DataStax Studioのセキュリティのベスト・プラクティス

DataStax Studioをデプロイするためのセキュリティのベスト・プラクティス。

DataStax Studioには、Studioインスタンスへのアクセス権を持つユーザーなら誰でもそのインスタンスに関連付けられている接続またはノートブックを利用できるという意味でのマルチユーザー・エクスペリエンスはありません。データベースにアクセスするアプリケーションについて言えば、セキュリティのベスト・プラクティスの実践によって潜在的なセキュリティ・リスクを防止することができます。

ユーザー・アクセスの制限

Studioのインストールではすべて、次のユーザーに対してのみアクセス権を付与してください。
  • Studioノートブックを表示し編集するユーザー
  • Studioインスタンスに関連付けられたそのデータベース接続にアクセスする権限のあるユーザー

ポートのセキュリティ保護

DataStaxでは、DataStax Enterpriseポートのセキュリティ保護を推奨しています。DataStax Studioを一元的にデプロイする場合は、VPNの背後にすべてのStudioインスタンスをデプロイします。

要塞ノードを経由しないとアクセスできないように、一元的にデプロイされたDataStax Studioのインスタンスをセキュリティ保護します。このアーキテクチャーでは、アクセス権が付与されたユーザーのみDataStax Studioマシンにリモート・デスクトップを使用してアクセスできることを前提としています。リモート・デスクトップを使用すると、権限のあるユーザーであれば、バインド・アドレスとしてlocalhostを使用してStudioブラウザー・クライアントにアクセスできます。

認証プロキシの使用

Studioサーバー・アクセスを有効にして保護するには、次を使用します。
  • Studioブラウザー・クライアントにアクセスするための認証プロキシ
  • Studioブラウザー・クライアントのHTTPS

バインド・アドレス

DataStax Studioはローカルのデスクトップ・アプリケーションとして設計されているため、バインド・アドレス構成をlocalhostから変更するリスクを表示する警告がconfiguration.yamlに定義されています。

警告: この設定をデフォルト(localhost)から変更すると、外部マシンの他のユーザーがノートブック、およびそれらのノートブックが接続するDSEクラスターにアクセスできるようになり、セキュリティ上のリスクが発生する可能性があります。

認証プロキシ

バインド・アドレスをlocalhostから変更する場合は、DataStax Studioの手前で認証プロキシとしてNGINXを使用して、DataStax Studioブラウザー・クライアントにアクセスするユーザーを認証してください。このソリューションにはLDAPが統合されており、OpenLDAPとMicrosoft Windows Server Active Directoryバージョン2003および2012に対してNGINIXの検証が済んでいます。このオプションは、オープンソースまたは有料サービスとして利用できます。

このモデルでは、DataStax Studioブラウザー・クライアントのポートをファイアウォール・ルールが設定されたローカル・ネットワークに制限し、認証保護されたNGINXポートのみを外部ネットワークに開放してください。このソリューションに加えて、ブラウザー・クライアントとStudioサーバー間のHTTPSを有効にすると、このデプロイ・モデルのセキュリティ保護に役立ちます。

接続のセキュリティ保護

DataStax StudioからDataStax Enterpriseへの接続のセキュリティ保護」を参照してください。