Mule インストールの強化
強化とは、セキュリティとは異なり、アプリケーションを開発から本番に移行するために実行する必要がある手順を意味します。これは、開発サイクルの完了後に、IT 空間に何かをデプロイするために従う必要がある精巧な手順です。
通常、IT 組織は、オープンポートを最小限に維持し、管理アプリケーションへのアクセスを制限し、アプリケーション数を最小限に抑え、品質を確保するための他の対策を講じるなど、制御をすでに実行しています。安全なファイルを使用して Mule を設定するだけでなく、安全な設定ファイルを使用することもお勧めします。
強化チェックリスト
オンプレミスでホストしている Mule インストールの強化を開始する手順は、次のとおりです。
-
Mule を非特権ユーザーとして実行します。
-
Mule をサービスとしてインストールします。
-
ログまたは一時ファイルを適切な場所内に書き込むように Mule を設定します。ログ、パスワード、およびキーストアのファイルを設定します。
-
一部の状況では、ユーザー名、パスワード、およびキーストアを Mule で設定する必要があります。通常は、これらの設定を外部で使用できるようにして、DevOps が設定を変更できるようにします。
-
証明書をキーストアファイルで管理します。
-
個別のプロパティファイルを使用してユーザー名とパスワードを保存し、ファイルシステムの権限を使用してそのファイルを保護します。
Runtime Fabric に固有の手順については、「Runtime Fabric での Mule Runtime の強化」を参照してください。
多層の強化
その性質から、Mule はさまざまな設定下に置くことができます。推奨される強化の方法は、まずオペレーティングシステムから開始し、徐々に積み上げて強化を多層化する方法です。Center for Internet Security (CIS) がパブリッシュしている設定ベンチマークは、システムの強化ガイドとして全体的または部分的に広く使用されています。
商業設定管理ツールおよび整合性管理ツールは、CIS ベンチマークに対する管理を自動化するのに役立つ可能性があります。また、Mule ドキュメントにはセキュリティの設定に関する多くの情報が含まれます。アプリケーションで機密データを取り扱う場合は、SSL トランスポート (HTTPS) を使用して機密データを保護することを考慮してください。
ネットワークセキュリティの面では、セキュリティの専門家は、デフォルト拒否のルールセットを設定し、正当化されたビジネスニーズのみを例外として認める適切なステートフルインスペクションネットワークファイアウォールを使用することを推奨しています。また、インターネット向けのすべてのサーバーを DMZ 内に含めて、デフォルト拒否の強力な送信ルールをファイアウォールに設定し、データの流出を防ぎます。さらに、ネットワーク IDS/IPS を使用して、既知の攻撃を監視し、防ぐことができます。データベースを DMZ ではなく内部ネットワークに配置することで、インストールを強化することもできます。
ソフトウェア開発者が安全な Web アプリケーションのコーディング技法に精通していることを確認してください。少なくとも、ソフトウェア開発者は、OWASP の上位 10 件のプロジェクトにリストされているような、一般的な Web アプリケーションの落とし穴を回避するためのベストプラクティスに精通している必要があります。