DataStax Studioのセキュリティのベスト・プラクティス
DataStax Studioをデプロイするためのセキュリティのベスト・プラクティス。
DataStax Studioには、Studioインスタンスへのアクセス権を持つユーザーなら誰でもそのインスタンスに関連付けられている接続またはノートブックを利用できるという意味でのマルチユーザー・エクスペリエンスはありません。データベースにアクセスするアプリケーションについて言えば、セキュリティのベスト・プラクティスの実践によって潜在的なセキュリティ・リスクを防止することができます。
ユーザー・アクセスの制限
- Studioノートブックを表示し編集するユーザー
- Studioインスタンスに関連付けられたそのデータベース接続にアクセスする権限のあるユーザー
ポートのセキュリティ保護
DataStaxでは、DataStax Enterpriseポートのセキュリティ保護を推奨しています。DataStax Studioを一元的にデプロイする場合は、VPNの背後にすべてのStudioインスタンスをデプロイします。
要塞ノードを経由しないとアクセスできないように、一元的にデプロイされたDataStax Studioのインスタンスをセキュリティ保護します。このアーキテクチャーでは、アクセス権が付与されたユーザーのみDataStax Studioマシンにリモート・デスクトップを使用してアクセスできることを前提としています。リモート・デスクトップを使用すると、権限のあるユーザーであれば、バインド・アドレスとしてlocalhostを使用してStudioブラウザー・クライアントにアクセスできます。
認証プロキシの使用
- Studioブラウザー・クライアントにアクセスするための認証プロキシ
- Studioブラウザー・クライアントのHTTPS
バインド・アドレス
DataStax Studioはローカルのデスクトップ・アプリケーションとして設計されているため、バインド・アドレス構成をlocalhostから変更するリスクを表示する警告がconfiguration.yaml
に定義されています。
認証プロキシ
バインド・アドレスをlocalhostから変更する場合は、DataStax Studioの手前で認証プロキシとしてNGINXを使用して、DataStax Studioブラウザー・クライアントにアクセスするユーザーを認証してください。このソリューションにはLDAPが統合されており、OpenLDAPとMicrosoft Windows Server Active Directoryバージョン2003および2012に対してNGINIXの検証が済んでいます。このオプションは、オープンソースまたは有料サービスとして利用できます。
このモデルでは、DataStax Studioブラウザー・クライアントのポートをファイアウォール・ルールが設定されたローカル・ネットワークに制限し、認証保護されたNGINXポートのみを外部ネットワークに開放してください。このソリューションに加えて、ブラウザー・クライアントとStudioサーバー間のHTTPSを有効にすると、このデプロイ・モデルのセキュリティ保護に役立ちます。
接続のセキュリティ保護
「DataStax StudioからDataStax Enterpriseへの接続のセキュリティ保護」を参照してください。