_scanner_write
권한을 허가하여 역할을 사용자 지정합니다. 역할 및 권한을 설정하는 방법에 관한 자세한 내용을 확인하려면 [접근 제어][3]를 참고하세요.
필요한 권한을 부여하세요. 기본적으로 Datadog 관리자 역할이 있는 사용자는 스캔 규칙을 살펴보고 설정할 수 있는 접근 권한이 있습니다. 다른 사용자의 접근을 허용하려면 [규정 준수(Compliance)1에서 data_scanner_read
또는 data_scanner_write
권한을 허가하여 역할을 사용자 지정합니다. 역할 및 권한을 설정하는 방법에 대한 자세한 내용을 확인하려면 접근 제어를 참조하세요.
다음 단계에 따라 원격 구성을 활성화하세요.
Datadog 에이전트 v7.54 이상 버전을 설치하세요.
스캐닝 그룹은 스캔할 데이터를 결정합니다. 이는 쿼리 필터와 로그, APM, RUM, 이벤트 스캐닝을 활성화하는 토글 세트로 구성됩니다. 쿼리 필터에 관한 자세한 내용은 로그 검색 구문 설명서를 참고하세요.
Terraform의 경우 Datadog 민감 데이터 스캐너 그룹 리소스를 참고하세요.
스캐닝 그룹을 설정하려면 다음 단계를 따르세요.
스캐닝 그룹은 스캔할 로그를 결정합니다. 이는 호스트 태그를 기반으로 자격을 충족하는 에이전트를 매칭하는 쿼리 필터로 구성되어 있습니다.
스캐닝 그룹을 설정하려면 다음 단계를 따르세요.
기본적으로 새로 생성된 스캐닝 그룹은 비활성화되어 있습니다. 스캐닝 그룹을 활성화하려면 우측에 있는 해당 토글을 클릭하세요.
스캔 규칙은 스캔 그룹이 정의한 데이터 내에서 매칭시킬 민감한 정보를 결정합니다. Datadog의 스캔 규칙 라이브러리에서 사전 정의된 스캔 규칙을 추가하거나 정규식 패턴을 사용하여 고유 스캔 규칙을 생성하세요. 해당 데이터는 처리 중 수집 시에 스캔됩니다. 로그의 경우, 인덱싱 및 기타 라우팅 결정 전 스캔 작업이 진행됩니다.
Terraform의 경우 Datadog 민감 데이터 스캐너 규칙 리소스를 참고하세요.
스캐닝 규칙을 추가하려면 다음 단계를 따르세요.
라이브러리 규칙에서 스캐닝 규칙 추가
스캔 규칙 라이브러리에는 이메일 주소, 신용카드 번호, API 키, 인증 토큰 등의 일반적인 패턴을 감지할 목적으로 사전 정의된 규칙이 포함되어 있습니다.
sensitive_data
및 sensitive_data_category
태그를 사용할 것을 권장합니다. 이러한 태그는 검색, 대시보드 및 모니터에서 사용할 수 있습니다. 민감한 데이터가 있는 로그 에 대한 액세스 제어](#control-access-to-로그-with-sensitive-data)를 사용하여 민감한 정보가 포함된 로그에 액세스할 수 있는 사용자를 결정하는 방법에 대한 자세한 내용은 태그를 참조하세요.OOTB 검색 규칙을 추가한 후 각 규칙을 개별적으로 편집하고 키워드 사전에 키워드를 추가할 수 있습니다.
커스텀 검사 규칙 추가
민감한 데이터에 대한 정규식 패턴을 사용해 커스텀 검사 규칙을 생성할 수 있습니다.
