ネットワークのイングレスを設定する

ネットワークのイングレスとは、Foundry の外部から始まる接続を指します。私たちのマネージド型 Software as a Service（SaaS）プラットフォームを使用する際、コントロールパネルでは、許可リスト設定を提供し、そのような接続がどこから確立できるかを定義します。

ユーザーが Foundry にログインし、ブラウズするため、または Foundry にアクセスする必要があるプロセス（Data Connection のエージェントの設定など）のために、コントロールパネルで適切なネットワークイングレスルールを設定する必要があります。

コントロールパネルでのネットワークイングレスの設定

ネットワークイングレスの許可リストの設定は、コントロールパネルの ネットワークイングレス タブで利用可能です。この機能は、情報セキュリティオフィサーやエンロールメント管理者の役割を持つユーザーに利用可能です。これらの役割はエンロールメント管理者によって付与され、コントロールパネルの Enrollment permissions タブで設定します。

サポートされているルールは2種類あります：

• 許可された IP アドレスの範囲 セクション：イングレス接続が確立できる場所からの IPv4 の範囲を CIDR 表記で指定する機能。最大500の CIDRs ブロックを設定することができます。
• 許可された国 セクション：イングレス接続が確立できる国を指定する機能。

Rules は加算的です。つまり、IP ベースのルールまたは国のルールのいずれかを満たす場合に接続を確立することができます。

考慮事項：国に基づく許可リスト

厳密な IP ベースの許可リストではなく、国に基づく許可リストを使用する場合、便宜とセキュリティのトレードオフを理解してください。認証が依然として必要である一方で、広範なネットワーク許可リストを使用すると、次のリスクが大幅に増加する可能性があります：

• アイデンティティベースの攻撃
  • 例：認証資料の漏洩、アカウントの乗っ取り、ブルートフォース、資格情報の盗難。
• ソーシャルエンジニアリングとウェブベースの攻撃
  • 例：マン・イン・ザ・ミドル攻撃、DNS の毒性、その他の標的型フィッシング。
• 基礎となるインフラストラクチャとアプリケーションの悪用
  • 例：ゼロデイ攻撃。

Palantir では、攻撃を行うためのネットワークアクセスを拒否することで、これらのリスクを大幅に減らすための防御深化制御として、厳密な IP 許可リストの使用を推奨します。

変更リクエストを行う

ネットワークイングレスの設定は機密性が高いため、すべてのイングレス変更は Approvals workflow を経る必要があります。変更を完了した後、ページの右下隅にある Request changes オプションを選択し、変更の理由を提供してください。それぞれのドメインがそのイングレス設定に対して提案した変更ごとに、個別の承認リクエストが行われます。デフォルトでは、管理者は自身のイングレス変更リクエストを承認することができます。ただし、承認ワークフローは、変更が効果を発揮する前にレビューされ、すべての変更の履歴を提供します。

以下の画像は、2つのドメインのイングレス設定への変更をリクエストする際のダイアログの例を示しています。

リクエストは コントロールパネルの Approvals インボックスに表示されます。

高度な設定

高度な設定 の下で、Palantir access をオンまたはオフに切り替えることができます。Palantir access をオンに切り替えると、Palantir の企業ネットワークからのイングレスネットワーキングアクセスが有効になり、Palantir の企業 IP を明示的に許可することなく利用できます。

Palantir access は、専用の認証プロバイダーと Palantir ネットワークからユーザーのエンロールメントにアクセスする Palantir エンジニアによってサポートされている場合、通常オンにする必要があります。Palantir アクセスは VPN 経由であり、特定の地理的地域に限定されていません。