デフォルトの APM エージェント設定は、高レベルのセキュリティを提供します。ただし、デフォルトの APM エージェント設定がより寛容になるようにオーバーライドされた場合でも、APM エージェントによって機密データが New Relic に報告されないことを保証する必要がある場合があります。この場合は、APM 高セキュリティ モード (エンタープライズ セキュリティ モードとも呼ばれます) をオンにする必要があります。
デフォルトのセキュリティ対策の詳細については、 セキュリティとプライバシーに関するドキュメントを参照するか、 New Relic セキュリティ Web サイトにアクセスしてください。
要件
高セキュリティ モードにはEnterprise エディションが必要です。
高セキュリティ モードは、組織ごとの設定ではなく、アカウントごとの設定です。つまり、組織に複数のアカウントが含まれている場合は、アカウントごとにこのモードを有効にする必要があります。
この機能へのアクセスについて質問がありますか?New Relic のアカウント担当者にご相談ください。
バージョン
ハイセキュリティモードには 2 つのバージョンがあります。バージョン 1は非推奨となっており、すでに所有している場合にのみ使用できます。初めて高セキュリティ モードを有効にする場合、唯一のオプションはバージョン 2 (v2) です。バージョン 2 のエージェント サポートの詳細については、 「 バージョン サポート 」を参照してください。
高セキュリティ モードを有効にする (バージョン 2)
高度なセキュリティを有効にするには、サーバー上のローカル設定とUIのリモート設定の両方を更新する必要があります。and
これを行う前に、次の点に注意してください。
アカウントに対して高度なセキュリティを有効にすると、 New Relic サポートのサポートなしで
high security cannot be turned off
実行できます。
これはアカウントごとの設定です。つまり、高セキュリティ モードを付与するアカウントごとに設定する必要があります。
Setting location | Description |
|---|---|
UIでの設定 |
|
ローカル、エージェント経由 | エージェント設定ファイルで高セキュリティ モードを有効にします。高セキュリティ モードはデフォルトで無効になっており、これを有効にする正確な手順はエージェントによって異なります。 |
高セキュリティモード(バージョン2)を有効にした結果
高セキュリティ モード (v2) を有効にすると、アカウントに対して次のことが保証されます。
Feature | Comments |
|---|---|
エージェントが安全な接続(HTTPS)を使用する必要があります。 | 高セキュリティ モードでは、安全な (HTTPS) 接続が必要です。安全でない接続の試行は拒否されます。すべての New Relic エージェントの最新バージョンは HTTPS をサポートしています。構成が適切に設定されていない場合、エージェントはプロパティをオーバーライドして、すべてのデータが最新の業界標準に従って転送されるようにします。 |
HTTP paramのキャプチャを防ぐ | 高セキュリティ モードでは、顧客の機密データが含まれる可能性がある HTTP パラメータを New Relic コレクターに送信することはできません。エージェントが HTTP パラメータをローカルに送信するか、サーバー側の設定を通じて送信するように設定されている場合、高セキュリティ モードは HTTP パラメータを決してキャプチャしないように設定をオーバーライドします。 |
メッセージキューのパラメータ取得を防ぐ | 高セキュリティ モードでは、顧客の機密データが含まれる可能性があるメッセージ キュー パラメーターを New Relic コレクターに送信することはできません。エージェントがメッセージ キュー パラメータをローカルに送信するか、サーバー側の設定を通じて送信するように設定されている場合、高セキュリティ モードはメッセージ キュー パラメータを取得しないように設定をオーバーライドします。 |
生のクエリ文の取り込みを防ぐ | 高セキュリティ モードでは、顧客の機密データが含まれる可能性がある生のデータベース クエリ ステートメントをキャプチャすることはできません。エージェントが未加工のクエリをローカルで、またはサーバー側の構成を介してキャプチャするように構成されている場合、高セキュリティ モードは未加工のクエリを決してキャプチャしないように構成をオーバーライドします。 |
