メインコンテンツへスキップ

クラウドセキュリティ

サイト内検索

営業担当者へ連絡
無料でお試し
印刷物

クラウドセキュリティ

どのようなセキュリティコントロールが利用可能か Mendix クラウド?

セキュリティ管理 Mendix クラウドには、さまざまなレベルの暗号化、トランスポート層セキュリティ (TLS)、アクセス制限、悪意のある不要なインターネット トラフィックからの保護、ノード設定と権限が含まれます。以下のセクションでは、これらのセキュリティ制御について詳しく説明します。

転送中のデータはどのように保護されますか?

この Mendix コンテナ内で実行されているランタイムは、トラフィックを関連するアプリ環境にルーティングするクラスター化された Nginx Web サーバーの負荷分散ルーティング レイヤーを介してアクセスされます。このとき、Web サーバーは TLS 接続を担当します。さらに、IaaS プロバイダーのすべての一般的なアクセス サービスとセキュリティ サービスが、そのインフラストラクチャに送信されるトラフィックに使用されます。ブラウザーから開始される TLS 接続は、負荷分散ルーティング レイヤーの Web サーバー サービスで終了します。これにより、データがエンドツーエンドで暗号化され、他のアプリ環境がターゲット アプリ環境からのデータを傍受できなくなります。

この Mendix クラウドは、さまざまな設定可能なHTTPレスポンスヘッダーをサポートし、 Mendix アプリケーション。詳細については、 環境の詳細 会場は Mendix ポータルガイド.

着信リクエストのアクセスはどのように制限されますか?

以内 Mendix クラウドでは、複数のコントロールを使用して受信リクエストへのアクセスを制限することが可能であり、アクセス制限を構成することで、アプリケーションへの外部アクセスをきめ細かく制御できます。

アクセス制限 Mendix クラウドはアクセス制限プロファイルによって構成されます。アクセス制限プロファイルには、任意の数の IPv4 および IPv6 アドレス範囲、またはクライアント証明機関、あるいはその両方を含めることができます。

これはクライアント証明書をアップロードする例です:

発信接続のアクセスはどのように制限されますか?

アプリケーションへのすべての受信接続 Mendix クラウドはTLSで保護されています。また、アプリはインターネット上の他のサービスにも接続できるため、 Mendix TLS またはクライアント証明書検証による TLS 経由で送信接続を保護することをお勧めします。

TLS は最も一般的なシナリオで、クライアントがサーバー証明書を検証し、暗号化された接続を設定します。信頼は、クライアントの信頼ストアにある証明機関への信頼チェーンを検証することで検証されます。暗号化を使用すると、接続を介して送受信されるデータは他の当事者によって傍受されないため、クライアントを認証するには、たとえばユーザー名/パスワードまたはトークンを HTTP ヘッダーとともに使用できます。これは、TLS をネイティブにサポートするサービスで使用できます。

サービスに接続するには Mendix クラウドでは、サービスは外部IPアドレスとポートで公開される可能性があります。ファイアウォールで保護することで、 Mendix クラウドに接続します。

クライアント証明書検証を伴うTLSでは、使用されるサービスがクライアントのIDを検証する必要があるという要件が追加されます。 Mendix TLS を使用した転送中の暗号化を含むアプリケーション。

か Mendix カスタムドメインをサポートしていますか?

インターネットからの接続については Mendix クラウドアプリケーションでは、 .mendixcloud.com or .mxapps.io 証明書が管理されているドメイン Mendixピン留めが必要な状況では、証明書の更新を完全に制御できるカスタム ドメインを設定できます。

アクセス管理はどのように行われますか? Mendix クラウド環境ですか?

きめ細かなアクセス管理 Mendix クラウド環境は、アプリケーションごとに処理されます。 Mendix ポータル。各チームメンバーはアラートを購読または購読解除することができ、 技術連絡先 アプリケーションでは、環境ごとに各チーム メンバーのさまざまな権限を管理できます。

以下のセクションでは、ノード設定で使用されるさまざまな開発チームの役割について説明します。

チームロールが管理するもの Mendix クラウド環境へのアクセス?

技術担当者の役割を持つユーザーは、クラウド ノード内のすべての設定を管理でき、表示、展開、監視の権限を持つ通常の開発チーム メンバーの権限を編集できます。他のチーム メンバーは、管理できる内容が制限されています。

クラウド ノードには常に 1 人の技術担当者しかいません (ただし、表示、展開、監視の権限を持つチーム メンバーはいくつでもかまいません)。技術担当者だけが、自分のユーザー ロールを別のチーム メンバーに付与できます (その後、新しいユーザーには技術担当者ロールが付与され、古いユーザーには付与されません)。

技術担当者はクラウド ノードから次のアラートを受信します。

  • メンテナンスの通知 from Mendix サポート
  • アラート 問題が発生した場合にノードから
    • たとえば、CPU負荷が高く、ディスク容量が不足している
    • 技術担当者はこれらのアラートをオフにすることはできません

アプリのインシデントや変更に関する最初の連絡先は誰ですか?

技術担当者は、 Mendix アプリケーションに関するサポート。技術担当者は、次のリクエスト タイプを使用してクラウド ノードのリクエストを送信できます。

  • インシデント – 例えば、アプリがダウンしているとき
  • 標準的な変更 – クラウドリソースの追加、変更のリクエスト Mendix アプリのURL、新しいアプリの作成、ライセンスの取得または更新、Google認証システムのリセット

どのような種類のアクセス制御が利用可能か Mendix クラウド環境ですか?

ノード権限は、アプリケーションの管理に対するきめ細かなアクセス制御を提供します。構成できるノード権限については、以下で説明します。

輸送権

トランスポート権限があれば、アプリケーションの新しいバージョンをノードにデプロイできます。新しいデプロイメント パッケージを作成したり、環境を停止および開始したり、定数やスケジュールされたイベントなどの構成設定を変更したりできます。

バックアップへのアクセス

この権限は、環境のバックアップへのアクセスを許可します。バックアップを表示、作成、ダウンロード、および復元できます。

アラートを受信する

アラートを受信するオプションがオンになっている場合 Mendix ポータルでは、アラートがトリガーされると、ユーザーにメールが送信されます。アラートは、アプリケーションが予期せずオフラインになった場合、アプリケーションが重大なレベルのメッセージをログに記録した場合、ヘルス チェックが失敗した場合、またはさまざまなインフラストラクチャの問題が発生した場合にトリガーされます。

会社の管理者はどうやって私の Mendix クラウド環境ですか?

Mendix 企業のクラウド環境を可視化し、 Mendix 管理者 会場は コントロールセンターこれには環境に関する情報が含まれます リソースパック、かどうか フォールバック オプションが設定されており、クラウドの場所を指定します。クラウド環境を管理するには、 Mendix クラウド環境への変更をサポートします。

API 権利

API権限があれば、 APIをデプロイする 環境へのプログラムによるアクセスを取得します。当然、API は 2 要素認証を必要としないため、デフォルトでは実稼働環境では API アクセスが無効になっています。技術担当者は各ユーザーに API アクセスを割り当てることができます。他の権限に加えて API 権限も必要となるため、API 経由でバックアップにアクセスするには、バックアップへのアクセス権限と API 権限の両方が必要になります。

どのようなバックアップ機能が提供されるか Mendix?

すべてのデータ (モデル、データベース、ファイル ストレージ) のバックアップは、すべての環境で毎日作成されます。バックアップは、地理的に分散された安全な場所に保存されます。

バックアップは次のように復元できます。

  • 夜間バックアップ – 最大2週間の履歴(リクエストの前日からカウント)
  • 日曜日のバックアップ – 最大3か月間の履歴(リクエストの前日からカウント)
  • 月次バックアップ (毎月第1日曜日) – 最大1年間の履歴(リクエストの前日からカウント)

運用データとバックアップデータは両方ともクラウドストレージを利用し、 Mendix プラットフォームサブスクリプションを購入した。企業は、バックアップの使用とテストのための社内プロトコルを設定することをお勧めします。管理者は、 Mendix ポータルまたはバックアップの自動ダウンロードを開発する Mendix プラットフォーム REST API。 Mendix また、フォールバック環境を有効にするためにライブ データ レプリケーションを使用するオプションも提供します。

監視へのアクセス

この権限があれば、アプリケーションのメトリクス、ログ、アラートを Mendix ポータル。これにより、 Mendix クラウド環境。

どのように Mendix 災害を軽減しますか?

この Mendix クラウドには、複数の可用性ゾーンへの展開による高可用性、スケーリング、自動回復など、災害に対する複数の軽減策があります。

災害復旧テストは四半期ごとに実施され、 Mendix プラットフォーム。これらのテストは、ISAE 3000 タイプ II レポート、ISAE 3402 タイプ II レポート、SOC 1 タイプ II レポート、SOC 2 タイプ II レポート、SOC 3 タイプ II レポート、ISO/IEC 27001:2013、ISO/IEC 27017:2015、ISO/IEC 27018:2019、NEN 7510-1:2017 認証、および HIPAA 保証書に報告されています。

しない Mendix クラウドは高可用性と自動回復を提供しますか?

この Mendix クラウドは、エンタープライズライセンスを持つお客様にオプションとして高可用性を提供します。これにより、障害が発生した場合でもダウンタイムがゼロになります。 Mendix ランタイム停止。ユーザーはスケールできる Mendix アプリ環境を使用する Mendix ポータル。さらに、 Mendix クラウドでは、同じ可用性ゾーン内での自動リカバリとフェイルオーバーが可能になります。

詳細については、以下のセクションをご覧ください。 どのように Mendix クラウドは高可用性を提供しますか?どのように Mendix 災害復旧を提供しますか?どのように Mendix クラウドは自動回復と自動修復を提供しますか? in クラウドアーキテクチャ.

どのような暗号化が提供されているか Mendix クラウド?

Mendix アプリ環境で保存中および転送中のデータの暗号化をすぐに利用できます。暗号化をさらに制御するには、 Mendix アプリケーション データベース内の特定の列の暗号化をサポートし、アップロードされたファイルの暗号化を可能にします。

ルーティングとネットワーク暗号化の詳細については、セクションを参照してください。 転送中のデータはどのように保護されますか? 上記。

どのようなログ記録と監査証跡が提供されていますか? Mendix クラウド?

Mendix アプリケーションのライフサイクル全体にわたって広範なログ記録を適用します。ログ記録は、アプリケーションによって実行されるアクションだけでなく、 Mendix 実行時だけでなく、アプリケーションの設計、開発、展開中のアクティビティも対象となります。したがって、アプリ内のすべての関連アクティビティ、およびそれらを実行したユーザーと実行日時の完全な監査証跡が存在します。

次のセクションでは、ログ記録のさまざまなレベルについて詳しく説明します。

  • 誰がどの要件を定義したかを特定できますか?

    この Mendix プラットフォームは、ユーザー ストーリーの形式での要件の定義をサポートします (アプリ プロジェクトのプロジェクト モジュール経由)。 Mendix 誰がどの要件を定義したかを追跡するために、ユーザー ストーリーに関連するアクションをログに記録します。

  • アプリケーション開発の整合性はどのように監視されますか?

    開発中のアプリケーションの整合性はチームサーバーによって監視され、すべての変更コミットを Mendix アプリを特定のユーザー ストーリーとユーザーに関連付けます。これにより、アプリケーションのどの部分を誰がどのような理由で開発したかを追跡できます。

  • どのデプロイメント アクティビティがログに記録されますか?

    この Mendix ポータルは、 Mendix アプリケーションパッケージ(英語ではデプロイメントアーカイブと呼ばれる)のデプロイメントを処理するプラットフォーム。 Mendix)。 Mendix ポータルには、環境全体にわたるアプリの展開とステージングが含まれます。さらに、バックアップと復元のアクションがログに記録されるため、実行された管理タスクの完全な追跡可能性が確保されます。

どのランタイムアクティビティがログに記録されますか?

この Mendix ランタイムには、ユーザーの行動やオブジェクトの操作をログに記録するオプションがあり、最低レベルの監査証跡を有効にできます。標準のログ詳細(アクティブユーザーなど)の他に、 Mendix Studio Pro を使用すると、カスタム ログを追加できます。カスタマイズされた整合性トリガーに基づいてアクティブなアラートを追加することもできます。

ログはログファイルに永続的に保存され、 Mendix ログ イベントをサブスクライブするための API を提供します。 Mendix また、安全なログ記録と監査が必要な環境でログ ファイルを暗号化して保存するために、RSA などのサードパーティ ツールと統合されます。

どのように Mendix クラウドは DTAP 環境をサポートしますか?

この Mendix プラットフォームの展開アーキテクチャは、SAP、IBM、GEなどが使用する業界標準のクラウドアプリケーションプラットフォームであるCloud Foundryに基づいています。Cloud Foundryは、 Mendix コンテナを使用するアプリケーション。環境は必要な数だけ作成できますが、通常は承認、運用、場合によってはテスト用の環境が含まれ、それぞれが独自のアプリケーション環境で実行されます。

どのように Mendix 内部に封じ込めを提供する Mendix クラウド?

A Mendix クラウドノードは、 Mendix 御社専用のランタイム。 Mendix クラウド ノードには、少なくとも 2 つの環境 (承認と運用) が含まれており、それぞれが独自のアプリ環境で実行されます。必要に応じて、環境をいくつでも拡張できます。各アプリ環境には、ファイアウォール、Web サーバー、データベース サービスも含まれます。 Mendix クラウド ノードは Cloud Foundry コンテナを使用します。アプリ コンテナの目的は、環境の動作と消費を封じ込めながら、他の環境 (およびアプリ) を相互に遮断することです。

Cloud Foundryは ガーデンコンテナ ビルドパックに基づいてアプリケーションと依存関係を実行するために設計されたコンテナです。ガーデンコンテナは、オペレーティングシステムのルートファイルシステムを備えた読み取り専用レイヤーと、 Mendix アプリケーションと依存関係。

データベースとファイルも論理的に Mendix クラウドとCloud Foundry。 Mendix アプリケーションはPostgreSQLの別のインスタンスでホストされており、この特定のインスタンスはこの特定のインスタンスからのトラフィックのみを許可します。 Mendix アプリケーション。

各アプリ環境には専用のWebサーバーとファイアウォールサービスがあるため、 Mendix アプリ環境レベルでのカスタマイズをサポートし、 Mendix ポータルは他のアプリ環境に影響を与えずに機能します。たとえば、特定のアプリ環境のリクエストハンドラのカスタマイズは、他のアプリの要求や要望によって損なわれることはありません。 Mendix お客さま。

アプリ環境の設定により、同じアプリケーションのすべてのインスタンスが同一に、しかし独立して動作できるようになります。アプリ環境は完全に標準化されているため、 Mendix OS、統合ソフトウェア、仮想化ソフトウェアの組み合わせを最適化し、可能な限り最高のセキュリティとパフォーマンスを実現します。さらに、 Mendix アプリ環境の保存データの暗号化をすぐに利用できます。

か Mendix 強化のためのベースライン構成を確立して維持しますか?

この Mendix セキュリティ チームは、SANS や CIS などの国際標準に基づいたセキュリティ強化ベースラインを確立しています。これは当社の独立した第三者監査人によって監査され、その結果、毎年 ISAE 3402 タイプ II レポート、SOC 1 タイプ II レポート、SOC 2 タイプ II レポート、SOC 3 タイプ II レポート、PCI DSS レベル 1 サービス プロバイダー準拠証明書、ISO/IEC 27001:2013、ISO/IEC 27017:2015、ISO/IEC 27018:2019、NEN 7510-1:2017 認証、および HIPAA 保証書が発行されます。

詳細については、を参照してください。 どのサードパーティセキュリティ認証と保証レポートが Mendix 持ってる?.

どのような物理的セキュリティ管理が実施されているか Mendix クラウド?

Mendix クラウドは業界をリードするデータセンターでホストされており、認定された情報セキュリティ責任者によってコンプライアンスが2年に1回審査されています。 Mendixすべてのデータ センターは、ISO/IEC 27001:2013、SOC 2、PCI-DSS などのサードパーティ認証および/またはサードパーティ保証レポートを取得しています。

どのようなDDoS対策が実施されているか Mendix クラウド?

すべて Mendix ホストされているアプリ Mendix Cloud v4はAWS Shield Advancedの背後にあり、最も一般的で頻繁に発生するネットワークおよびトランスポート層のDDoS攻撃から防御されています。この保護に加えて、 Mendix クラウドは、大規模で高度なDDoS攻撃の検出と緩和、DDoS攻撃のほぼリアルタイムの可視性、そして 24/7 AWS DDoS 対応チームへのアクセス。

どのように Mendix クラウドは悪意のある不要なインターネット トラフィックからアプリを保護しますか?

すべて Mendix ホストされているアプリ Mendix Cloud v4 は AWS Web アプリケーション ファイアウォール (WAF) によって保護されています。

WAFは、アプリケーションコードを変更することなく、悪意のある不要なインターネットトラフィックからアプリケーションを保護するセキュリティサービスです。WAFは、OWASPの出版物に記載されている多くの高リスクで一般的な脆弱性を含むさまざまな攻撃カテゴリに対処します。 OWASPトップ10。 これらには次のものが含まれます。

  • クロスサイトスクリプティング
  • HTTPプロトコル違反
  • ボット、クローラー、スキャナー
  • HTTP サービス拒否
  • サーバー側リクエストフォージェリ
  • ローカルファイルのインクルード
  • Log4j リモートコード実行

言語を選択してください