注: 以下の翻訳の正確性は検証されていません。AIPを利用して英語版の原文から機械的に翻訳されたものです。

ネットワークイングレスの設定

ネットワークイングレスとは、Foundryの外部から開始される接続を指します。私たちのマネージドソフトウェアとしてのサービス(SaaS)プラットフォームを使用している場合、コントロールパネルはアローリストの設定を提供し、どこからそのような接続を確立できるかを定義します。

ユーザーがFoundryにログインし、Foundryを閲覧し、Foundryに到達する必要があるプロセス(Data Connectionのエージェントを設定するなど)のためには、適切なネットワークイングレスルールをコントロールパネルで設定する必要があります。

コントロールパネルでのネットワークイングレスの設定は、ユーザーのエンロールメントではまだ利用できないかもしれません。

コントロールパネルでのネットワークイングレスの設定

ネットワークイングレスのアローリストを設定する機能は、コントロールパネルのネットワークイングレスタブで利用できます。この機能は、情報セキュリティオフィサーまたはエンロールメント管理者の役割を持つユーザーに利用可能です。これらの役割は、エンロールメント管理者によって付与され、コントロールパネルのエンロールメント権限タブで行われます。

ネットワークイングレスの設定

2種類のルールがサポートされています:

  • 許可されるIPアドレス範囲セクション:イングレス接続を確立できる場所からのIPv4範囲を指定する機能。最大500のCIDRブロックを設定できます。
  • 許可される国セクション:イングレス接続を確立できる国を指定する機能。

ルールは追加的であり、IPベースのルールまたは国のルールのいずれかを満たすことで接続を確立できます。

ユーザーが仮想プライベートネットワーク(VPN)を経由して接続する場合、VPNのイーグレスIPに基づいて許可されます。

考慮事項:国に基づくアローリスト

厳格なIPベースのアローリストではなく、国に基づくアローリストを使用する場合、便宜とセキュリティのトレードオフを理解する必要があります。認証が依然として必要ですが、広範なネットワークアローリストの使用は、以下のリスクを大幅に増加させる可能性があります:

  • アイデンティティベースの攻撃
    • 例:認証材料の漏洩、アカウントの乗っ取り、ブルートフォース、クレデンシャルの盗難。
  • ソーシャルエンジニアリングとウェブベースの攻撃
    • 例:マン・イン・ザ・ミドル攻撃、DNSの毒性、その他のターゲット化されたフィッシング。
  • 基盤とアプリケーションの悪用
    • 例:ゼロデイ攻撃。

Palantirは、攻撃者が攻撃行動を起こすために必要なネットワークアクセスを拒否することで、これらのリスクを大幅に軽減することを目指した防御深化のコントロールとして、厳格なIPアローリストを推奨します。

国に基づくアローリストは、着信接続のIPをジオタグ付けすることで機能します。この動作は、Palantirがこの機能を動かすために使用する第三者からの潜在的なデータ品質問題の影響を受ける可能性があります。偽陽性と偽陰性が発生する可能性がありますが、これはIPジオタグ付けツールには期待される動作です。

変更リクエストの作成

ネットワークイングレスの設定は繊細な性格を持っているため、すべてのイングレス変更は承認ワークフローを経由して行わなければなりません。修正が完了したら、ページの右下角にある変更をリクエストするオプションを選択し、変更の理由を提供します。イングレス設定に変更を提案した各ドメインに対して、別々の承認リクエストが行われます。デフォルトでは、管理者は自身のイングレス変更リクエストを承認できます。しかし、承認ワークフローは、変更が実施される前にレビューされ、すべての修正の履歴を提供します。

次の画像は、2つのドメインのイングレス設定に変更をリクエストするときのダイアログの例を示しています。

イングレスの変更リクエスト

リクエストはコントロールパネルの承認インボックスに表示されます。

高度な設定

高度な設定の下で、Palantirアクセスをオンまたはオフに切り替えることができます。Palantirアクセスをオンにすると、Palantirの企業ネットワークからのイングレスネットワーキングアクセスが可能になり、Palantirの企業IPを明示的に許可する必要がありません。

高度な設定

Palantirアクセスは通常、専用の認証プロバイダーとPalantirネットワークからユーザーのエンロールメントにアクセスするPalantirエンジニアによってサポートされている場合にオンにする必要があります。

IPと国レベルのアローリストと同様に、Palantirアクセスの設定は追加的です:ネットワークイングレス設定がアメリカからの接続を許可しており、このトグルが有効化されている場合、アメリカ外の企業ネットワークロケーションからのアクセスが可能になります。