ユーザーの属性取得を防ぐ | 高セキュリティ モードでは、各エージェントの API を使用して設定された属性をキャプチャすることはできません。これは、これらの属性には機密性の高い顧客データが含まれる可能性があるためです。 たとえば、Javaエージェントでは、次の |
| 高セキュリティ モードでは、各エージェントの たとえば、Javaエージェントでは、次の |
カスタムイベントを防ぐ | 高セキュリティ モードでは、エージェント API を使用してカスタム イベントを作成することはできません。カスタム イベントには機密の顧客データが含まれる可能性があるためです。 たとえば、.NETエージェントでは、API呼び出し |
エージェント内のログイベントの転送を防止します | 高セキュリティ モードでは、ログ メッセージに顧客の機密データが含まれる可能性があるため、 |
高セキュリティ モードでは、カスタム インストルメンテーション エディターを使用するときにカスタム インストルメンテーションを展開できません。高セキュリティ モードが有効になっている場合は、 インストルメンテーションをエクスポートし、アプリ サーバーに手動でインポートする必要があります。 |
バージョン2対応
高セキュリティ モード バージョン 2 をサポートするエージェント バージョンの詳細は次のとおりです。
Agent | Version 2 support |
|---|---|
すべてのバージョン | |
3.7以上 | |
3.3以上 | |
1.7.0以上 | |
4.9以上 | |
2.22.0.0以降 | |
3.9.1以降 |
高セキュリティ モード v1 (非推奨) を有効にした結果
高セキュリティ モード バージョン 1 は非推奨となり、バージョン 2 が使用可能になる前に有効にした場合にのみ使用できます。高セキュリティ モード バージョン 1 では、アカウントに対して次のことが保証されます。
Feature | Comments |
|---|---|
エージェントが安全な接続(HTTPS)を使用する必要があります。 | 高セキュリティ モードでは、暗号化された接続 (HTTPS) が必要です。安全でない接続の試行は拒否されます。すべての New Relic エージェントの最新バージョンは HTTPS をサポートしています。構成が適切に設定されていない場合、エージェントはプロパティをオーバーライドして、転送中のすべてのデータが最新の業界標準に従って暗号化されるようにします。 |
HTTP paramのキャプチャを防ぐ | 機密性の高い顧客データを含む可能性のある HTTP パラメータをキャプチャするように設定されたエージェントは、New Relic への接続ができません。ローカル設定でリクエストパラメーターをキャプチャするように設定されている場合、New Relic のコレクターは接続を拒否し、エージェントはシャットダウンします。 |
生のクエリ文の取り込みを防ぐ | 機密性の高い顧客データを含む可能性のある生のデータベースクエリ文をキャプチャするように設定されたエージェントは、New Relic への接続ができません。エージェントがローカルで、または サーバーサイドの設定 で生のクエリをキャプチャするように設定されている場合、New Relic のコレクターは接続を拒否し、エージェントはシャットダウンします。 |
高セキュリティ モードでは、カスタム インストルメンテーション エディターを使用するときにカスタム インストルメンテーションを展開できません。高セキュリティ モードが有効になっている場合は、 インストルメンテーションをエクスポートし、アプリ サーバーに手動でインポートする必要があります。 |
バージョン1からバージョン2への移行
以上が、2つのバージョンのハイ・セキュリティの主な違いです。
高度なセキュリティをさらに強化するには、ローカルのNew Relic設定ファイルのNew Relicユーザー インタフェース
and
で高度なセキュリティを有効にする必要があります。 高セキュリティ v1 では、New Relic UI で高セキュリティを設定することのみが必要でした。
ユーザー属性、
noticeError属性、およびメッセージキューパラメータは、バージョン2では高いセキュリティでオフになっていますが、バージョン1ではオフになっています。
v1からv2に更新するには、ローカルエージェント構成ファイルにhigh_security: trueを追加します。