メイン コンテンツをスキップする 補完的コンテンツへスキップ

Remote Engineを保護

機密性が高い設定値を暗号化し、潜在的に有害なアーティファクトアーカイブコンテンツに対するセーフガードを実装することで、Remote Engineのセキュリティを強化します。

情報メモヒント: Talend Remote Engineは、基本的な対策に加え、さらなるセキュリティ機能を提供します。これには、ユーザーアクセスの管理、ジョブ内の機密データの保護、SSLによるネットワーク通信の保護、署名検証による実行済みアーティファクトの真正性確保などが含まれます。詳細は、Remote Engineを設定をご覧ください。

Talend Remote Engineの初回起動前に機密値を暗号化

機密性が高いエンジン設定値を暗号化し、不正アクセスから保護します。

手順

  1. 環境変数を作成して暗号化を設定:
    • 変数名: TMC_ENGINE_CONFIG_ENCRYPT_PASSWORD
    • 値: 選択した暗号化パスワード。
  2. エンジンを起動します。

タスクの結果

エンジンの起動後、以下の設定値が保護されます:

保護された設定値
サービス ファイル プロパティ
ActiveMQ org.talend.ipaas.rt.eventsource.amq.cfg activemq.broker.password
アーティファクトのクラウドストレージ org.ops4j.pax.url.mvn.cfg org.ops4j.pax.url.mvn.servers.<account-id>.release.secretKey
ログのクラウドストレージ org.talend.ipaas.rt.logs.cfg account.secret.key
アーティファクト実行メトリクスのボールト org.talend.ipaas.engine.metrics.vault.cfg vault.secretId
オブザーバビリティメトリクス org.talend.observability.omc.appender.vault.cfg vault.secretId

悪意のあるアーカイブコンテンツに対するセキュリティを改善

Talend Remote Engineのコア部分の1つであるTalend JobServerには、ZIP Slip攻撃やZIP Symlink攻撃に対する保護機能が組み込まれています。アーカイブのプロパティに制限を設定すれば、セキュリティをさらに強化できます。これによって、潜在的に有害なジョブアーカイブコンテンツからTalend JobServerが保護されます。

このタスクについて

悪意のあるジョブアーカイブコンテンツは、ファイルシステムを侵害したり、利用可能なディスク容量を使い切ったりすることを目的としたサービス拒否攻撃につながる可能性があります。

そのようなリスクを低減するため、フォルダー名やファイル名の制限をより厳しく設定すれば、ジョブのデプロイに必要な十分なスペースを確保できるようになります。これらの制限のデフォルト値は、etcディレクトリーにあるorg.talend.remote.jobserver.server.cfgファイルに格納されています。

これらの値を設定する場合は、TalendJobServersFilesフォルダーによって使用されるファイルシステムがサポートしている制限を超えないようにしてください。デプロイメント中にいずれかの指定制限を超えると、エラーメッセージが表示され、デプロイメントはリジェクトされます。このアプローチは、システムの完全性を維持し、潜在的なセキュリティ侵害を防ぐうえで役立ちます。

情報メモ注: Linuxシステムでは、getconf -a | grep -i name_maxというコマンドを使うことで現在の名前の長さの制限をチェックできます。

このコマンドによって、ファイル名の最大長に関連するシステム設定変数がすべて表示されます。

手順

以下のプロパティのデフォルト値を評価し、必要に応じて変更します:
これらのプロパティはすべて
org.talend.remote.jobserver.commons.config.JobServerConfiguration.
悪意のあるアーカイブ保護用のセキュリティパラメーターで始まります
パラメーター 説明
MAX_UNZIPPED_SIZE

デプロイメント中に展開されるアーカイブZIPファイルの最大サイズ。

デフォルト値は1GBです。

MAX_ZIPPED_ENTRIES 

アーカイブファイル内のエントリー数。

デフォルトの最大値は2048です。
MAX_ZIP_NAME_LENGTH

アーカイブZIPファイル名の長さ。

デフォルトの最大値は240文字です。

MAX_UNZIPPED_FOLDER_NAME_LENGTH

アーカイブZIPファイル内のフォルダー名の長さ。

解凍されたフォルダー名のデフォルトの最大長は240文字です。
MAX_UNZIPPED_FILE_NAME_LENGTH

アーカイブZIPファイル内のファイル名の長さ。

デフォルトの最大値は240文字です。

MAX_ZIP_DEPTH

アーカイブZIPファイル内のフォルダーの深度制限。

デフォルト値は64レベルです。
MAX_ARCHIVES_DIR_SIZE

TalendJobServersFiles/archiveJobsフォルダーに格納されている全アーカイブの合計のサイズ制限。

デフォルトのサイズ制限は100GBです。

このページは役に立ちましたか?

このページまたはコンテンツにタイポ、ステップの省略、技術的エラーなどの問題が見つかった場合はお知らせください。