Starker Schutz für Ihre Daten: New Relic Logverschleierung

Mit den Features zur Logverschleierung als Teil des New Relic Log-Managements erfüllen Sie Sicherheitsvorgaben zur Log-Erfassung so unkompliziert wie konsequent.

Grundlagen der Logverschleierung

Datenverschleierung bzw. „Data Obfuscation“ bezeichnet ein Verfahren zum Schutz sensibler Log-Details wie personenbezogenen Informationen, Zugangs-Tokens oder anderen privaten und regulierten Daten, bei denen einige oder alle Elemente des zugehörigen Datensatzes unkenntlich gemacht werden. 

Unser Toolset für das Log-Management maskiert Datenmuster wie z. B. Kreditkartendaten automatisch. Mit unseren neuen Features können Sie jetzt zusätzlich selbst Regeln definieren, durch die vertrauliche Daten via Hashing oder Maskierung vor ihrer Speicherung verschleiert werden. Gelöst wird dies über reguläre Ausdrücke bzw. „Regular Expressions“ (RegEx) und somit ganz ohne langwierige manuelle Konfiguration.

Aussagekräftigere Logs, unkomplizierte Sicherheit und Compliance

Logs in Context korreliert Ihre Logs mit relevanten Metrics, liefert so die nötige Visibility zur schnelleren Behebung von Problemen. Um die Übermittlung sensibler Daten gemäß den Sicherheitsvorgaben Ihres Unternehmens zu maskieren, zu verschleiern oder ggf. auch komplett zu blockieren, können Sie entsprechende Filter nun mühelos einrichten – ganz ohne Ihren Teams langwierige manuelle Prozesse rund um zugehörige Custom-Konfigurationen aufbürden zu müssen.

Was sollte in Logs verschleiert werden?

Für die Verschleierung kommen sensible Daten wie die Folgenden in Frage:

• Personenbezogene Informationen: Sozialversicherungsnummern, Kombinationen aus Informationen etwa zum Vornamen und zugehörigen Geburtsdatum oder Nachnamen und zugehöriger Postleitzahl sowie andere von Benutzer:innen generierte Daten mit vertraulichen Inhalten
• Gesundheitsbezogene Informationen: Patientendaten, darunter etwa Krankenakten
• Finanzielle Informationen wie z. B. Kreditkartennummern
• Passwörter
• Ebenfalls potenziell vertraulich: IP-Adressen, insbesondere in Kombination mit personenbezogenen Daten

Wichtig ist hierbei: Diese Liste ist nicht als vollständig zu betrachten. Halten Sie sich daher an die spezifischen Richtlinien Ihres Unternehmen, um festzustellen, welche Logdaten Sie im Einzelnen geschützt behandeln müssen.

Die Vorteile der Logverschleierung

Die Logverschleierung zahlt sich besonders für Organisationen aus, die regelmäßig vertrauliche Daten handhaben. Dies sind nur einige der Vorteile: 

• Datensicherheit: Durch Logverschleierung sinkt die Gefahr von Datenschutzverletzungen. Datenschutz und -sicherheit werden gestärkt.
• Compliance: Logverschleierung erleichtert Organisationen die Einhaltung von Vorgaben zum Schutz personenbezogener Informationen und anderer vertraulicher Daten. 
• Vertrauen Ihrer Kund:innen: Mit der Logverschleierung zeigen Sie Ihren Kund:innen, dass Sie Datenschutz und -sicherheit ernst nehmen. 
• Daten-Governance: Die Logverschleierung gewährleistet einen angemessenen Schutz vertraulicher und sensibler Daten im gesamten Lifecycle. 
• Datenanalyse: Unkenntlich gemachte sensible Daten in Logdateien können weiterhin für Analyse und Troubleshooting genutzt werden – aber ohne dass Datenschutz und -sicherheit verletzt werden.

Grundlagen zu Obfuscation-Regeln

Maskierung oder Hashing

Um die Übermittlung von personenbezogenen, gesundheitsrelevanten oder anderen zu schützenden Daten zu unterbinden, stehen zwei Verfahren zur Auswahl:

• Maskierung. Hier erfolgt die Verschleierung oder Obfuscation der Daten einseitig und dauerhaft. Die Originaldaten werden dabei durch den Wert „x“ ersetzt, also etwa durch „XXXX“ für den jeweiligen Datensatz. Diese Verschleierung ist irreversibel; die ursprüngliche Zeichenfolge lässt sich danach nicht mehr wiederherstellen.
• Hashing, bei dem die Verschleierung zweiseitig anhand eines sicheren Hash-Algorithmus (SHA-256) erfolgt, indem der Datensatz mit einem String von 512 Bit Länge verschlüsselt wird. Die UI enthält ein Hashing-Tool, über das der SHA-256-verschlüsselte String durch Eingabe des Originaltexts eingesehen werden kann. Dies erfolgt durch Verwendung des entsprechenden String als Suchbegriff.

