セキュリティリスクの特定と軽減
Archived
2 タスク
20 分
上級
日本語
シナリオ
Front StageのBookingアプリケーションは近日中にライブに移行します。 アプリケーションを本番に昇格させる前に、セキュリティレビューを行う必要があります。 セキュリティリスクが見つかった場合は、レビューが必要です。
セキュリティチェックリストを使用して、Front StageのBookingアプリケーションのセキュリティレビューを行ってください。 アプリケーションのセキュリティを強化するための推奨事項を提案してください。
開発環境で直接実装できる変更もありますが、一部の変更は、アプリケーションが本番環境に昇格したときに構成する必要があります。 開発環境では実装できない変更がある場合は、アプリケーションを他の環境に昇格させてから実装する必要のある構成タスクのリストを作成してください。
詳細なタスク
1 開発環境で実行するタスク
- 必要のないout-of-the-boxのオペレーターを無効にします。
- 使用したout-of-the-boxのオペレーターのパスワードを変更します。
- セキュリティアナライザーで見つかった問題を修正します。
- Guardrailレポートでセキュリティ問題を修正します。
- アプリケーションサーバーレベル、リクエスターレベル、Access Groupレベルで、適切な長さのタイムアウトが設定されていることを確認します。
- Unauthenticated Access Groupがルールへの必要最小限のアクセス権があることを確認します。
- 設定をprconfig.xmlファイルに追加し、顧客の口座番号や社会保障番号などの機密プロパティ値がアラートログに表示されないようにします。
- 各ルールセットバージョンで、「Security 」タブの「 Lock this Version」を選択し、パスワードを入力します。
- 各ルールセットルールで、「Security 」タブの「Use checkout?」を選択し、3つの異なるパスワードを入力することで、バージョンの追加、バージョンの更新、ルールセットルール自体の更新を行う権限を制限できます。
- すべてのプロパティに正しいタイプを適用します。
- 関連するすべてのルール(フローアクション、レポート、フロー)に特権を適用します。
- Unauthenticated Access Groupをレビューし、ルールへの必要最小限のアクセス権があることを確認します。
2 開発環境以外の環境で行うタスク
- prconfigの設定を更新します。
- ダイナミックシステム設定を更新します。
- web.xmlから不要なリソースやサーブレットを削除し、必要に応じてデフォルトのサーブレット(特にPRServlet)の名前を変更します。
- httpsを使用する場合は、SSLを有効にしてテストできる環境を確保します。
- prconfig.xml.でデータベースを設定するのではなく、アプリケーションサーバー経由のJDBC接続プール方式を使用してシステムを設定していることを確認してください。
- 環境ごとにprhelp.warの名前を変更してデプロイします(必要に応じて独自のノードでこれを行い、ポップアップウィンドウからエンドポイントのURLが拾われてしまわないようにします)。
- 各ノードのprweb.warの名前を変更して再度デプロイします。