ヒント
APMの設定可能なセキュリティポリシーは、New Relicの承認されたアカウントであれば、 限定リリース で利用可能です。
New Relicをご利用のお客様で、設定可能なセキュリティポリシーの限定リリースにご興味のある方は、New Relicの営業担当者にお問い合わせください。
APMの設定可能なセキュリティポリシーでは、アカウントのデータセキュリティに関連する構成オプションを詳細に制御することができます。このドキュメントでは、アカウント全体のセキュリティポリシーを有効にする方法と、利用可能なオプションについて説明します。
New Relicのセキュリティ対策の詳細については、セキュリティとプライバシーのドキュメントを参照、またはNew Relicのセキュリティウェブサイトを閲覧してください。
互換性および要件
この機能をサポートするAPMエージェントのバージョンは以下の通りです。
設定可能なセキュリティポリシーの有効化
注意
セキュリティポリシーはアカウント全体に適用されます。一度有効にしたセキュリティポリシーは、New Relic のサポートがなければ編集や無効にすることはできません。
ハイセキュリティモード がアカウントで有効になっている場合、 無効にしないでください 。アカウントレベルのハイセキュリティモードは、設定ファイルで設定されているAPMエージェントのハイセキュリティモードとは異なります。
高セキュリティモードや設定可能なセキュリティポリシーは、LambdaのモニタリングやNew Relic Event APIの使用には適用されません。
限定公開のため、UIコンポーネントはありません。
限定発売に参加される方は、以下の手順でアカウントを設定してください。
- 設定可能なセキュリティポリシーを有効にするアカウントを選択します。
- それらのアカウントに必要な 設定可能なセキュリティポリシーのオプション を選択します。
- 選択したオプションをNew Relicの営業担当者に伝える。
- エージェントのバージョンがこの機能をサポートしていることを確認してください 。必要に応じてエージェントを更新してください。
- 選択したセキュリティポリシーのオプションに基づいてセキュリティトークンを受け取ったら、そのセキュリティトークンをエージェント構成ファイル(複数可)に挿入します。 例 を参照してください。
- 設定ファイルから「high security mode enabled」フラグを削除します。
エージェントレベルでのハイセキュリティモード(HSM)は、 アカウントレベルでのハイセキュリティモードとは異なります。 。本手順で説明するように、エージェントの設定ファイルでHSMを必ず無効にしてください。セキュリティトークンとHSMフラグの両方を持っていると、エージェントが切断されてしまいます。
構成例
ここでは、設定可能なセキュリティポリシーを有効にするための構成例を紹介します。
Javaエージェントは、設定のために YAMLファイルを使用します 。以下は、セキュリティ・ポリシーを有効にするスニペットの例です。
common: &default_settings
license_key: 'YOUR_LICENSE_KEY'
app_name: 'YOUR_APPLICATION_NAME'
security_policies_token: 'YOUR_TOKEN'
production:
<<: *default_settings
log_level: info
.NETエージェントは、設定のために XMLファイルを使用します 。以下は、セキュリティポリシーを有効にするスニペットの例です。
...
<configuration agentenabled="true" xmlns="urn:newrelic-config">
<service licensekey="YOUR_LICENSE_KEY">
<application>
<name>YOUR_APPLICATION_NAME</name>
</application>
<securityPoliciesToken>YOUR_TOKEN</securityPoliciesToken>
<log level="info">
</log></service></configuration>
...
環境変数を使いたい場合は、以下のようになります。
NEW_RELIC_SECURITY_POLICIES_TOKEN=YOUR_TOKEN
Rubyエージェントは、設定に YAMLファイルを使用します 。ここでは、セキュリティ・ポリシーを有効にするスニペットの例を示します。
common: &default_settings
license_key: 'YOUR_LICENSE_KEY'
app_name: 'YOUR_APPLICATION_NAME'
security_policies_token: 'YOUR_TOKEN'
production:
<<: *default_settings
log_level: info
利用可能なポリシーオプション
ここでは、ポリシー作成時に選択できる設定をご紹介します。一部のエージェントでは、これらのオプションを利用できない場合があります。
設定 | 効果 |
|---|
データベースクエリの収集 | オプション。 有効にします。難読化されたデータベースのクエリデータを収集します。難読化されたクエリは通常、APM または New Relic One の UI で 遅いクエリの詳細 と共に表示されます。 無効にします。難読化されたデータベースのクエリデータの収集を防止します。 設定可能なセキュリティポリシーが 有効になると、生のクエリデータは収集されません 。
|
attributes.include list
Go、Java、.NET、Node.js、Rubyのみ | オプション。 Enabled: attributes.include リストは正常に機能し、 attributes key attributes.include リストで見つかったものは記録されます。 無効です。エージェント構成の attributes.include プロパティに記載されている許可されている属性のリストを無視し、固有のリクエストパラメータ属性は収集されません。 アカウントレベルでの属性のホワイトリスト化はサポートされていません。
|
生の例外メッセージ | オプション。 - 有効にします。すべての生の例外メッセージの記録を許可します。
- 無効にします。すべての生の例外メッセージを記録しないようにします。エージェントによっては、メッセージが難読化されたり、完全に削除されたりします。
|
カスタムイベント | オプション。 - 有効にします。エージェントAPIを介して作成・送信された カスタムイベント の記録を許可します。
- 無効にします。エージェントAPIによって収集されたカスタムイベントの記録を禁止します。
|
カスタムアトリビュート | オプション。 |
カスタムインストルメントエディター Javaのみ | オプション。 有効にします。 カスタム・インスツルメンテーション・エディター を使用して、エージェントのカスタム・インスツルメンテーションを許可します。 無効にします。カスタムインストルメンテーションエディタを使用したエージェントのカスタムインストルメンテーションを禁止します。エディタを使用して行われたインストゥルメンテーションも無効になります。 カスタムインストルメントエディタへのアクセスは、New Relic アカウントのオーナーおよびアドミンのみが可能です。
|
メッセージパラメータ JavaとRubyのみ | オプション。 - 有効にします。メッセージパラメータの収集を許可します (
message.parameters.*)。 - 無効にします。メッセージパラメーターの収集を禁止します。
|
求人票 Rubyのみ | オプション。 - 有効にします。ジョブの引数の収集を許可します (
job.(type).args.*)。 - 無効にします。ジョブ引数の収集を禁止します。
|