SmartCollect SC² Help
SmartCollect SC² Dokumentation / Administration / Sicherheit

Sicherheit

Wenn Sie Nicht-SmartCollect-SC²-Webdienste auf Ihrem SmartCollect-SC²-Server oder innerhalb seines lokalen Netzwerks ausführen, dann sind diese möglicherweise anfällig für eine Ausnutzung durch den SmartCollect-SC²-Datenquellen-Proxy oder andere Methoden.

Um diese Art der Ausnutzung zu verhindern, empfehlen wir, dass Sie eine oder mehrere der unten aufgeführten Vorsichtsmaßnahmen anwenden.

IP-Adressen/Hostnamen für Datenquellen-URL einschränken

Sie können SmartCollect SC² so konfigurieren, dass nur bestimmte IP-Adressen oder Hostnamen als Datenquellen-URLs verwendet und durch den SmartCollect SC²-Datenquellen-Proxy geleitet werden können. Siehe data_source_proxy_whitelist für Anweisungen zur Verwendung.

Firewall Regeln

Konfigurieren Sie eine Firewall, um SmartCollect SC² davon abzuhalten, Netzwerkanfragen an sensible interne Webdienste zu stellen.

Es sind viele Firewall-Tools verfügbar, lesen Sie die Dokumentation für Ihr spezifisches Sicherheitstool. Linux-Benutzer können zum Beispiel iptables verwenden.

Proxy Server

Veranlassen Sie, dass alle Netzwerkanfragen, die von SmartCollect SC² gestellt werden, über einen Proxy-Server gehen.

Abfrageberechtigungen für Viewer einschränken

Benutzer mit der Viewer-Rolle können jede mögliche Abfrage in jede der in der Organisation verfügbaren Datenquellen eingeben, nicht nur die Abfragen, die auf den Dashboards definiert sind, für die der Benutzer Viewer-Berechtigungen hat.

Beispiel: In einer SmartCollect SC²-Instanz mit einer Datenquelle, einem Dashboard und einem Bereich, in dem eine Abfrage definiert ist, könnten Sie annehmen, dass ein Betrachter nur das Ergebnis der in diesem Bereich definierten Abfrage sehen kann. In Wirklichkeit hat der Viewer Zugriff auf jede beliebige Abfrage an die Datenquelle. Mit einem Befehlszeilen-Tool wie curl (es gibt viele Tools dafür) kann der Betrachter seine eigene Abfrage an die Datenquelle stellen und potenziell auf sensible Daten zugreifen.

Um diese Schwachstelle zu beheben, können Sie den Abfragezugriff auf die Datenquelle auf folgende Weise einschränken:

  • Erstellen Sie eine separate SmartCollect SC²-Organisation, und erstellen Sie in dieser Organisation eine separate Datenquelle. Stellen Sie sicher, dass die Datenquelle über eine Option/Benutzer-/Anmeldeinformationen-Einstellung verfügt, die den Zugriff auf eine Teilmenge der Daten beschränkt. Nicht alle Datenquellen haben eine Option zur Beschränkung des Zugriffs.