Accéder au contenu principal Passer au contenu complémentaire

Sécuriser le moteur distant

Améliorez la sécurité du moteur distant en chiffrant les valeurs sensibles de configuration et en implémentant des protections contre les contenus d'archive d'artefacts potentiellement dangereux.

Note InformationsConseil : Talend Remote Engine fournit des fonctionnalités de sécurité en complément des mesures simples. Ces fonctionnalités comprennent la gestion des accès utilisateur·trices, la protection des données sensibles dans les Jobs, la sécurisation des communications réseau à l'aide du protocole SSL et assurent l'authenticité des artefacts exécutés grâce à la vérification des signatures. Pour plus d'informations, consultez Configurer Talend Remote Engine.

Chiffrer les valeurs sensibles avant le premier démarrage de Talend Remote Engine

Chiffrez les valeurs de configuration sensibles du moteur afin d'éviter les accès non autorisés.

Procédure

  1. Configurez le chiffrement en créant une variable d'environnement :
    • Nom de la variable : TMC_ENGINE_CONFIG_ENCRYPT_PASSWORD.
    • Valeur : Mot de passe de chiffrement choisi.
  2. Démarrez le moteur.

Résultats

Après démarrage du moteur, les valeurs de configuration suivantes sont protégées :

Valeurs de configuration protégées
Services Fichiers Propriétés
ActiveMQ org.talend.ipaas.rt.eventsource.amq.cfg activemq.broker.password
Stockage des artefacts Cloud org.ops4j.pax.url.mvn.cfg org.ops4j.pax.url.mvn.servers.<account-id>.release.secretKey
Stockage des logs Cloud org.talend.ipaas.rt.logs.cfg account.secret.key
Chambre forte des métriques d'exécution des artefacts org.talend.ipaas.engine.metrics.vault.cfg vault.secretId
Métriques d'observabilité org.talend.observability.omc.appender.vault.cfg vault.secretId

Améliorer la sécurité contre le contenu malveillant dans une archive

Talend JobServer, l'une des parties principales de Talend Remote Engine, comprend une protection intégrée contre les attaques ZIP Slip et ZIP Symlink. Pour améliorer davantage la sécurité, vous pouvez configurer des limites pour les propriétés des archives. Cela permet de protéger Talend JobServer contre les contenus d'archive de Jobs potentiellement dangereux.

Pourquoi et quand exécuter cette tâche

Du contenu d'archive de Jobs malveillant peut conduire à des attaques par déni de service (Denial of Service, DoS) dont l'objectif est de compromettre le système de fichiers ou de consommer tout l'espace disque disponible.

Pour limiter ce risque, vous pouvez définir des limites plus strictes pour les noms de fichiers et dossiers, assurant l'espace nécessaire à vos déploiements de Jobs. Les valeurs par défaut de ces limites sont stockées dans le fichier org.talend.remote.jobserver.server.cfg situé dans le répertoire etc.

Lorsque vous configurez ces valeurs, assurez-vous qu'elles ne dépassent pas les limites supportées par le système de fichiers utilisé pour le dossier TalendJobServersFiles. Si l'une des limites spécifiées est dépassée lors du déploiement, un message d'erreur est affiché et le déploiement est rejeté. Cette approche permet de maintenir l'intégrité du système et d'éviter de potentielles brèches de sécurité.

Note InformationsRemarque : Sur les systèmes Linux, vous pouvez consulter les limites de longueur à l'aide de cette commande : getconf -a | grep -i name_max.

Cette commande affiche toutes les variables de configuration système relatives à la longueur maximale des noms de fichiers.

Procédure

Évaluez les valeurs par défaut des propriétés suivantes et apportez des modifications, si nécessaire :
Ces propriétés commencent toutes par
org.talend.remote.jobserver.commons.config.JobServerConfiguration.
Paramètres de sécurité pour une protection contre les archives malveillantes
Paramètres Description
MAX_UNZIPPED_SIZE

Taille maximale du fichier archive ZIP en cours d'extraction durant le déploiement.

La valeur par défaut est de 1 Go.

MAX_ZIPPED_ENTRIES 

Nombre d'entrées dans le fichier archive.

La valeur maximale par défaut est de 2048.
MAX_ZIP_NAME_LENGTH

Longueur du nom du fichier archive ZIP.

La valeur maximale par défaut est de 240 caractères.

MAX_UNZIPPED_FOLDER_NAME_LENGTH

Longueur du nom des dossiers dans le fichier archive ZIP.

La longueur maximale par défaut du nom de dossier dézippé est de 240 caractères.
MAX_UNZIPPED_FILE_NAME_LENGTH

Longueur du nom des fichiers dans le fichier archive ZIP.

La valeur maximale par défaut est de 240 caractères.

MAX_ZIP_DEPTH

Limite de profondeur des dossiers au sein du fichier archive ZIP.

La valeur par défaut est de 64 niveaux.
MAX_ARCHIVES_DIR_SIZE

Limite de taille pour la somme de toutes les archives stockées dans le dossier TalendJobServersFiles/archiveJobs.

La limite de taille par défaut est de 100 Go.

Cette page vous a-t-elle aidé ?

Si vous rencontrez des problèmes sur cette page ou dans son contenu – une faute de frappe, une étape manquante ou une erreur technique – faites-le-nous savoir.