注: 以下の翻訳の正確性は検証されていません。AIPを利用して英語版の原文から機械的に翻訳されたものです。

ネットワークエグレスの設定

Foundryは、厳格なネットワークファイアウォールを提供しており、顧客データを保護します。ネットワークルールは、コンテナネットワーク技術(CiliumeBPF)を使用して個々のワークロードに適用されます。これらの顧客固有のルールに加えて、Palantirはインフラストラクチャプロキシレベルで追加のネットワークファイアウォールルールを維持しており、さらなるセキュリティレイヤーを提供します。これらのルールのセットは、Foundryでのユーザー作成ロジックの実行に関するネットワークエグレスルールを統制します。これには以下が含まれます。

  • Data Connectionクラウドインジェスト(直接接続)
  • コード変換
  • Code Workbook
  • モデリングライブデプロイメント

Foundryのネットワークルールでは、ネットワークエグレスネットワークイングレス の2種類のネットワーク接続が考慮されます。ネットワークエグレスは、ユーザー作成のコードからFoundry外の宛先に到達するために開始される接続を指します。ネットワークイングレスは、Foundryの外部から開始される接続を指します。Foundryは、ユーザー作成のコードへのすべてのイングレス接続をブロックします。攻撃者は、Foundryで作成されたソフトウェアの一部に対して直接ネットワークリクエストを開始することはできません。Foundryは、ユーザー作成のコードからのエグレス接続も制限しますが、ネットワークエグレスポリシーを作成して適用することで、これらの制限をカスタマイズできます。

エグレスリクエストでは、データは両方向に流れることに注意してください。これは、エグレスリクエストを通じてデータを外部に流出させることも、外部データをインポートすることも可能であることを意味します。

ネットワークエグレスルートを開くことは常にセキュリティリスクです。管理者は、信頼できる宛先にのみネットワークルートを開くようにし、信頼できる開発者グループに対してのみそのルートへのアクセスを制限するようにすべきです。信頼できる外部システムであっても、悪意のあるアクターによってセキュリティコントロールをバイパスするために悪用される可能性があります。管理者は、Foundryの変更管理ツールを活用して、エグレスロジックの変更が信頼できるグループによってレビューされるようにし、エグレスロジックが安全であることを確認するための監査プロセスを確立すべきです。

ネットワークエグレスポリシー

ネットワークエグレスポリシーは、コントロールパネルで管理され、可能なネットワークエグレスルートのセットを拡張します。エグレスポリシーには、ドメイン名とTCPの2種類があります。

ドメイン名ポリシー

ドメイン名ポリシーでは、設定されたドメイン名とポートでHTTP/HTTPSトラフィックが許可されます。管理者は、ドメイン名で開くポート範囲も指定できます。特定のドメイン名のみが許可されることに注意してください。たとえば、foo.mycompany.combar.mycompany.com の両方にトラフィックを許可するには、別々のドメイン名ポリシーを2つ作成する必要があります。

TCPポリシー

TCPポリシーでは、設定されたIP CIDRブロックとポートで任意のTCPネットワークトラフィックが許可されます。管理者は、IPブロックのために開くポート範囲も指定できます。これらのポリシーは、HTTP/HTTPS、FTP、またはTCPベースのSQLデータベースプロトコルを含む任意のTCPプロトコルをサポートしています。TCPポリシーにドメイン名を提供することはできません。なぜなら、ドメイン名のメタデータはPalantirネットワークプロキシによって検査できないからです。

Foundryは、すべてのネットワーク接続に対して検証を試みます。ただし、FTPのようないくつかのプロトコルにはこの操作を適用できず、接続が中断されたりタイムアウトエラーが発生したりすることがあります。エグレスポリシーの適切な設定にもかかわらず、エラーが続く場合は、検証を無効にしたいポリシーのリストとともに問題を報告してください。ただし、DNSベースのポリシーに対して検証を無効にすることはできません。

TCPトラフィックを使用してドメインに接続するための回避策は何ですか?

TCPトラフィックを使用してドメインに接続するための2つのオプションがあります。

  1. (推奨)ドメインをIPアドレスに解決し、エグレスポリシーとFoundryからの接続にそのアドレスを使用します。ドメイン名からIPアドレスへのDNS解決が将来変更される場合は、エグレスポリシーと宛先の両方を更新する必要があります。

  2. (代替)ドメインのエグレスポリシーを作成し、ドメインが解決するすべてのIPアドレスに対しても作成します。ドメイン名からIPアドレスへのDNS解決が将来変更される場合は、エグレスポリシーを更新する必要があります。

ポリシーの使用

ネットワークポリシーが作成されたら、ポリシーを有効にするために2つの手順を踏む必要があります。

まず、コントロールパネルでポリシーを作成します。Foundryインストールのポリシー管理がPalantirによってサポートされている場合は、エグレスポリシーの詳細をPalantir担当者に連絡してください。これにより、Palantirはネットワークアクセスを拡張する前に、セキュリティリスクを評価できます。Foundryインストールのポリシー管理が完全にセルフサービスである場合、ポリシーは自動的にファイアウォールに適用されます。

