自ホスト型 Foundry インストールの保護

Palantir Foundry は、クラウドからエッジまで、ほぼあらゆる環境で安全な共同作業を提供するように設計されています。Palantir の管理する SaaS プラットフォームの外で Foundry を実行している場合、たとえば独自のデータセンターまたは独自のクラウドで実行している場合は、インストールを保護するために以下のガイダンスに従ってください。

物理アクセス

Foundry インストールが、データセンターなどのベアメタルハードウェアにデプロイされている場合、強力な物理的セキュリティコントロールを実施することが非常に重要です。Foundry を実行しているサーバへのアクセスは、承認された担当者に限定し、時間制限付きで文書化されたアクセスを行い、業界標準のベストプラクティスに従ってください。

物理的セキュリティは情報セキュリティの基盤であるため、Foundry を実行しているハードウェアへの不正なアクセスは、敵対者にさまざまな攻撃を実行し、セキュリティコントロールを妨害する機会を与える可能性があります。

データ暗号化

情報セキュリティを維持するために、データはデータの保管中とデータの転送中の両方で暗号化する必要があります。

保管中のデータ

Foundry のすべてのデータはアプリケーションレベルの暗号化を使用して保管中に暗号化されますが、Foundry インストールで使用されるすべての基本サーバおよびストレージデバイスを暗号化する必要があります。

フルディスク暗号化のための業界標準の暗号化ソリューションを使用してください。これには、オープンソースプロジェクト（LUKS ↗ など）、市販のソフトウェア、自己暗号化ドライブなどのハードウェア実装、またはクラウドサービスプロバイダが提供するソリューションが含まれます。
暗号化キーマテリアルはハードウェア（ハードウェアセキュリティモジュール（HSM）など）に格納してください。
ディスク暗号化には、AES-256 または AES-128 などの強力な暗号化標準を使用してください。

転送中のデータ

クライアントと Foundry 間で送信されるすべてのデータは、強力な暗号化プロトコルと暗号を使用して保護する必要があります。

信頼できる認証局によって発行された有効な証明書を使用してください。有効期間は 90 日から最長 1 年です。
トランスポート層セキュリティ（TLS）バージョン 1.2 以上を使用して接続をサポートするようにしてください。
強力な TLS 暗号スイートのみをサポートしてください。互換性とセキュリティニーズに基づいて調整してください。
エリプティックカーブ Diffie-Hellman 交換（ECDHE）を CHACHA-POLY1305 または AES-{128-256} の GCM モードで使用することをお勧めします。可能な限り CBC モードの暗号スイートは避けてください。

身元認証のセキュリティ

シングルサインオン

シングルサインオンプロバイダで身元情報を一元管理してください。

すべてのユーザーは名前付きアカウントの使用を要求されるべきです。アカウントは共有されるべきではありません。
すべてのユーザーに対して、強力な多要素認証を要求してください。可能な場合は、FIDO2 などの最新技術を使用してください。SMS またはメールベースの多要素認証は使用しないでください。

資格情報の衛生

ユーザーに強力な資格情報の衛生を要求する必要があります。パスワードレス認証を強くお勧めします。

ユーザーがアクセスのために十分に強力で長く、ユニークなパスワードを持っていることを要求してください。
環境外の他のサービスでパスワードを再利用させないでください。
認証されていないドメインに誤って入力された場合は、パスワードを変更させてください。

ゼロトラスト

Foundry インストールを保護するために、最新のゼロトラスト技術を使用してください。

身元情報とデバイスの健康状態および検証に基づいて承認されたユーザーのみにアクセスを許可するゼロトラスト技術を使用してください。
信頼できない、健康状態が悪い、または未知のデバイスからの Foundry インストールへのアクセスを拒否してください。