\C
“single-byte” 지시문 (UTF-8 시퀀스 중단)\R
새로운 행 일치\K
매칭 초기화 시작 지시문visa
, credit
, card
와 같은 키워드를 추가할 수 있습니다. 이러한 키워드가 지정된 글자 수 이내가 되도록 설정할 수도 있습니다. 기본적으로 키워드는 일치하는 값 앞에서 30자 이내여야 합니다.sensitive_data
및 sensitive_data_category
태그를 사용할 것을 권장합니다. 이러한 태그는 검색, 대시보드 및 모니터에서 사용할 수 있습니다. 민감한 데이터가 있는 로그 에 대한 액세스 제어](#control-access-to-로그-with-sensitive-data)를 사용하여 민감한 정보가 포함된 로그에 액세스할 수 있는 사용자를 결정하는 방법에 대한 자세한 내용은 태그를 참조하세요.참고:
요약 페이지를 사용하여 민감 데이터 문제를 분류하는 방법에 관해 자세히 알아보려면 민감 데이터 문제 조사 항목을 참고하세요.
스캐닝 규칙은 스캐닝 그룹에서 정의한 데이터 내에서 민감한 정보가 무엇인지 결정하는 규칙입니다. Datadog 에이전트가 로그를 수집하고 Datadog 플랫폼으로 전송하기 전에 로컬 환경에서 데이터를 스캔합니다.
스캐닝 규칙을 추가하려면 다음 단계를 따르세요.
sensitive_data
및 sensitive_data_category
태그를 추가합니다. 이러한 태그는 검색, 대시보드, 모니터에서 사용할 수 있습니다. 민감 정보를 포함한 로그에 접근 가능한 권한을 결정할 때 태그를 사용하는 방법을 알아보려면 [민감 정보 로그 액세스 제어]#control-access-to-logs-with-sensitive-data)를 참고하세요.참고:
Datadog 플랫폼 기능에 필요한 예약 키워드가 있습니다. 스캔하는 로그에 이와 같은 단어가 포함되어 있으면 일치하는 단어 후부터 30자가 무시되고, 수정되지 않습니다. 예를 들어, 로그에서 date
이후에는 보통 이벤트 타임스탬프가 있습니다. 만약 사고로 타임스탬프가 수정되면 로그 처리에 문제가 생기고 나중에 쿼리가 불가능할 수 있습니다. 따라서 제외 네임스페이스 작업으로 제품 작동에 중요한 정보를 실수로 수정하는 것을 방지할 수 있습니다.
예외 네임스페이스 목록:
host
hostname
syslog.hostname
service
status
env
dd.trace_id
trace_id
trace id
dd.span_id
span_id
span id
@timestamp
timestamp
_timestamp
Timestamp
date
published_date
syslog.timestamp
error.fingerprint
x-datadog-parent-id
민감 데이터 스캐너 구성 페이지로 이동합니다.
편집하고자 하는 스캐닝 규칙 위에 마우스 커서를 올리고 Edit(연필) 아이콘을 클릭합니다.
Define match conditions 섹션에는 커스텀 규칙용으로 쓴 정규식이나 선택한 라이브러리 스캐닝 규칙의 설명이 일치하는 민감 정보 예시와 함께 나타납니다.
데이터가 규칙에 일치하도록 Add sample data 섹션에서 샘플을 추가할 수 있습니다. 샘플 데이터에서 규칙과 일치하는 것을 찾으면 초록색 Match 레이블이 입력 필드에 나타납니다.
Create keyword dictionary 아래에서 키워드를 추가해 탐지 정확성을 조정할 수 있습니다. 예를 들어, 16자리 비자 신용 카드를 스캐닝하려면 visa
, credit
, card
와 같은 키워드를 추가할 수 있습니다.
매칭 결과 앞에 키워드가 표시되어야 하는 글자 수를 선택합니다. 기본적으로 매칭 결과 앞 키워드는 30자 이내여야 합니다.
또는 Define rule target and action에서 값이 규칙과 일치하는 이벤트와 연결하려는 태그를 추가합니다. Datadog에서는 sensitive_data
및 sensitive_data_category
태그를 사용할 것을 권장합니다. 이러한 태그는 검색, 대시보드 및 모니터에서 사용할 수 있습니다. 민감 데이터가 있는 로그 에 대한 액세스 제어](#control-access-to-로그-with-sensitive-data)를 사용하여 민감 데이터가 포함된 로그에 액세스할 수 있는 사용자를 결정하는 방법에 대한 자세한 내용은 태그를 참고하세요.
