セキュリティデザインとリスク軽減
Talend Management ConsoleとDynamic Engineのソリューションにはセキュリティに特化したデザインが組み込まれており、あらゆるクラウドソリューションの使用に関連する一般的リスクに対応します。
- ネットワーク通信:
- Talend Management ConsoleとDynamic Engineのさまざまな部分にわたる通信はすべて、HTTPSまたはWSSを介して行われます。
- どのユーザーも、Talend Management ConsoleとそのAPIエンドポイントのみを通じてDynamic Engineにアクセスする必要があります。
- KubernetesクラスターにデプロイされたTalendの処理サービスは、HTTPS上のWebソケットまたはActiveMQを介してTalend Cloudに直接または間接的に接続されます。Talend Cloudサービスはリクエストの分離を念頭にデザインされているため、特定のDynamic Engine環境をターゲットとするリクエストは他のDynamic Engine環境には到達できません。
- 認証と承認:
Talend Cloudユーザーは、Talend Management Consoleに認証し、その間にDynamic Engineを管理するための[Engines - Manage] (エンジン - 管理)権限(ID: TMC_CLUSTER_MANAGEMENT)を取得する必要があります。このユーザーのログインアクティビティは、Talend Cloudログに記録されます。
- DoS攻撃からの保護:
jobLimitsプロパティを使用すれば、各Dynamic Engine環境でデプロイおよび実行するジョブサイズを制限できます。この制限を超えたアーティファクトは、DoS攻撃から保護するために削除されます。
jobLimitsプロパティは、各Dynamic Engine環境のglobal-configurationと呼ばれるConfigMapに追加され、次の例の形式を受け入れます:このうち、"jobLimits": { "maxZipNameLength": 240, "maxZippedEntries": 2048, "maxUnzippedSize": 1000000000, "maxUnzippedFolderNameLength": 240, "maxUnzippedFileNameLength": 240, "maxZipDepth": 64 }- maxUnzippedSizeは、解凍されたzipファイルの最大サイズ(バイト)です。
- maxZippedEntriesは、zipファイルに含まれているファイルとディレクトリーの最大数です。
- maxZipDepthは、各アーティファクトzip内のディレクトリーの最大ネスト化レベルです。