ネットワークセキュリティ

ネットワークセグメンテーション

Foundry インストールは、環境の残りの部分から高度にセグメント化されるべきです。

ネットワーク隔離は、ファイアウォールまたはその他の技術を使用して実装してください。承認されたプロトコル、ポート、サブネットの許可リストを使用して、サービスへのアクセスをゲート化してください。
Foundry インストールへのすべての受信トラフィックをデフォルトで拒否してください。
可能な限り最小限のネットワークにのみ Foundry インストールを公開してください。侵入検出システムや Web アプリケーションファイアウォールなどの追加コントロールがない場合、公開インターネットに Foundry インストールを公開することはお勧めできません。
Foundry インストールを専用のプライベートネットワーク（VLAN/サブネット）に隔離してください。

イーグレス制御

Foundry インストールから発信されるネットワークトラフィックは厳密に制御する必要があります。

Foundry からのすべてのネットワーク接続をプロキシまたは他のネットワークセキュリティデバイスによって制御する必要があります。
Foundry インストールが接続できる許可された IP またはドメインによって許可された行先の許可リストを維持してください。
Foundry インストールによるその他のネットワークアクセスを拒否してください。

ネットワークセキュリティ

Palantir Foundry インストールを保護するために、ネットワークセキュリティコントロールを使用してください。

異常なアクティビティを特定するために、侵入検出システムなどのネットワークセキュリティコントロールを使用してください。
ファイアウォールを使用して、ネットワークの悪用または攻撃の試みを特定およびブロックしてください。
データロスプリベンション（DLP）技術を使用して、不正なデータ転送を探してください。
異常なアクティビティを特定するために、ネットワークセキュリティログをネットワークから収集してください。

インフラセキュリティ

サーバーハードニング

Foundry インストールに使用されるサーバーは、CIS または NIST コントロールなどの業界標準の構成ガイダンスを使用してハードニングする必要があります。

現代的でサポートされているオペレーティングシステムを使用してください。
Foundry インストールに使用されるホストで積極的な脆弱性管理とパッチ適用を実行してください。重大なセキュリティ脆弱性は、30 日以内にパッチを適用する必要があります。

ホストセキュリティ

Foundry インストールを保護するために、ホストセキュリティコントロールを使用してください。

ホストから監査およびセキュリティログを収集して、異常なアクティビティを特定してください。
侵入検出システムなどのホストベースのセキュリティコントロールを使用して、異常なアクティビティを特定してください。
データロスプリベンション（DLP）技術を使用して、不正なデータ転送を探してください。

特権アクセス

Foundry インストールへの特権アクセスを厳密に制御する必要があります。

Foundry インストールをホストするバックエンドインフラストラクチャは、専用のバスティオンサーバーやジャンプホストを介してのみアクセスできるように制限する必要があります。
インフラストラクチャまたはクラウドレベルで Foundry インストールにアクセスするために、多要素認証が必要です。

バックアップ

組織の継続性のために、Foundry インストールの定期的なフルディスクバックアップを実行してください。

Foundry には、アプリケーションのバックアップと復元を実行するように設計されたサービス（「Rescue」）があります。
最低限、Rescue サービスデータのフルディスクバックアップを実行してください。すべての Foundry ホストのフルディスクバックアップを実行することを強くお勧めします。
バックアップを暗号化し、耐久性があり/またはオフラインの場所に保存してください。ランサムウェアやその他の悪意のあるアクターは、他の悪意のある行為を実行する前にバックアップを破壊しようとすることが一般的です。
バックアップと復元プロセスを少なくとも年に 1 回テストしてください。

アプリケーションのパッチ適用

可能な限り早く Foundry インストールにセキュリティパッチを適用してください。

Foundry インストールが Apollo に接続されている場合、Foundry インストールは自動的にセキュリティ更新を受け取ります。これらの更新は、通常、ユーザーからの操作を必要としません。
Apollo を使用しない場合は、セキュリティ更新が利用可能になるとすぐに適用してください。重大なセキュリティ脆弱性は、30 日以内にパッチを適用する必要があります。