Set priority level의 경우 내 비즈니스에 맞는 값을 선택하세요.
Update를 클릭합니다.
에이전트를 이용해 민감 데이터 스캐너 사용 구성 페이지로 이동합니다.
편집하고자 하는 스캐닝 규칙 위에 마우스 커서를 올리고 Edit(연필) 아이콘을 클릭합니다.
Define match conditions 섹션에는 선택한 라이브러리 스캐닝 규칙의 설명이 일치하는 민감 정보 예시와 함께 나타납니다.
Create keyword dictionary 아래에서 키워드를 추가해 탐지 정확성을 조정할 수 있습니다. 예를 들어, 16자리 비자 신용 카드를 스캐닝하려면 visa
, credit
, card
와 같은 키워드를 추가할 수 있습니다.
매칭 결과 앞에 키워드가 표시되어야 하는 글자 수를 선택합니다. 기본적으로 매칭 결과 앞 키워드는 30자 이내여야 합니다.
Save을 클릭합니다.
민감 데이터가 포함된 로그에 접근할 수 있는 사용자를 제어하려면, 민감 데이터 스캐너가 추가한 태그를 사용하여 역할 기반 접근 제어(RBAC)로 쿼리를 구축합니다. 해당 작업으로 데이터의 보존 기간이 경과할 때까지 특정 개인 또는 팀의 접근을 제한할 수 있습니다. 자세한 내용을 확인하려면 로그용 RBAC 설정 방법을 참고하세요.
태그에 포함된 민감 데이터를 삭제하려면 태그를 속성으로 리매핑한 후 해당 속성을 삭제해야 합니다. 리매퍼 프로세서에서 Preserve source attribute
을 선택 해제하면 리매핑 도중 해당 태그가 보존되지 않습니다.
태그를 속성에 다시 매핑하려면:
속성을 삭제하려면:
에이전트를 사용해 민감 데이터 스캐너를 사용할 경우에는 이 기능을 이용할 수 없습니다.
Sensitive Data Scanner를 활성화하면, Amazon S3 버킷 및 RDS 인스턴스에서 민감한 데이터를 분류하고 구분할 수 있습니다.
Sensitive Data Scanner는 클라우드 환경에 에이전트리스 스캐너를 배포하여 민감한 데이터를 검사합니다. 이러한 검사 인스턴스는 원격 설정을 통해 모든 S3 버킷 및 RDS 인스턴스 목록을 검색하고 명령을 설정해 CSV 및 JSON 등 텍스트 파일을 검사할 수 있습니다. 또한, 시간 변화에 따라 모든 데이터 자장소의 표를 검색하도록 할 수 있습니다. Sensitive Data Scanner는 전체 규칙 라이브러리를 사용해 일치 항목을 찾습니다. 일치 항목을 발견하면 해당 위치가 검사 인스턴스로 Datadog에 전송됩니다. 데이터가 저장되고 파일은 환경에서 읽기만 가능합니다. 민감한 데이터가 Datadog로 다시 전송되지 않습니다.
클라우드 스토리지는 민감한 데이터 일치 항목 표시와 함께 클라우드 보안 관리에서 탐지한 민감한 데이터 저장소에 영향을 미치는 모든 보안 문제를 표시합니다. 문제를 클릭하면 클라우드 보안 관리 내에서 분류 및 해결을 계속할 수 있습니다.
민감 데이터 스캐너를 활성화하면 계정에 민감 데이터 검색 결과를 요약하는 기본 제공 대시보드가 자동 설치됩니다. 해당 대시보드에 접근하려면 Dashboards > Dashboards List으로 이동하여 “Sensitive Data Scanner Overview"를 검색합니다.
민감 데이터 스캐너를 완전히 끄려면 각 스캐닝 그룹 토글을 off로 설정하여 비활성화합니다.
추가 유용한 문서, 링크 및 기사: