この記事には、AEM Forms 環境を堅牢化するための準備に役立つ、基本的な情報を記載しています。これには、JEE 上の AEM Forms、オペレーティングシステム、アプリケーションサーバー、データベースセキュリティに関する前提条件の情報も含まれます。環境のロックダウンを継続する前に、この情報を確認してください。
このセクションには、JEE 上の AEM Forms に統合されるオペレーティングシステム、アプリケーションサーバーおよびデータベースに関するセキュリティ関連情報を記載しています。
このセクションにあるリンクを使用して、使用しているオペレーティングシステム、データベースおよびアプリケーションサーバーのベンダーに固有のセキュリティ情報を検索してください。
オペレーティングシステムを保護する際には、次のようなオペレーティングシステムのベンダーが挙げている対策を実装することを慎重に検討してください。
JEE 上の AEM Forms がサポートするオペレーティングシステムのセキュリティ情報については、次の表のリソースを参照してください。
オペレーティングシステム |
セキュリティ情報 |
---|---|
IBM® AIX® 7.2 |
|
Microsoft® Windows Server® 2016 |
|
Red Hat® Linux® AP または ES |
|
Sun Solaris™ 11 |
|
Oracle Linux® 7 Update 3 | リリース 7 のセキュリティガイド |
CentOS 7 | 保護に関するドキュメント |
アプリケーションサーバーを保護する際には、次のようなサーバーのベンダーが挙げている対策を実装することを慎重に検討してください。
JEE 上の AEM Forms がサポートするアプリケーションサーバーのセキュリティ情報については、次の表の資料を参照してください。
アプリケーションサーバー |
セキュリティ情報 |
---|---|
Oracle WebLogic® |
https://docs.oracle.com/ で「Understanding WebLogic Security」を検索してください。 |
IBM® WebSphere® |
|
Red Hat® JBoss® |
データベースを保護する際には、次のようなデータベースのベンダーが挙げている対策を実装することを検討してください。
JEE 上の AEM Forms がサポートするデータベースのセキュリティ情報については、次の表の資料を参照してください。
データベース |
セキュリティ情報 |
---|---|
IBM® DB2® 11.1 |
|
Microsoft® SQL Server 2016 |
「SQL Server 2016: Security」という文字列で web を検索 |
MySQL 5 |
|
Oracle® 12c |
「Oracle 12g Documentation」のセキュリティの章を参照してください。 |
次の表では、JEE 上の AEM Forms の設定プロセス中に開く必要のあるデフォルトポートについて説明します。https 経由で接続している場合、ポート情報と IP アドレス情報を適宜修正する必要があります。ポートの設定について詳しくは、使用しているアプリケーションサーバー版の「JEE 上の AEM Forms のインストールおよびデプロイ」ドキュメントを参照してください。
製品またはサービス |
ポート番号 |
---|---|
JBoss® |
8080 |
WebLogic |
7001 |
> WebLogic 管理対象サーバー |
設定時に管理者によって指定される |
> WebSphere® |
9060(Global Security が有効になっている場合、デフォルト SSL ポート値は 9043) 9080 |
> BAM サーバー |
7001 |
> SOAP |
8880 |
> MySQL |
3306 |
> Oracle |
1521 |
> DB2® |
50000 |
> SQL Server |
1433 |
> LDAP |
LDAP サーバーを実行しているポート。デフォルトのポートは通常 389 です。ただし、SSL オプションを選択する場合、デフォルトのポートは通常 636 です。どのポートを指定するかは、LDAP の管理者に確認してください。 |
JBoss® Application Server は、デフォルトの HTTP ポートとして 8080 を使用します。また、JBoss® には事前設定のポート 8180、8280 および 8380 があり、これらは jboss-service.xml ファイルでコメントアウトされています。既にこのポートを使用しているアプリケーションがコンピューター上にある場合は、以下の手順に従って JEE 上の AEM Forms で使用するポートを変更してください。
次のファイルを編集用として開きます。
シングルサーバーのインストール: [JBoss® ルート]/standalone/configuration/standalone.xml
クラスターのインストール: [JBoss® ルート]/domain/configuration/domain.xml
<socket-binding> タグの port 属性の値をカスタムポート番号に変更します。例えば、次の例では、ポート 8090 を使用します。
<socket-binding name="http" port="8090"/>
ファイルを保存して閉じます。
JBoss® アプリケーションサーバーを再起動します。
ここでは、理解しておく必要のある JEE 上の AEM Forms 固有のセキュリティの問題について説明します。
アプリケーションに保存されているメールアドレスの資格情報は、JEE 上の AEM Forms データベースに保存される前に暗号化されません。サービスのエンドポイントでメールアドレスを使用するように設定した場合、エンドポイント設定の一部として使用したパスワード情報は、データベースに保存される前に暗号化されません。
JEE 上の AEM Forms は、JEE 上の AEM Forms データベースに、ポリシードキュメントで使用した機密ドキュメントキー情報と暗号化マテリアルを格納します。データベースへの侵入を防御することで、このような機密性の高い情報を保護することができます。
JEE 上の AEM Forms を実行するアプリケーションサーバーでは、そのサーバー上に設定されたデータソースを介してデータベースにアクセスするように設定する必要があります。アプリケーションサーバーがデータソース構成ファイルでデータベースパスワードをクリアテキストで公開しないようにしてください。
lc_[database].xml ファイルには、クリアテキスト形式のパスワードを含めないでください。アプリケーションサーバーのパスワードを暗号化する方法については、アプリケーションサーバーのベンダーにお問い合わせください。
JEE 上の AEM Forms JBoss® 自動インストーラーがデータベースのパスワードを暗号化します。
IBM® WebSphere® Application Server および Oracle WebLogic Server は、デフォルトでデータソースのパスワードを暗号化している可能性があります。ただし、これらのサーバーを使用している場合でも、アプリケーションサーバーのドキュメントで、暗号化が行われているかどうかを必ず確認してください。
Trust Store から読み込んだ秘密鍵や秘密鍵証明書は、JEE 上の AEM Forms データベースに保管されます。データベースを保護し、アクセスを指名された管理者のみに制限するため、適切な注意を払う必要があります。