注意:以下翻译的准确性尚未经过验证。这是使用 AIP ↗ 从原始英文文本进行的机器翻译。
配置网络出口
网络出口指的是从 Foundry 内部发起并尝试连接到外部系统的任何网络流量。本页概述了如何在控制面板中配置和管理网络出口,以及这些配置如何被 Foundry 中的用户工作负载使用。
网络入口指的是从 Foundry 外部发起并尝试与 Foundry 建立连接的网络流量。网络入口也在控制面板中进行管理。
网络出口概述
Foundry 提供严格的网络防火墙以保护客户数据。客户管理的网络出口策略用于以容器网络技术 (Cilium ↗, eBPF ↗) 将网络防火墙规则应用于单个工作负载。除了这些客户特定的规则外,Palantir 的信息安全团队在基础设施代理层维护网络防火墙规则,以提供另一个安全层。这些规则共同管理 Foundry 中用户工作负载的网络出口执行,包括以下内容:
从 Foundry 出口的网络流量仍可能导致数据向任一方向流动。这意味着在 Foundry 内允许连接到外部的工作负载可能被用于同步和以导出数据。
开放网络出口路线始终是一种安全风险。Foundry 注册的安全信息官应确保他们只开放到可信目的地的网络路线,并将访问这些路线的权限限制在一个可信的开发人员组内。即使是受信任的外部系统也可能被恶意行为者滥用以绕过安全控制。信息安全官员应利用 Foundry 更改管理工具,确保出口逻辑更改由可信组审核,并建立审计流程以确保出口逻辑保持安全。
网络出口策略
网络出口策略在控制面板中配置,代表用户工作负载可能从 Foundry 注册出口到的外部目的地集合。出口策略可以通过域名、IP 或 CIDR 块进行处理。
一旦创建,网络出口策略的目的地无法修改。网络出口策略创建后无法删除,只能被撤销。
下表总结了配置网络出口策略时可以使用的选项。
| 选项 | 描述 |
|---|---|
| 地址 | 选项 1: DNS 格式为 subdomain.domain.com 的域名。只允许特定的域名,不支持通配符。例如,若要允许流量到 foo.mycompany.com 和 bar.mycompany.com,必须创建两个单独的域名策略。选项 2: IP 格式为 x.x.x.x 的单一 IPv4 地址 选项 3: CIDR 格式为 x.x.x.x/x 的 IPv4 CIDR 地址块 更多信息,请查看下面关于处理域名地址与IP 和 CIDR 地址的章节 |
| 端口 | 应为指定域名允许的端口或端口范围。端口值必须在 1 - 65535 的范围内。选项 1: 单一端口 使用 DNS 地址时,必须指定一个单一端口。仅允许 HTTP、HTTPS 和某些来源类型(PostgreSQL、MS SQL Server 和 FTP)的流量在配置的域名和端口上。如果指定端口 80,则允许 HTTP 流量。否则,只允许 HTTPS 流量。选项 2: 端口范围 使用此选项时,必须提供起始和结束端口,其中起始端口小于或等于结束端口。 |
| 全局 | 默认为 false。启用此选项会将指定的域名和端口设为全局策略,并强烈不推荐。 |
域名地址
指定外部目的地为域名的网络出口策略允许连接到 HTTP/HTTPS 流量和一些来源类型(PostgreSQL、MS SQL Server、FTP),而无需额外的 IP 策略。
对于其他非 HTTP/HTTPS 流量,域名策略必须与 IP 策略结合使用。这是必要的,因为 Palantir 网络代理对所有基于域的网络出口流量执行 TLS 检查;对于其他非 HTTP/HTTPS 流量,某些所需的元数据不可用。
将域解析为 IP 地址,并使用IP 或 CIDR 地址的出口策略。然后,在 Foundry 中配置您的数据连接源以通过域名和 IP 策略进行连接。
