Cette traduction automatique est fournie pour votre commodité.
En cas d'incohérence entre la version anglaise et la version traduite, la version anglaise prévaudra. Veuillez visiter cette page pour plus d'informations.
L'agent d'infrastructure de New Relic s'exécute sur vos hôtes et fournit des données complètes, en particulier lorsqu'il est exécuté avec des privilèges d'administrateur. Ce qui suit est un aperçu de la sécurité de notre agent d’infrastructure et quelques recommandations.
Communication sécurisée des agents
Chaque information échangée entre vos hôtes et l' agent d'infrastructure est délivrée de manière sécurisée. Toutes les communications de l'agent s'effectuent via HTTPS, en utilisant Transport Layer Security (TLS). Pour assurer une communication sécurisée, l'agent d'infrastructure a été conçu avec les mesures de protection suivantes :
Toutes les communications sont établies directement de l'agent vers le service.
L'agent ne nécessite l'ouverture d'aucun port entrant.
L'agent est en lecture seule et ne peut pas apporter de modifications à votre système.
New Relic s'engage à assurer la sécurité de vos données. Toutes les données dérivées lors de l’exécution de l’ agent d’infrastructure sont protégées et utilisées uniquement pour vous fournir des informations relatives à votre infrastructure.
Linux
Vous pouvez exécuter l’agent d’infrastructure Linux dans trois modes différents :
Lorsque l'agent s'exécute en tant qu'utilisateur racine, il dispose d'un accès total à toutes les métriques et à l'inventaire du système.
L'agent exécute un utilisateur non privilégié, nommé nri-agent, qui bénéficie de capacités de noyau étendues pendant le processus d'installation. L'utilisateur privilégié nri-agent est donc en mesure de collecter certaines métriques et la majeure partie de l'inventaire. Ces autorisations sont en lecture seule_._
Le script d'installation en mode privilégié effectuera les modifications suivantes dans votre système :
Créez l'utilisateur et le groupe nri-agent .
Définissez l'utilisateur et le groupe nri-agent comme propriétaires des répertoires suivants :
CAP_SYS_PTRACE, qui permet d'inspecter et de tracer des processus arbitraires
CAP_DAC_READ_SEARCH, pour contourner les vérifications d'autorisation de lecture et d'exécution de fichiers et de répertoires
L'agent s'exécute avec un utilisateur non privilégié, nri-agent, qui est automatiquement créé pendant le processus de mise à niveau/installation, et n'aura pas accès en lecture à toutes les métriques du système. Cela offre une visibilité sur les environnements avec des politiques de sécurité ou réglementaires très strictes. Aucune autorisation ou accès spécial n'est accordé à l'utilisateur dans ce mode d'exécution.
Le script d'installation en mode non privilégié effectuera les modifications suivantes dans votre système :
Créez l'utilisateur et le groupe nri-agent .
Définissez nri-agent et le groupe comme propriétaires des fichiers et dossiers système suivants :
Dans le système Windows , l'agent doit être exécuté avec des autorisations d'administrateur.
Sources de collecte de données
L'agent infrastructure rassemble des métriques, des événements et des données d'inventaire à partir de diverses sources de système d'exploitation. Alors que certaines de ces sources peuvent être lues à partir d’un compte non privilégié, d’autres nécessitent des privilèges élevés.
Pour les versions actuelles de l'agent, New Relic nécessite qu'il s'exécute en tant qu'utilisateur root (sous Linux) ou avec un accès administrateur complet (Windows). Voici des détails supplémentaires sur la manière dont l'agent infrastructure accède aux répertoires par défaut et sur le package et les commandes qu'il utilise.
Sauf indication contraire, ces informations s’appliquent à tout système d’exploitation Linux.
