ネットワークイングレスの設定

ネットワークイングレスとは、Foundryの外部から開始される接続を指します。私たちのマネージドソフトウェアとしてのサービス（SaaS）プラットフォームを使用している場合、コントロールパネルはアローリストの設定を提供し、どこからそのような接続を確立できるかを定義します。

ユーザーがFoundryにログインし、Foundryを閲覧し、Foundryに到達する必要があるプロセス（Data Connectionのエージェントを設定するなど）のためには、適切なネットワークイングレスルールをコントロールパネルで設定する必要があります。

コントロールパネルでのネットワークイングレスの設定

ネットワークイングレスのアローリストを設定する機能は、コントロールパネルのネットワークイングレスタブで利用できます。この機能は、情報セキュリティオフィサーまたはエンロールメント管理者の役割を持つユーザーに利用可能です。これらの役割は、エンロールメント管理者によって付与され、コントロールパネルのエンロールメント権限タブで行われます。

2種類のルールがサポートされています：

• 許可されるIPアドレス範囲セクション：イングレス接続を確立できる場所からのIPv4範囲を指定する機能。最大500のCIDRブロックを設定できます。
• 許可される国セクション：イングレス接続を確立できる国を指定する機能。

ルールは追加的であり、IPベースのルールまたは国のルールのいずれかを満たすことで接続を確立できます。

考慮事項：国に基づくアローリスト

厳格なIPベースのアローリストではなく、国に基づくアローリストを使用する場合、便宜とセキュリティのトレードオフを理解する必要があります。認証が依然として必要ですが、広範なネットワークアローリストの使用は、以下のリスクを大幅に増加させる可能性があります：

• アイデンティティベースの攻撃
  • 例：認証材料の漏洩、アカウントの乗っ取り、ブルートフォース、クレデンシャルの盗難。
• ソーシャルエンジニアリングとウェブベースの攻撃
  • 例：マン・イン・ザ・ミドル攻撃、DNSの毒性、その他のターゲット化されたフィッシング。
• 基盤とアプリケーションの悪用
  • 例：ゼロデイ攻撃。

Palantirは、攻撃者が攻撃行動を起こすために必要なネットワークアクセスを拒否することで、これらのリスクを大幅に軽減することを目指した防御深化のコントロールとして、厳格なIPアローリストを推奨します。

変更リクエストの作成

ネットワークイングレスの設定は繊細な性格を持っているため、すべてのイングレス変更は承認ワークフローを経由して行わなければなりません。修正が完了したら、ページの右下角にある変更をリクエストするオプションを選択し、変更の理由を提供します。イングレス設定に変更を提案した各ドメインに対して、別々の承認リクエストが行われます。デフォルトでは、管理者は自身のイングレス変更リクエストを承認できます。しかし、承認ワークフローは、変更が実施される前にレビューされ、すべての修正の履歴を提供します。

次の画像は、2つのドメインのイングレス設定に変更をリクエストするときのダイアログの例を示しています。

リクエストはコントロールパネルの承認インボックスに表示されます。

高度な設定

高度な設定の下で、Palantirアクセスをオンまたはオフに切り替えることができます。Palantirアクセスをオンにすると、Palantirの企業ネットワークからのイングレスネットワーキングアクセスが可能になり、Palantirの企業IPを明示的に許可する必要がありません。

Palantirアクセスは通常、専用の認証プロバイダーとPalantirネットワークからユーザーのエンロールメントにアクセスするPalantirエンジニアによってサポートされている場合にオンにする必要があります。