初期セキュリティにロックダウンを指定してみませんか?

最近はパブリッククラウド環境でIRISを使ってアプリケーションを構築されるお客様が多数で、IRISのセキュリティ機能についてご質問を受ける機会が増えました。実際の運用で始めてセキュアなIRISを操作するよりも経験した方が良いかもと考え、その第一歩としてインストール時の初期セキュリティ設定には普段からロックダウンを指定するのはいかがでしょうか。通常セキュリティ設定の違いおよび注意点をマニュアルを参照しながらリストアップしました。

1. 初期のユーザセキュリティ設定

パスワードの最小文字数が8文字になります。またSQLのルートユーザとして作成される_SYSTEMユーザは運用開始前の無効化を推奨しているように、高いセキュリティレベルが必要な環境では不要あるいは一時的に同等の権限を付与したユーザを作成して対応可能ではないでしょうか。

2. サービスプロパティ

Use許可のPublicが不可、とはIRISにアクセスする手段を明示的に許可しないと使えないことを意図しています。予期せぬユーザーがODBCでアクセスしたり、管理コンソールを使用したりと言った事故を防ぐ有効な手段です。

また初期状態で有効化されているサービス、WebGatewayに加えてWindowsの場合Console、非WindowsではTerminalと必要最小限になっています。

この状態から例えばSQLを使う場合はBindingsを、Embedded Pythonを使う場合はCallInと必要なサービスを有効化、サービスを追加したロールを用意。ユーザに該当のロールを付与することで、SQLやEmbedded Pythonと言ったサービスを使えるようになります。

ユーザーは必ずログインをし許可されたサービス（手段）でのみIRISにアクセス可能な環境を作ることが出来ました。過大な権限に注意が必要なのは変わりませんが、緩いところから締めるより最小限の状態から必要な権限を付与する方が適切な環境を作り易いのではないでしょうか。

余談ではありますがコンテナレジストリに上がっているwebgateway-lockeddownはRHELのSecurity-Enhanced Linux (SELinux)  のようなOSレベルでセキュリティを強化した環境用のwebgatewayコンテナです。

参考になれば幸いです。