次に、ポリシーをFoundryアプリケーションでも使用する必要があります。

  • クラウドインジェスト(直接接続)の場合:新しい直接接続を作成する過程で、ネットワークポリシーを指定します。
  • 外部変換の場合:Python変換宣言でネットワークポリシーを参照します。
  • その他のユースケース(Code Workbooksやモデリングライブデプロイメントなど)では、細かいネットワーク管理がまだ利用できず、管理者は代わりにグローバルポリシーを作成する必要があります。グローバルポリシーは、すべてのワークロードに無差別に適用されるため、信頼できるネットワークルートに対してのみ設定する必要があります。

Amazon S3バケットポリシー

FoundryインスタンスがAWSでホストされている場合、同じリージョンのS3バケットに接続する際に追加の設定が必要です。これは、AWSが同じリージョン内のVPCゲートウェイエンドポイントからS3へのリクエストのネットワーク処理方法によるものです。

接続に追加の設定が必要かどうかを確認するには、コントロールパネルのネットワークエグレスページに移動します。S3バケットポリシーという追加のタブが表示されている場合は、インスタンスがAWSでホストされており、同じリージョン内のS3バケットへのトラフィックをPalantirのVPCエンドポイントから明示的に許可する必要があります。

存在する場合、S3バケットポリシータブには、インスタンスがホストされているリージョンと、Foundryから同じリージョンのS3バケットへのトラフィックをルーティングするために使用されるVPCエンドポイントのAmazon Reference Number(ARN)が表示されます。

同じリージョンのS3バケットポリシーのコントロールパネル設定ページ

Foundryと同じリージョンのバケットに正常に接続するには、以下の手順を完了する必要があります。

  1. AWSコンソールでバケットポリシーを設定し、FoundryインスタンスのVPCエンドポイントからのトラフィックを許可します。AWSバケットポリシー(外部)についての詳細を学びましょう。
  2. 希望するバケットがコントロールパネルのネットワークエグレス > S3バケットポリシー > AWS S3バケットポリシーにリストされていることを確認します。
  3. 上記で説明した適切なネットワークエグレスポリシーを作成し、接続するために使用しているData Connectionソースの設定詳細に追加します。

FoundryインスタンスのVPCエンドポイントからS3へのトラフィックを許可する

AWSコンソールで、S3バケットのバケットポリシー(外部)が、ネットワークエグレス > S3バケットポリシータブに表示されるVPCエンドポイントからの受信トラフィックを許可するように設定する必要があります。

FoundryインスタンスのVPCエンドポイントが表示されるコントロールパネルページ

Amazon S3ドキュメントには、特定のVPCエンドポイントへのS3バケットへのトラフィックを制限するためにバケットポリシーを使用する方法の(外部)があります。VPCエンドポイントからS3への受信トラフィックの管理方法について詳しく知りたい場合は、公式のAWSドキュメント(外部)をご覧ください。

VPCエンドポイントを基にトラフィックを制限するAWSバケットポリシーを設定できますが、バケットのセキュリティを確保するために、常に何らかのアクセス認証を使用する必要があります。複数のFoundryインスタンスが1つのVPCエンドポイントを共有している可能性があるためです。VPCエンドポイントに基づいてアクセスを許可するバケットポリシーは、組織外のユーザーによる不正なアクセスを許可する可能性があります。

S3バケットポリシーの追加

同じリージョンのバケットを追加するには、バケットポリシーを追加を選択し、プロンプトに従って希望するバケット名を入力します。

同じリージョンのS3バケットポリシーを追加するために必要な入力が表示されるダイアログ

フォームは、有効なバケット名とリージョンを自動的にチェックします。有効なバケット名がFoundryインスタンスがホストされているリージョンと一致する場合、保存できます。バケット名に加えて、READ ONLY または READ WRITE のポリシーを提供する必要があります。これにより、S3への接続を確立する際に、Palantirが要求するアクセスレベルを決定します。

同じリージョンのS3バケットを許可リストに追加し、所望のバケットアクセスポリシーを選択することは、FoundryインスタンスのVPCエンドポイントを介して利用可能な最低限のアクセスレベルを確保するためのものです。

S3内のデータは、AWS内で適切な認証と認可を行い、Foundry内でネットワークエグレスポリシーのガバナンスを実施することで保護されるべきです。

Palantirは、同じリージョンの追加のバケットへのアクセスを許可するために提供されたリストを拡張し、特定のバケットに対するアクセスポリシーを READ ONLY から READ WRITE に引き上げることがあります。S3ソースタイプを使用する際の適切な認証と認可により、誤ってFoundryユーザーがS3バケットにアクセスできるようにならないようにします。

S3バケットポリシーの使用

追加された同じリージョンのバケットポリシーは、すぐに有効になり、Foundryからそのバケットに直接エグレスを試みるすべてのワークロードに適用されます。ネットワークエグレスポリシーとは異なり、特定のソースやその他のワークロードに関連付ける必要はありません。

S3ソースを作成すると、設定インターフェースは、バケットがFoundryと同じリージョンにあるかどうか、およびバケットがコントロールパネルで既に追加されているかどうかを自動的にチェックします。ソースの設定を行うユーザーは、バケットが正しく追加されていることを示す緑のチェックを見るか、管理者がコントロールパネルでS3バケットポリシーを追加するアクションが必要であることを示す赤のチェックを見ます。

制限事項

エンロールメントごとに最大10個の同じリージョンのバケットを追加できます。Foundryインスタンスから10個以上の同じリージョンのS3バケットにアクセスする必要がある場合は、Palantirサポートにお問い合わせください。