Erstellen einer Obfuscation Expression

Regular Expressions (RegEx) bzw. reguläre Ausdrücke dienen zur Definition der Daten, die verschleiert werden sollen. Zur Erstellung einer Obfuscation Expression gehen Sie wie folgt vor:

1. Rufen Sie one.newrelic.com > Logs auf. Wählen Sie links im Navigationsmenü Obfuscation aus.
2. Wählen Sie Create expression aus.

Legen Sie einen Namen für Ihre neue Obfuscation Expression fest und geben Sie die passende RegEx für die zu verschleiernden Daten ein. Verwenden Sie dazu die RE2-Syntax.

Erstellen einer Obfuscation-Regel

Die Verschleierung vertraulicher Daten erfolgt anhand von Matching-Kriterien:

1. Rufen Sie one.newrelic.com > Logs auf. Wählen Sie links im Navigationsmenü Obfuscation aus.
2. Wählen Sie Create obfuscation rule aus.
3. Legen Sie einen Namen für Ihre neue Obfuscation-Regel fest und geben Sie im NRQL-Format die Matching-Kriterien für die zu verschleiernden Logs ein.
4. Fügen Sie neue Aktionen hinzu, um die Obfuscation Expression (RegEx) für die verschiedenen Attribute zu definieren und festzulegen, ob die Verschleierung mittels Maskierung oder Hashing erfolgen soll. Die erste Aktion wird dabei automatisch erstellt. Sie können mehrere Attribute gleichzeitig definieren, indem Sie sie durch Kommas trennen. Durch Maskierung werden alle mit der Regel übereinstimmenden Zeichen durch den Buchstaben „x“ ersetzt. Wenn Sie also die Option Mask verwenden, können Sie später keinen der verschleierten Werte mehr abfragen. Hashing wiederum ersetzt die sensiblen Daten durch einen Hash-Wert nach SHA-256. Bei Verwendung der Option Hash können Sie diese Werte später über das Hashing-Tool abfragen – vorausgesetzt, Sie kennen den ursprünglichen Wert des abzufragenden Datensatzes.

5.  Klicken Sie auf Create rule, um die Obfuscation-Regel zu erstellen und zu aktivieren.

   Das war's schon: Sensible Informationen werden fortan durch die neu erstellte Regel abgeglichen, bevor die entsprechenden Daten in NRDB gespeichert werden.

Best Practices bei der Logverschleierung

Mit diesen Best Practices sorgen Sie für Effektivität, Effizienz und Compliance in Ihrem Unternehmen: 

1. Ermitteln sensibler Daten: Identifizieren Sie die sensiblen Datentypen, die in Logdateien unkenntlich gemacht werden sollen. 
2. Entwickeln einer Strategie für die Verschleierung: In einer klaren, einheitlichen Strategie ist festgelegt, wie die verschiedenen Typen sensibler Daten in Logdateien verschleiert werden. 
3. Implementieren automatischer Verschleierung: Sie können die Unkenntlichmachung sensibler Daten in Logdateien automatisieren. Damit erfolgt die Verschleierung auf eine einheitliche Weise und Fehler durch menschliche Eingriffe werden minimiert. Nicht zuletzt erlaubt die Automatisierung eine effizientere Verschleierung großer Logdatenmengen gleichzeitig.
4. Testen und Validieren der Verschleierung: Testen Sie den Verschleierungsprozess, um sicherzugehen, dass die sensiblen Daten wie vorgesehen unkenntlich gemacht werden und dass die Logdateien weiterhin für Analyse und Troubleshooting genutzt werden können. 
5. Monitoring und Prüfen des Verschleierungsprozesses: Durch eingehendes Monitoring der Verschleierung lassen sich eventuelle unerwartete Folgen oder Lücken im Prozess aufdecken. 
6. Dokumentieren des Verschleierungsprozesses: Dokumentieren Sie die einzelnen Prozessschritte einschließlich der Verschleierungsstrategie, der zur Verschleierung verwendeten Tools und Techniken sowie relevanter Richtlinien und Verfahren.

Legen Sie los mit der Logverschleierung