注: 以下の翻訳の正確性は検証されていません。AIPを利用して英語版の原文から機械的に翻訳されたものです。
ネットワークエグレスとは、Foundry 内部から外部システムに接続しようとするすべてのネットワークトラフィックを指します。このページでは、ネットワークエグレスがどのように設定および管理されるか、またその設定が Foundry 内のユーザーのワークロードにどのように適用されるかについて説明します。
ネットワークイングレスは、Foundry 外部から Foundry への接続を試みるネットワークトラフィックを指します。ネットワークイングレスもControl Panelで管理されます。
Foundry は顧客データを保護するために厳格なネットワークファイアウォールを提供します。顧客管理のネットワークエグレスポリシーは、コンテナネットワーキング技術(Cilium ↗, eBPF ↗)を使用して個別のワークロードにネットワークファイアウォールルールを適用するために使用されます。これらの顧客固有のルールに加えて、Palantir の情報セキュリティチームはインフラストラクチャプロキシレベルでネットワークファイアウォールルールを維持し、もう一つのセキュリティ層を提供します。これらのルールは一緒に、Foundry 内のユーザーワークロードのネットワークエグレス実行を管理し、以下を含みます。
Foundry からエグレスするネットワークトラフィックは、データがどちらの方向にも流れる可能性があります。つまり、外部接続が許可されている Foundry 内のワークロードは、データの同期とエクスポートの両方に使用される可能性があります。
ネットワークエグレスルートを開くことは常にセキュリティリスクを伴います。Foundry エンロールメントの情報セキュリティ担当者は、信頼できる宛先にのみネットワークルートを開き、そのルートへのアクセスを信頼できる開発者グループに限定する必要があります。信頼できる外部システムであっても、悪意のあるアクターがセキュリティコントロールを回避するために悪用する可能性があります。情報セキュリティ担当者は、エグレスロジックの変更を信頼できるグループによってレビューされるようにするために Foundry の変更管理ツールを活用し、エグレスロジックが引き続き安全であることを確認するための監査プロセスを確立する必要があります。
ネットワークエグレスポリシーはControl Panelで設定され、Foundry エンロールメントからユーザーワークロードがエグレスできる外部宛先のセットを表します。エグレスポリシーは、ドメイン名、IP、または CIDR ブロックによって指定されます。
ネットワークエグレスポリシーの宛先は、ポリシーが作成された後に変更することはできません。ネットワークエグレスポリシーは作成後に削除することはできず、取り消しのみが可能です。
以下の表は、ネットワークエグレスポリシーを設定する際に使用できるオプションをまとめたものです。
| オプション | 説明 |
|---|---|
| アドレス | オプション 1: DNS subdomain.domain.com 形式のドメイン名。特定のドメイン名のみが許可され、ワイルドカードはサポートされません。たとえば、foo.mycompany.com と bar.mycompany.com の両方のトラフィックを許可するには、2 つの別々のドメイン名ポリシーを作成する必要があります。 オプション 2: IP x.x.x.x 形式の単一の IPv4 アドレス オプション 3: CIDR x.x.x.x/x 形式の IPv4 CIDR アドレスブロック 詳細については、ドメイン名アドレスとIP および CIDR アドレスのセクションを参照してください。 |
| ポート(s) | 指定されたドメインに対して許可されるポートまたはポート範囲。ポート値は 1 - 65535 の範囲内でなければなりません。 オプション 1: 単一ポート DNS アドレスを使用する場合、単一ポートを指定する必要があります。設定されたドメイン名およびポートでは、HTTP、HTTPS、および特定のソースタイプ(PostgreSQL、MS SQL Server、FTP)のトラフィックのみが許可されます。ポート 80 を指定すると、HTTP トラフィックが許可されます。それ以外の場合は、HTTPS トラフィックのみが許可されます。 オプション 2: ポート範囲 このオプションを使用する場合、開始ポートと終了ポートを指定する必要があります。開始ポートは終了ポート以下でなければなりません。 |
| グローバル | デフォルトでは false です。このオプションを有効にすると、指定されたドメインとポートがグローバルポリシーになり、強く推奨されません。 |
ドメイン名を使用して外部宛先を指定するネットワークエグレスポリシーは、追加の IP ポリシーなしで HTTP/HTTPS トラフィックおよび一部のソースタイプ(PostgreSQL、MS SQL Server、FTP)への接続を許可します。
他の非 HTTP/HTTPS トラフィックについては、ドメイン名ポリシーは IP ポリシーと併用する必要があります。これは、Palantir のネットワークプロキシがすべてのドメインベースのネットワークエグレストラフィックに対して TLS 検査を実行するためです。非 HTTP/HTTPS トラフィックに関しては、必要なメタデータが利用できないためです。
ドメインを IP アドレスに解決し、IP または CIDR アドレスを使用してエグレスポリシーを使用します。その後、Foundry 内でデータ接続ソースを設定し、ドメイン名と IP ポリシーの両方を使用して接続します。
将来的にドメイン名と IP アドレスの DNS 解決が変更された場合、エグレスポリシーおよび宛先の両方を更新する必要があります。
IPv4 アドレスまたは CIDR ブロックを使用して外部宛先を指定するネットワークエグレスポリシーは、指定されたアドレスおよびポートで任意のネットワークトラフィックを許可するために使用できます。これらのポリシーは、HTTP/HTTPS、FTP、TCP ベースの SQL データベースプロトコルを含む任意の TCP プロトコルをサポートします。IPv6 アドレスはサポートされていません。
Foundry は、IP アドレスまたは CIDR ブロックを使用して許可されたすべてのネットワーク接続に対してデフォルトで TLS 検査を実行しようとします。ただし、FTP(S)、SFTP、およびほとんどの TCP ベースのデータベース接続など、一部のプロトコルには適用できません。Palantir のネットワークインフラストラクチャが TLS 検査をサポートしないトラフィックに対して TLS 検査を試みる場合、接続がハングしたりタイムアウトエラーが発生する可能性があります。
