セキュリティゾーンの定義(オンプレミス)

インスタンスにログオンするには、各オペレーターをゾーンにリンクする必要があります。また、セキュリティゾーンに定義されているアドレスまたはアドレスセットにオペレーターのIPを含める必要があります。 セキュリティゾーンの設定は、Adobe Campaignサーバーの設定ファイルで実行されます。

オペレーターは、コンソール内のプロファイルからセキュリティゾーンにリンクされ、管理/アクセス管理/オペレーター​ノードでアクセスできます。 詳細情報

メモ

この手順は、オンプレミス​デプロイメントに制限されます。

ホスト​のお客様は、キャンペーンCampaign コントロールパネルにアクセスできる場合、セキュリティゾーンセルフサービスインターフェイスを使用できます。 詳細情報

その他の​ハイブリッド/ホスト型​のお客様は、Adobeサポートチームに連絡して、許可リストにIPを追加する必要があります。

セキュリティゾーンの作成

ゾーンは、次の方法で定義します。

  • 1つ以上のIPアドレスの範囲(IPv4およびIPv6)
  • IPアドレスの各範囲に関連付けられた技術的な名前

セキュリティゾーンは相互にロックされています。つまり、別のゾーン内に新しいゾーンを定義すると、各オペレーターに割り当てられる権限を増やしながら、そのゾーンにログオンできるオペレーターの数が減ります。

ゾーンは、サーバーの設定時に​serverConf.xml​ファイルで定義する必要があります。 serverConf.xml​で使用できるすべてのパラメーターは、この節に記載されています。

各ゾーンは、次のような権限を定義します。

  • HTTPSではなくHTTP接続
  • エラー表示(Javaエラー、JavaScript、C++など)
  • レポートとWebアプリのプレビュー
  • ログイン/パスワードによる認証
  • 非セキュア接続モード
メモ

各オペレーターは、ゾーンにリンクされている必要があります。オペレーターのIPアドレスがゾーンで定義された範囲に属する場合、オペレーターはインスタンスにログオンできます。
オペレーターのIPアドレスは、複数のゾーンに定義できます。 この場合、オペレーターは各ゾーンに対して使用可能な権限の​set​を受け取ります。

標準搭載の​serverConf.xml​ファイルには、次の3つのゾーンが含まれています。public、VPN、およびLAN

メモ

標準設定は安全です。ただし、以前のバージョンのAdobe Campaignから移行する前に、新しいルールを移行して承認するために、セキュリティを一時的に低減する必要が生じる場合があります。

serverConf.xml​ファイルでのゾーンの定義方法の例:

<securityZone allowDebug="false" allowHTTP="false" label="Public Network" name="public">
<subNetwork label="All addresses" mask="*" name="all"/>

<securityZone allowDebug="true" allowHTTP="false" label="Private Network (VPN)"
              name="vpn" showErrors="true">

  <securityZone allowDebug="true" allowEmptyPassword="true" allowHTTP="true"
                allowUserPassword="false" label="Private Network (LAN)" name="lan"
                sessionTokenOnly="true" showErrors="true">
    <subNetwork label="Lan 1" mask="192.168.0.0/16" name="lan1"/>
    <subNetwork label="Lan 2" mask="172.16.0.0/12" name="lan2"/>
    <subNetwork label="Lan 3" mask="10.0.0.0/8" name="lan3"/>
    <subNetwork label="Localhost" mask="127.0.0.1/16" name="locahost"/>
    <subNetwork label="Lan (IPv6)" mask="fc00::/7" name="lan6"/>
    <subNetwork label="Localhost (IPv6)" mask="::1/128" name="localhost6"/>
  </securityZone>

</securityZone>
</securityZone>

ゾーンを定義するすべての権限は次のとおりです。

  • allowDebug:webAppを「デバッグ」モードで実行できるようにします。
  • allowEmptyPassword:パスワードを使用せずにインスタンスへの接続を許可する
  • allowHTTP:HTTPSプロトコルを使用せずにセッションを作成できる
  • allowUserPassword:セッショントークンは、「<login>/<password>」の形式を使用できます。
  • sessionTokenOnly:接続URLにセキュリティトークンは不要です
  • showErrors:サーバー側のエラーが転送され、表示されます
重要

ゾーン定義では、true​値を持つ各属性によってセキュリティが低下します。

Message Centerを使用する場合、複数の実行インスタンスがある場合は、sessionTokenOnly​属性を​true​に定義して追加のセキュリティゾーンを作成する必要があります。この場合、必要なIPアドレスのみを追加します。 インスタンスの設定について詳しくは、このドキュメントを参照してください。

