Zu Hauptinhalt springen Zu ergänzendem Inhalt springen

Sichern von Remote Engine

Verbessern Sie die Sicherheit von Remote Engine, indem Sie sensible Konfigurationswerte verschlüsseln und Sicherheitsfunktionen gegen potenziell schädliche Archivinhalte implementieren.

InformationshinweisTipp: Talend Remote Engine bietet zusätzliche Sicherheitsfunktionen über grundlegenden Maßnahmen hinaus. Dazu zählt die Verwaltung des Benutzerzugriffs, der Schutz sensibler Daten innerhalb von Jobs, das Sichern der Netzwerkkommunikation mit SSL und die Gewährleistung der Echtheit von ausgeführten Artefakten über Signaturprüfung. Weitere Informationen finden Sie unter Konfigurieren von Remote Engine.

Verschlüsseln von sensiblen Werten vor dem ersten Start von Talend Remote Engine

Verschlüsseln Sie sensible Engine-Konfigurationswerte, um die Engine vor nicht autorisiertem Zugriff zu schützen.

Prozedur

  1. Richten Sie die Verschlüsselung ein, indem Sie eine Umgebungsvariable erstellen:
    • Variablenname: TMC_ENGINE_CONFIG_ENCRYPT_PASSWORD.
    • Wert: Ihr gewähltes Verschlüsselungspasswort.
  2. Starten Sie die Engine.

Ergebnisse

Nach dem Starten der Engine werden die folgenden Konfigurationswerte geschützt:

Geschützte Konfigurationswerte
Dienste Dateien Eigenschaften
ActiveMQ org.talend.ipaas.rt.eventsource.amq.cfg activemq.broker.password
Artefakt-Cloud-Speicher org.ops4j.pax.url.mvn.cfg org.ops4j.pax.url.mvn.servers.<account-id>.release.secretKey
Log-Cloud-Speicher org.talend.ipaas.rt.logs.cfg account.secret.key
Vault für Artefakt-Ausführungsmetriken org.talend.ipaas.engine.metrics.vault.cfg vault.secretId
Metriken zur Beobachtbarkeit org.talend.observability.omc.appender.vault.cfg vault.secretId

Verbessern des Schutzes vor bösartigen Archivinhalten

Talend JobServer, ein zentraler Bestandteil von Talend Remote Engine, bietet integrierten Schutz gegen ZIP-Slip- und ZIP-Symlink-Angriffe. Um die Sicherheit noch weiter zu verbessern, können Sie Grenzen für Archiveigenschaften einrichten. Dies schützt Talend JobServer vor potenziell schädlichen Job-Archivinhalten.

Warum und wann dieser Vorgang ausgeführt wird

Bösartige Job-Archivinhalte können zu Denial-of-Service-Angriffen führen, die das Dateisystem beschädigen oder den gesamten verfügbaren Festplattenspeicherplatz belegen können.

Um diesem Risiko vorzubeugen, können Sie striktere Grenzen für Ordner- und Dateinamen vorgeben, die den für Ihre Jobimplementierungen benötigten Speicherplatz sichern. Die Standardwerte für diese Grenzen sind in der Datei org.talend.remote.jobserver.server.cfg im Verzeichnis etc gespeichert.

Gewährleisten Sie beim Einrichten dieser Werte, dass sie die die Grenzen nicht überschreiten, die vom Dateisystem für den Ordner TalendJobServersFiles unterstützt werden. Wenn angegebene Grenzen während der Implementierung überschritten werden, wird eine Fehlermeldung angezeigt und die Bereitstellung abgelehnt. Dieser Ansatz unterstützt die Aufrechterhaltung der Systemintegrität und beugt potenziellen Sicherheitsverletzungen vor.

InformationshinweisAnmerkung: Auf Linux-Systemen können Sie die aktuellen Grenzen für Namenslängen mit dem folgenden Befehl prüfen: getconf -a | grep -i name_max.

Mit diesem Befehl werden alle Variablen der Systemkonfiguration angezeigt, die mit maximalen Dateinamenslängen zusammenhängen.

Prozedur

Werten Sie die Standartwerte der folgenden Eigenschaften aus und nehmen Sie bei Bedarf Änderungen vor:
Diese Eigenschaften beginnen alle mit
org.talend.remote.jobserver.commons.config.JobServerConfiguration.
Sicherheitsparameter für Schutz vor bösartigen Archiven
Parameter Beschreibung
MAX_UNZIPPED_SIZE

Maximale Größe der bei der Implementierung extrahierten ZIP-Archivdatei.

Der Standardwert ist 1 GB.

MAX_ZIPPED_ENTRIES 

Anzahl Einträge in der Archivdatei.

Der Standard-Höchstwert ist 2048.
MAX_ZIP_NAME_LENGTH

Länge des Namens der ZIP-Archivdatei.

Der Standard-Höchstwert ist 240 Zeichen.

MAX_UNZIPPED_FOLDER_NAME_LENGTH

Länge der Ordnernamen in der ZIP-Archivdatei.

Standard-Höchstlänge der nicht entpackten Ordnernamen: 240 Zeichen.
MAX_UNZIPPED_FILE_NAME_LENGTH

Länge der Dateinamen in der ZIP-Archivdatei.

Der Standard-Höchstwert ist 240 Zeichen.

MAX_ZIP_DEPTH

Tiefengrenze für die Ordnerstruktur in der ZIP-Archivdatei.

Standardwert: 64 Ebenen.
MAX_ARCHIVES_DIR_SIZE

Größenbegrenzung für die Summe aller im Ordner TalendJobServersFiles/archiveJobs gespeicherten Archive.

Standardgrenzwert für die Größe: 100GB.

Hat diese Seite Ihnen geholfen?

Wenn Sie ein Problem mit dieser Seite oder ihrem Inhalt feststellen, sei es ein Tippfehler, ein ausgelassener Schritt oder ein technischer Fehler, informieren Sie uns bitte!