デフォルトでは、以下の一般的に使用される TCP プロトコルのポートに対してトラフィックの TLS 検査が無効になっています。
| ポート(s) | プロトコル |
|---|---|
20-21 | FTP |
22 | SSH、SFTP |
25 | SMTP |
990 | FTPS |
3306 | MySQL |
5432 | PostgreSQL |
TLS 検査は、ポリシーベースで手動で無効にすることができます。これがユーザーのユースケースに必要であり、上記のリストに含まれていない場合は、サポート問題を開いてください。DNS ベースのポリシーでは TLS 検査を無効にすることはできないことに注意してください。
さらに、上記のリストに含まれていないポートを含むポート範囲を指定するポリシーは、すべてのトラフィックに対して TLS 検査を有効にし、上記のポートへのトラフィックも含まれます。
以下の表は、ネットワークエグレスポリシーに関連する操作とこれらの権限のデフォルト設定をまとめたものです。
| 操作 | 説明 |
|---|---|
| 提案 | どの Foundry ユーザーもネットワークエグレスポリシーを提案できます。提案されたポリシーは承認された後にのみアクティブになり、使用可能になります。承認待ちのポリシーはControl Panelの承認ボックスに表示されます。 |
| 承認/作成 | Manage network egress configuration ワークフローを通じて付与されます。デフォルトでは、このワークフローは Enrollment Administrator および Information Security Officer ロールの両方に付与されます。 |
| メタデータの更新 | Manage network egress configuration ワークフローを通じて付与されます。デフォルトでは、このワークフローは Enrollment Administrator および Information Security Officer ロールの両方に付与されます。 |
| 取り消し | Manage network egress configuration ワークフローを通じて付与されます。デフォルトでは、このワークフローは Enrollment Administrator および Information Security Officer ロールの両方に付与されます。 |
| 一時停止 | Palantir の情報セキュリティチームには、セキュリティリスクや脅威と見なされるネットワークエグレスをブロックする権限があります。これによってブロックされたネットワークエグレスポリシーはControl Panelで Paused と表示されます。ユーザーのエンロールメントの正当なネットワークエグレスポリシーが誤って一時停止されたと思われる場合は、関連する詳細を含むサポートチケットを提出してください。 |
| 表示 | 割り当てられたユーザーやグループがポリシーの存在を確認できるようにするが、それをワークロードにインポートして使用することはできません。一般的に、ポリシーのインポーターでない場合でも、ポリシーを使用する可能性がある人全員をビューワーにすることをお勧めします。 |
| インポート | 割り当てられたユーザーやグループがポリシーの存在を確認し、ワークロード内でインポートして使用できるようにします。 |
ネットワークエグレスの主な管理インターフェースはControl Panelのエンロールメントレベルにあります。Manage network egress configuration ワークフローにアクセスできるユーザーは、Network Egress ページにアクセスしてエグレスポリシーに関する管理アクションを実行できます。
Enrollment Administrators および Information Security Officers は、エグレスポリシーがインポートされているプロジェクトを常に確認できます。これは、管理ユーザーがプロジェクトにアクセスする個別のアクセスに関係なく可能です。このメタデータは、情報セキュリティ担当者がポリシーの使用状況に関するガバナンス上の決定を行うために十分な可視性を持つようにするために利用できます。
ポリシーを承認する際、情報セキュリティ担当者は、どのユーザーやグループがネットワークエグレスポリシーに対して View または Import の権限を付与されるべきかを決定する必要があります。これは、後でControl Panelのポリシー詳細ページの Manage Sharing ボタンを使用して管理することもできます。
ネットワークエグレスポリシーに Import アクセスを持つユーザーは、宛先アドレスと通信する任意のコードを Foundry で実行できます。 インポート権限を付与されたユーザーが信頼できること、およびこのアクセスの誤用を防ぐために組織の情報セキュリティポリシーを学んでいることを確認してください。
ネットワークエグレスポリシーのライフサイクル全体で、以下のさまざまなステートのいずれかにある場合があります:
| ポリシーステート | 説明 |
|---|---|
Pending approval | 承認待ちは新しいネットワークエグレスポリシーのデフォルトのステートです。このステートのポリシーはワークロードに添付できますが、承認待ちのポリシーを使用しようとするワークロードは実行に失敗します。 |
Active | ポリシーが承認されると、アクティブになります。アクティブなポリシーのインポーターは、Foundry ワークロードに添付して指定された外部アドレスにエグレスできるようになります。 |
Paused | Palantir の情報セキュリティチームが指定されたアドレスへのエグレスをブロックしました。一時停止されたポリシーを使用しようとするワークロードは実行に失敗します。 |
Revoked | Foundry エンロールメントの情報セキュリティ担当者は、Control Panelからポリシーを取り消すことができます。取り消されたポリシーを使用しようとするワークロードは実行に失敗します。 |
アクティブなポリシーを使用するワークロードは正常に実行されますが、一時停止/取り消しされたポリシーを使用しようとするワークロードは実行に失敗します。
単一の IP アドレスを使用するポリシーと、IP アドレスの CIDR ブロックを指定するポリシーが重複する場合があります。
この場合、同一のポリシーと同様に、アクティブなポリシーを使用するワークロードは正常に実行され、一時停止/取り消しされたポリシーを使用しようとするワークロードは実行に失敗します。
重複するポリシー