セキュリティゾーンのベストプラクティス

lan​セキュリティゾーンの定義では、テクニカルアクセスを定義するIPアドレスマスクを追加できます。 この追加により、サーバーでホストされるすべてのインスタンスにアクセスできます。

<securityZone allowDebug="true" allowEmptyPassword="false" allowHTTP="true"
                    allowUserPassword="false" label="Private Network (LAN)" name="lan"
                    sessionTokenOnly="true" showErrors="true">
        <subNetwork label="Lan 1" mask="192.168.0.0/16" name="lan1"/>
        <subNetwork label="Lan 2" mask="172.16.0.0/12" name="lan2"/>
        <subNetwork label="Lan 3" mask="10.0.0.0/8" name="lan3"/>
        <subNetwork label="Localhost" mask="127.0.0.1/16" name="locahost"/>
        <subNetwork label="Lan (IPv6)" mask="fc00::/7" name="lan6"/>
        <subNetwork label="Localhost (IPv6)" mask="::1/128" name="localhost6"/>
  
        <!-- Customer internal IPs -->
        <subNetwork id="internalNetwork" mask="a.b.c.d/xx"/>

      </securityZone>

特定のインスタンスにのみアクセスするオペレーターには、そのインスタンス専用の設定ファイルでIPアドレス範囲を直接定義することをお勧めします。

config-<instance>.xml​ファイル内:

  <securityZone name="public">
   ...
    <securityZone name="vpn">
      <subNetwork id="cus1" mask="a.b.c.d/xx"/>

セキュリティゾーンのサブネットワークとプロキシ

proxy​パラメーターは、subNetwork​要素で使用して、セキュリティゾーンでのプロキシ使用を指定できます。

プロキシが参照され、接続がこのプロキシ経由で入る(HTTP X-Forwarded-Forヘッダー経由で表示される)場合、検証されたゾーンはプロキシのクライアントのゾーンではなく、プロキシのクライアントのゾーンです。

重要

プロキシが設定され、上書き可能な場合(または存在しない場合)は、テスト対象のIPアドレスを改ざんできます。

さらに、リレーはプロキシのように生成されます。 したがって、IPアドレス127.0.0.1をセキュリティゾーン設定のプロキシのリストに追加できます。

例:" <subnetwork label="Lan 1" mask="192.168.0.0/16" name="lan1" proxy="127.0.0.1,10.100.2.135" />"と入力します。

様々なケースが発生する可能性があります。

  • サブネットワークはセキュリティゾーンで直接参照され、プロキシは設定されません。サブネットワークのユーザーは、Adobe Campaignサーバーに直接接続できます。

  • セキュリティゾーンのサブネットワークに対してプロキシが指定されています。このサブネットワークのユーザーは、このプロキシを介してAdobe Campaignサーバーにアクセスできます。

  • プロキシは、セキュリティゾーンのサブネットワークに含まれます。このプロキシを通じてアクセスできるユーザーは、接続元に関係なく、Adobe Campaignサーバーにアクセスできます。

Adobe Campaignサーバーにアクセスする可能性が高いプロキシのIPアドレスは、該当する​<subnetwork>​と第1レベルのサブネットワーク​<subnetwork name="all"/>​の両方に入力する必要があります。 例えば、IPアドレスが10.131.146.102のプロキシの場合は、次のようになります。

<securityZone allowDebug="false" allowHTTP="false" label="Public Network" 
                      name="public">
    <subNetwork label="All addresses" mask="*" name="all"
                      proxy="10.131.146.102,127.0.0.1, ::1"/>

    <securityZone allowDebug="true" allowHTTP="false" label="Private Network (VPN)" 
                      name="vpn" showErrors="true">
        <securityZone allowDebug="true" allowEmptyPassword="false" allowHTTP="true" 
                      allowUserPassword="false" label="Private Network (LAN)" 
                      name="lan" sessionTokenOnly="true" showErrors="true">
            <subNetwork label="Lan proxy" mask="10.131.193.182" name="lan3" 
                      proxy="10.131.146.102,127.0.0.1, ::1"/>
            <subNetwork label="Lan 1" mask="192.168.0.0/16" name="lan1" 
                      proxy="127.0.0.1, ::1"/>

        </securityZone>
    </securityZone>
</securityZone>

セキュリティゾーンをオペレーターにリンクする

ゾーンを定義したら、各オペレーターをいずれかのオペレーターにリンクして、インスタンスにログオンできるようにする必要があります。また、ゾーンで参照されるアドレスまたはアドレスの範囲に、オペレーターのIPアドレスを含める必要があります。

