JEE 上のAEM Forms環境を強化するための準備方法を説明します。
この記事には、AEM Forms 環境を堅牢化するための準備に役立つ、基本的な情報を記載しています。これには、JEE 上の Forms、オペレーティングシステム、アプリケーションサーバー、データベースセキュリティに関する前提条件の情報も含まれます。環境のロックダウンを続行する前に、この情報を確認してください。
この節には、JEE 上の AEM Forms ソリューションに統合されるオペレーティングシステム、アプリケーションサーバーおよびデータベースに関するセキュリティ関連情報を記載しています。
このセクションにあるリンクを使用して、使用しているオペレーティングシステム、データベースおよびアプリケーションサーバーのベンダーに固有のセキュリティ情報を検索してください。
オペレーティングシステムを保護する際は、次のようなオペレーティングシステムのベンダーが説明する対策を慎重に実装することを検討してください。
JEE 上のAEM Formsがサポートするオペレーティングシステムのセキュリティ情報については、次の表の資料を参照してください。
オペレーティングシステム |
セキュリティ情報 |
---|---|
IBM® AIX® 7.2 |
|
Microsoft Windows Server® 2012 |
|
Microsoft Windows Server® 2016 |
|
Red Hat® Linux® AP または ES |
|
Sun Solaris 11 |
|
Oracle Linux® 7 Update 3 | リリース 7 のセキュリティガイド |
CentOS 7 | 保護に関するドキュメント |
アプリケーションサーバーを保護する際は、次のようなサーバーベンダーが説明する対策を慎重に実装することを検討してください。
JEE 上の AEM Forms がサポートするアプリケーションサーバーのセキュリティ情報については、次の表の資料を参照してください。
アプリケーションサーバー |
セキュリティ情報 |
---|---|
Oracle WebLogic® |
「Understanding WebLogic Security」( ) を検索します。 https://download.oracle.com/docs/. |
IBM WebSphere® |
|
Red Hat® JBoss® |
データベースを保護する場合は、次のような方法で、データベースのベンダーが説明した対策を実装することを検討してください。
JEE 上の AEM Forms がサポートするデータベースのセキュリティ情報については、次の表の資料を参照してください。
データベース |
セキュリティ情報 |
---|---|
IBM DB2® 11.1 |
|
Microsoft SQL Server 2016 |
「SQL Server 2016: Security」について Web を検索してください |
MySQL 5 |
|
Oracle® 12c |
「Oracle 12g Documentation」のセキュリティの章を参照 |
次の表では、JEE 上の AEM Forms の設定プロセス中に開く必要のあるデフォルトポートについて説明します。https 経由で接続している場合、ポート情報と IP アドレス情報を適宜修正する必要があります。ポートの設定について詳しくは、使用しているアプリケーションサーバー版の「JEE 上の AEM Forms のインストールおよびデプロイ」ドキュメントを参照してください。
製品またはサービス |
ポート番号 |
---|---|
JBoss |
8080 |
WebLogic |
7001 |
WebLogic 管理対象サーバー |
設定時に管理者によって指定される |
WebSphere |
9060(Global Security が有効になっている場合、デフォルト SSL ポート値は 9043) 9080 |
BAM サーバー |
7001 |
SOAP[SOAP] |
8880 |
MySQL |
3306 |
Oracle |
1521 |
DB2 |
50000 |
SQL Server |
1433 |
LDAP |
LDAP サーバーを実行しているポート。デフォルトのポートは通常 389 です。ただし、SSL オプションを選択した場合、デフォルトのポートは通常 636 です。指定するポートを LDAP 管理者に確認してください。 |
JBoss Application Server は、デフォルトの HTTP ポートとして 8080 を使用します。また、JBoss には事前設定のポート 8180、8280 および 8380 があり、これらは jboss-service.xml ファイルでコメントアウトされています。既にこのポートを使用しているアプリケーションがコンピューター上にある場合は、以下の手順に従って JEE 上の AEM Forms で使用するポートを変更してください。
次のファイルを編集用に開きます。
シングルサーバーのインストール: [JBoss ルート]/standalone/configuration/standalone.xml
クラスターのインストール: [JBoss ルート]/domain/configuration/domain.xml
値の変更 ポート 属性 <socket-binding> タグをカスタムポート番号に追加します。 例えば、次の例では、ポート 8090 を使用します。
<socket-binding name="http" port="8090"/>
ファイルを保存して閉じます。
JBoss アプリケーションサーバーを再起動します。
ここでは、理解しておく必要のある JEE 上の AEM Forms 固有のセキュリティの問題について説明します。
アプリケーションに保存されている電子メールの資格情報は、JEE 上の AEM Forms データベースに保存される前に暗号化されません。サービスのエンドポイントで電子メールを使用するように設定した場合、エンドポイント設定の一部として使用したパスワード情報は、データベースに保存される前に暗号化されません。
JEE 上のAEM Formsは、JEE 上のAEM Formsデータベースを使用して、ポリシードキュメントに使用される機密ドキュメントキー情報やその他の暗号化資料を保存します。 データベースへの侵入を防御することで、このような機密性の高い情報を保護することができます。
JEE 上の AEM Forms を実行するアプリケーションサーバーでは、そのサーバー上に設定されたデータソースを介してデータベースにアクセスするように設定する必要があります。アプリケーションサーバーが、データソース設定ファイルのデータベースのパスワードをクリアテキストで公開していないことを確認します。
lc_[データベース].xml ファイルには、クリアテキスト形式のパスワードを含めないでください。 アプリケーションサーバーのパスワードを暗号化する方法については、アプリケーションサーバーのベンダーにお問い合わせください。
JEE 上の AEM Forms JBoss 自動インストーラーがデータベースのパスワードを暗号化します。
IBM WebSphere Application Server および Oracle WebLogic Server は、デフォルトでデータソースのパスワードを暗号化している可能性があります。ただし、アプリケーションサーバーのドキュメントで、この処理がおこなわれていることを確認してください。
Trust Store からインポートされた秘密鍵や秘密鍵証明書は、JEE 上の AEM Forms データベースに保管されます。データベースを保護し、アクセスを指定された管理者のみに制限するために、適切な予防措置を講じます。