注: 以下の翻訳の正確性は検証されていません。AIPを利用して英語版の原文から機械的に翻訳されたものです。

オンプレミスの Foundry Data Connector の保護

Palantir Foundry は、クラウドからエッジまで、ほぼあらゆる環境で安全な共同作業を提供するように設計されています。Palantir の管理する SaaS プラットフォーム以外で Foundry データコネクタエージェントを実行している場合、たとえば、ユーザーのデータセンターやユーザーのクラウド内で、このページのガイダンスに従ってインストールを保護してください。

物理的アクセス

Foundry データコネクタエージェントが、たとえばデータセンターのようなベアメタルハードウェアにデプロイされている場合、強固な物理的セキュリティコントロールを実装することが重要です。Foundry データコネクタエージェントを実行するサーバーへのアクセスは、認可された担当者のみに制限するべきです。

Foundry サーバーへの任意のアクセスは時間制限され、文書化され、業界のベストプラクティスに従うべきです。Foundry を実行するハードウェアへの未許可のアクセスは、敵対者に様々な攻撃を実行し、セキュリティコントロールを迂回する機会を与える可能性があります。

データ暗号化

Foundry データコネクタエージェントは、データ取り込みプロセスの一部としてオブジェクトレベルの暗号化を実装します。データコネクタは Foundry プラットフォームから暗号化キーマテリアルを受け取り、オブジェクトを暗号化し、それを Foundry API に提出して取り込みと保存を行います。

トランジット中のデータ

データコネクタと Foundry API 間で転送されるすべてのデータは、強力な暗号化プロトコルと暗号を使用して暗号化されます。

ネットワークセキュリティ

ネットワークのセグメンテーション

ユーザーの Foundry データコネクタインストールをユーザーの環境の残りの部分から分割し、分離することが重要です。以下は、これを達成するためのベストプラクティスのリストです。

  • ファイアウォールなどの技術を使用してネットワークの分離を実装します。
  • サービスへのアクセスを制限するために、承認されたプロトコル、ポート、サブネットの許可リストを使用します。
  • データコネクタインストールへのすべての受信トラフィックをデフォルトで拒否します。
  • ユーザーの Foundry データコネクタインストールを可能な限り最小のネットワークセットにのみ公開します。
  • ユーザーの Foundry データコネクタインストールを専用のプライベートネットワーク(VLAN/サブネット)に隔離します。
  • ユーザーの組織がデータを取り込むすべてのソースデータシステムを含む Foundry データコネクタのネットワーク要件の適切なインベントリを維持します。これはユーザーのニーズに基づいて大幅に変動します。

イーグレスコントロール

ユーザーの Foundry データコネクタインストールから発生するネットワークトラフィックを厳密に制御することが重要です。これはイーグレス(アウトバウンド)コントロールとして実行します。

  • ユーザーの Foundry データコネクタインストールが接続できる IP またはドメインによる許可された宛先の許可リストを維持します。
  • ユーザーの Foundry データコネクタインストールによる他のすべてのネットワークアクセスを拒否します。

ネットワークセキュリティコントロール

ネットワークセキュリティコントロールを使用して、Palantir Foundry データコネクタインストールを保護します。

  • 異常な活動を識別するために侵入検知システムを使用します。
  • ネットワークの搾取や攻撃の試みを識別し、ブロックするためにファイアウォールを使用します。
  • ネットワークからのセキュリティログを収集して異常な活動を識別します。

インフラセキュリティ

サーバーの強化

CIS や NIST コントロールなどの業界標準の設定ガイダンスを使用して、Foundry データコネクタインストールに使用されるサーバーを強化します。

  • 現代的でサポートされているオペレーティングシステムのみを使用します。
  • Foundry インストールに使用されるホストに対して積極的な脆弱性管理とパッチングを行います。
  • 重大なセキュリティ脆弱性は 30 日以内にパッチを当てるべきです。

ホストセキュリティ

ホストセキュリティコントロールを使用して、Foundry データコネクタインストールを保護します。

  • ホストからの監査ログとセキュリティログを収集して、異常な活動を識別します。
  • 異常な活動を識別するために、侵入検知システムなどのホストベースのセキュリティコントロールを使用します。
  • 不正なデータ転送を探すためにデータロス防止(DLP)技術を使用します。

特権アクセス

ユーザーの Foundry データコネクタインストールへの特権アクセスを厳密に制御することが重要です。

  • ユーザーの Foundry データコネクタインストールをホストするバックエンドインフラストラクチャは、専用のバスティオンサーバーまたはジャンプホスト経由でのみアクセス可能に制限されるべきです。
  • ユーザーの Foundry データコネクタインストールへのすべてのインフラストラクチャまたはクラウドレベルのアクセスには、多要素認証が必要です。

アプリケーションのパッチ適用

Foundry データコネクタには、最新のサポート対象バージョンに自動更新する機能が含まれており、運用スタッフのメンテナンス要件を最小限に抑えます。