ゾーンの技術的な設定は、Campaignサーバーの設定ファイルで実行されます。serverConf.xml​と入力します。

これをおこなう前に、あらかじめ用意されている​セキュリティゾーン​列挙を設定し、serverConf.xml​ファイルで定義されているゾーンの内部名にラベルをリンクする必要があります。

この設定は、Campaignエクスプローラーでおこないます。

  1. 管理/プラットフォーム/列挙​ノードをクリックします。

  2. セキュリティゾーン(securityZone)​システム列挙を選択します。

  3. サーバーの設定ファイルで定義されたセキュリティゾーンごとに、「追加」ボタンをクリックします。

  4. 内部名」フィールドに、serverConf.xml​ファイルで定義したゾーンの名前を入力します。 <securityzone>要素の​@name​属性に対応します。 ラベル​フィールドに、内部名にリンクされたラベルを入力します。

  5. 「 OK 」をクリックして、変更を保存します。

ゾーンを定義し、セキュリティゾーン​列挙を設定したら、各オペレーターをセキュリティゾーンにリンクする必要があります。

  1. 管理/アクセス管理/オペレーター​ノードをクリックします。

  2. セキュリティゾーンをリンクするオペレーターを選択し、「編集」タブをクリックします。

  3. アクセス権」タブに移動し、「アクセスパラメーターを編集…」をクリックします。​リンクをクリックします。

  4. 許可された接続ゾーン」ドロップダウンリストからゾーンを選択します。

  5. OK」をクリックし、変更を保存して変更を適用します。

推奨事項

  • subNetwork でリバースプロキシが許可されていないことを確認します。許可されている場合は、すべての​トラフィックがこのローカル IP から来ているものとして検出され、信頼されます。

  • sessionTokenOnly="true" の使用は最小限に抑えます。

    • 警告:この属性がtrueに設定されている場合、オペレーターは​CRSF攻撃​にさらされる可能性があります。
    • さらに、sessionToken cookie に httpOnly フラグが設定されていないので、一部のクライアント側 JavaScript コードがこれを読み取れる可能性があります。
    • ただし、複数の実行セルで Message Center が sessionTokenOnly を必要とします。新しいセキュリティゾーンを作成し、sessionTokenOnly を true に設定して、必要な IP のみ​をこのゾーンに追加します。
  • 可能な場合は、allowHTTPとshowErrorsをすべてfalseに設定し(localhostではない)、確認します。

    • allowHTTP = "false":オペレーターは HTTPS を使用することを強制されます。
    • showErrors = "false":技術的エラー(SQL エラーなど)を非表示にします。これにより、表示される情報の量を抑えられますが、マーケターが(管理者に追加情報を要求することなしに)問題を解決することが難しくなります。
  • 調査、webApp、レポートを作成(実際にはプレビュー)する必要があるマーケティングユーザーまたは管理者が使用する IP に対してのみ、allowDebug を true に設定します。このフラグを使用すると、これらの IP でリレールールが表示され、デバッグできるようになります。

  • allowEmptyPassword、allowUserPassword、allowSQLInjection は決して true に設定しないでください。これらの属性は、v5 や v6.0 からの移行のためだけにあります。

    • allowEmptyPassword を使用すると、オペレーターは空のパスワードを設定できます。この属性を使用する場合、すべてのオペレーターに所定の期限までにパスワードを設定するよう通知してください。この期限を経過したら、この属性を false に設定します。

    • allowUserPassword を使用すると、オペレーターは資格情報をパラメーターとして送信できます(この情報は、Apache、IIS、プロキシでログに記録されます)。この機能は、以前に API の使用を簡素化するために使用されていました。クックブック(または仕様)で、サードパーティのアプリケーションがこれを使用していないかをチェックできます。使用されている場合、API の使用方法を変更して、なるべく早くこの機能を削除するよう通知する必要があります。

    • allowSQLInjection を使用すると、ユーザーは古い構文を使用した SQL インジェクションを実行できます。この属性をfalseに設定できるように、このページで説明されている修正をできるだけ早く実行します。 /nl/jsp/ping.jsp?zones=true を使用すると、セキュリティゾーン設定をチェックできます。このページには、現在の IP のセキュリティ対策のアクティブステータス(これらのセキュリティフラグで計算)が表示されます。

  • HttpOnly cookie/useSecurityToken:sessionTokenOnly フラグを参照してください。

  • 許可リストに追加する IP を最小限に抑える:セキュリティゾーンには、既にプライベートネットワーク用の 3 つの範囲が追加されています。通常、これらの IP アドレスをすべて使用することはありません。そのため、必要なもののみを保持するようにしてください。

  • webApp/内部オペレーターを更新して、localhost でのみアクセス可能となるようにしてください。

このページ