Datenschutz leicht gemacht: Mit den neuen Features zur Datenverschleierung im Rahmen von New Relic Log-Management erfüllen Sie Sicherheitsvorgaben zur Log-Erfassung so unkompliziert wie konsequent.

Datenverschleierung bzw. „Data Obfuscation“ bezeichnet ein Verfahren zum Schutz sensibler Log-Details wie personenbezogenen Informationen, Zugangs-Tokens oder anderen privaten und regulierten Daten, bei denen einige oder alle Elemente des zugehörigen Datensatzes unkenntlich gemacht werden. 

Im Rahmen des Toolsets für Log-Management von New Relic werden Datenmuster wie z. B. Kreditkartendaten automatisch maskiert. Hierzu lassen sich im Rahmen der neuen Features Custom-Regeln definieren, durch die vertrauliche Daten vor ihrer Speicherung via Hashing oder Maskierung verschleiert werden. Gelöst wird dies über reguläre Ausdrücke bzw. „Regular Expressions“ (Regex) und somit ganz ohne langwierige manuelle Konfiguration.

Aussagekräftigere Logs, unkomplizierte Sicherheit und Compliance

Logs in Context korreliert Ihre Logs mit relevanten Metrics, liefert so die nötige Visibility zur schnelleren Behebung von Problemen. Um die Übermittlung sensibler Daten gemäß den Sicherheitsvorgaben Ihres Unternehmens zu maskieren, zu verschleiern oder ggf. auch komplett zu blockieren, können Sie entsprechende Filter nun mühelos einrichten – ganz ohne Ihren Teams langwierige manuelle Prozesse rund um zugehörige Custom-Konfigurationen aufbürden zu müssen.

Für die Verschleierung kommen sensible Daten wie die Folgenden in Frage:

  • Personenbezogene Informationen: Sozialversicherungsnummern, Kombinationen aus Informationen etwa zum Vornamen und zugehörigen Geburtsdatum oder Nachnamen und zugehöriger Postleitzahl sowie andere von Benutzer:innen generierte Daten mit vertraulichen Inhalten
  • Gesundheitsbezogene Informationen: Patientendaten, darunter etwa Krankenakten
  • Finanzbezogene Informationen, darunter etwa Kreditkartennummern
  • Passwörter
  • Ebenfalls potenziell vertraulich: IP-Adressen, insbesondere in Kombination mit personenbezogenen Daten

Wichtig hierbei: Diese Liste ist nicht als vollständig zu betrachten. Halten Sie sich daher an die spezifischen Richtlinien Ihres Unternehmen, um festzustellen, welche Log-Daten Sie im Einzelnen geschützt behandeln müssen.

Grundlagen zu Obfuscation-Regeln

Um die Übermittlung von personenbezogenen, gesundheitsrelevanten oder beliebigen anderen zu schützenden Daten zu unterbinden, stehen zwei Verfahren zur Auswahl:

  • Maskierung. Hier erfolgt die Verschleierung der Daten einseitig und dauerhaft: Die Originaldaten werden dabei durch den Wert „x“ ersetzt, also etwa durch „XXXX“ für den jeweiligen Datensatz. Diese Verschleierung ist irreversibel; die ursprüngliche Zeichenfolge lässt sich danach nicht mehr wiederherstellen.
  • Hashing, bei dem die Verschleierung zweiseitig anhand eines sicheren Hash-Algorithmus (SHA-256) erfolgt, indem der Datensatz mit einem String von 512 Bit Länge verschlüsselt wird. Die UI bietet ein Hashing-Tool, über das der SHA-256-verschlüsselte String durch Eingabe des Originaltexts eingesehen werden kann. Dies erfolgt durch Verwendung des entsprechenden String als Suchbegriff.

Erstellen einer Obfuscation-Expression

Regular Expressions dienen zur Definition der Daten, die verschleiert werden sollen. Für ihre Erstellung gehen Sie wie folgt vor:

  1. Rufen Sie one.newrelic.com > Logs auf. Wählen Sie unter dem auf der linken Seite befindlichen Navigationsmenü den Eintrag Obfuscation aus.
  2. Wählen Sie die Option Create regex aus.

Legen Sie einen Namen für Ihre neue Obfuscation-Regel fest und geben Sie die passende Regex für die sensiblen Daten ein, die Sie verschleiern möchten. Dies erfolgt nach RE2-Syntax.

Erstellen einer Obfuscation-Regel

Die Verschleierung der Daten erfolgt anhand von Matching-Kriterien:

  1. Rufen Sie one.newrelic.com > Logs auf. Wählen Sie unter dem auf der linken Seite befindlichen Navigationsmenü den Eintrag Obfuscation aus.
  2. Wählen Sie Create obfuscation rule aus.
  3. Legen Sie einen Namen für Ihre neue Obfuscation-Regel fest und geben Sie im NRQL-Format die Matching-Kriterien zur Erfassung der für die Verschleierung vorgesehenen Logs ein.
  4. Fügen Sie neue Aktionen hinzu, um die Obfuscation-Expression (bzw. Regex) für die verschiedenen Attribute zu definieren und festzulegen, ob die Verschleierung mittels Maskierung oder Hashing erfolgen soll. Die erste Aktion wird dabei automatisch erstellt. Anhand von durch Kommas getrennten Werten können Sie mehrere Attribute definieren. Durch Maskierung werden alle mit der Regel übereinstimmenden Zeichen durch den Buchstaben „x“ ersetzt. Sofern Sie also die Option Mask verwenden, können Sie zu einem späteren Zeitpunkt keinen der verschleierten Werte mehr abfragen. Hashing wiederum ersetzt die sensiblen Daten durch einen Hash-Wert nach SHA-256. Bei Verwendung der Option Hash können Sie diese Werte über das Hashing-Tools abfragen – vorausgesetzt, Sie kennen den ursprünglichen Wert des jeweiligen Datensatzes, den Sie abfragen möchten.
  5.  Klicken Sie auf Create rule, um die Obfuscation-Regel zu erstellen und zu aktivieren.

    Voilà! Damit ist Ihre Regel fertig erstellt: Sensible Informationen werden fortan durch sie abgeglichen, bevor die entsprechenden Daten in NRDB gespeichert werden.

Jetzt starten mit Log-Verschleierung