Répertoire ou fichier
But
Système d'exploitation Linux
/etc/newrelic-infra.yml
Fichier de configuration par défaut
N'importe lequel
/usr/bin/newrelic-infra-service
Emplacement d'installation binaire du wrapper de service d'agent par défaut
N'importe lequel
/usr/bin/newrelic-infra
Emplacement d'installation binaire de l'agent par défaut
N'importe lequel
/usr/bin/newrelic-infra-ctl
Emplacement binaire de contrôle de l'agent CLI par défaut
N'importe lequel
/var/db/newrelic-infra/
Cache d'inventaire par défaut et binaires de plugin
N'importe lequel
/var/run/newrelic-infra.pid
Fichier PID par défaut
N'importe lequel
stdout, stderr, logs
Selon configuration, l'agent écrit le log dans stdout, qui peut se connecter à votre service de logging système
N'importe lequel
Certaines sources de données sont spécifiques à un système d'exploitation particulier. Sauf mention contraire, New Relic utilise la source sur toutes les variantes d'un système d'exploitation lorsque le logiciel concerné est détecté. De nombreux outils se trouvent sur un chemin accessible à l’agent. Sauf indication contraire, l'agent d'infrastructure les recherche généralement dans /usr/bin, /bin ou /sbin.
New Relic utilise certains outils ou sources de données pour collecter des informations sur plusieurs fonctionnalités infrastructure . Voici quelques cas d’utilisation principaux. Sauf indication contraire, New Relic utilise ces informations principalement pour la pageInventory.
Divers plugins collectent des détails sur l'ensemble du système via ce répertoire. Utilisé pour l'infrastructure Inventory et les métriques.
/proc/
N'importe lequel
Divers plugins collectent sysctl paramètres via ce répertoire. Utilisé pour l'infrastructure Inventory et les métriques.
/sys/
N'importe lequel
Divers plugins (sshd_config, hostinfo) lisent des configurations spécifiques dans ce répertoire. Utilisé pour l'infrastructure Inventory et les métriques.
/etc/
N'importe lequel
Procurations
New Relic inclut des paramètres facultatifs pour que vous puissiez configurer l'agent pour communiquer via un proxy. Pour définir les paramètres proxy, consultez la documentationconfiguration de monitoring d'infrastructure.
Connexions d'agents externes
L'agent envoie périodiquement des données au format JSON décrivant les métriques de calcul, les événements et votre configuration d'inventaire au point de terminaison de l'infrastructure chez New Relic.Ces communications sont associées à l'agent utilisant le généré pour votre compte. Une fois que New Relic reçoit des données configuration monitoring d'un agent externe, il affiche les nouvelles métriques, événements ou données dans l'UI de l'infrastructure.
Commandes d'agent externe
L'agent gère deux sources de commandes différentes, newrelic-infra-ctl et command-API:
Les commandes CLI soumises avec newrelic-infra-ctl sont envoyées à l'agent avec la signalisation Linux ou Docker ou avec des canaux nommés Windows.
À l’aide du point de terminaison command-API de la plateforme New Relic, l’agent interroge les commandes fournies par la plateforme toutes les 60 secondes. La connexion est toujours ouverte depuis l'agent vers les points de commande de terminaison d'API de la plateforme New Relic, jamais l'inverse. Le point de terminaison command-API est utilisé uniquement pour forcer l'activation ou la désactivation de l'enregistrement d'entités dynamiques. Cela s’applique également à l’intégration Docker fournie avec l’agent d’infrastructure version 1.9.0 ou supérieure.
Livrables
L'agent infrastructure et toutes les intégrations sur hôte qui s'exécutent dessus sont fournis à l'aide du référentiel et du package standard du système d'exploitation. New Relic signe cryptographiquement tous les packages et les étapes de vérification sont fournies par défaut dans le script d'installation.
Tout le code est vérifié pour détecter les vulnérabilités de dépendance à l'aide d'outils de sécurité standard (Snyk, Dependabot, Trivy).
Le site de téléchargement officiel de New Relic est hébergé sur AWS via S3 et géré par Fastly, notre fournisseur CDN de confiance.