如果将来域名到 IP 地址的 DNS 解析发生更改,则出口策略和目的地都需要更新。
IP 和 CIDR 地址
指定外部目的地为 IPv4 地址或 CIDR 块的网络出口策略可以用于允许在指定地址和端口上的任何网络流量。这些策略支持任何 TCP 协议,包括 HTTP/HTTPS、FTP 或基于 TCP 的 SQL 数据库协议。不支持 IPv6 地址。
Foundry 默认尝试对所有网络连接执行 TLS 检查,包括通过 IP 地址或 CIDR 块允许的连接。然而,这无法应用于某些协议,如 FTP(S)、SFTP 和大多数基于 TCP 的数据库连接。当 Palantir 的网络基础设施尝试对不支持的流量执行 TLS 检查时,您可能会遇到连接挂起和/或超时错误。
默认情况下,对以下端口的流量禁用 TLS 检查,以适用于常用的 TCP 协议:
| 端口 | 协议 |
|---|---|
20-21 | FTP |
22 | SSH, SFTP |
25 | SMTP |
990 | FTPS |
3306 | MySQL |
5432 | PostgreSQL |
管理员可以在每个策略的基础上手动禁用 TLS 检查。如果您认为这对于您的应用案例是必要的,并且不在上述列表中,请打开支持问题。请注意,对于基于 DNS 的策略,禁用 TLS 检查是不可能的。
另外,请注意,指定端口范围包含上述列表之外任何端口的策略将对所有流量启用 TLS 检查,包括对上述端口的流量。
权限
下表显示了与网络出口策略相关的操作及这些权限的默认配置的摘要。
| 操作 | 描述 |
|---|---|
| 提议 | 任何 Foundry 用户都可以提议网络出口策略。提议的策略只有在批准后才能生效和可用。在控制面板的审批收件箱中可以看到待批准的策略。 |
| 批准/创建 | 通过 管理网络出口配置 工作流程授予。默认情况下,该工作流程将授予 注册管理员 和 信息安全官 角色。 |
| 更新元数据 | 通过 管理网络出口配置 工作流程授予。默认情况下,该工作流程将授予 注册管理员 和 信息安全官 角色。 |
| 撤销 | 通过 管理网络出口配置 工作流程授予。默认情况下,该工作流程将授予 注册管理员 和 信息安全官 角色。 |
| 暂停 | Palantir 的信息安全团队有能力阻止被认为是安全风险或威胁的网络出口。任何被此阻止的网络出口策略将在控制面板中显示为 已暂停。如果您认为您的注册的合法网络出口策略被错误地暂停,请提交支持工单并提供相关细节。 |
| 查看 | 允许指定的用户和组查看策略的存在,但不允许他们在任何工作负载中导入和使用它。一般来说,我们建议将任何可能需要使用该策略的人设为只读,即使他们当前不是导入者。 |
| 导入 | 允许指定的用户和组查看策略的存在,并在工作负载中导入和使用它。 |
网络出口的主要管理界面位于控制面板中的注册级别。具有 管理网络出口配置 工作流程访问权限的用户,将能够访问网络出口页面以对出口策略执行任何管理操作。
注册管理员和信息安全官还始终可以看到出口策略已导入到哪些项目中。这无论管理用户对项目的个人访问权限如何都可以实现。此元数据可确保信息安全官员对策略使用有足够的可见性,以便对可能撤销或以其他方式限制策略使用能力做出治理决策。
在批准策略时,信息安全官必须决定应授予哪些用户或组 查看 或 导入 网络出口策略的能力。这也可以稍后在控制面板中使用策略详细信息页面上的管理共享按钮进行管理。
具有 导入 访问权限的用户可以在 Foundry 中运行与目的地地址通信的任意代码。 确保任何被授予导入权限的用户都是可信的,并接受过有关您组织信息安全策略的培训,以避免滥用此访问权限。
策略状态
在网络出口策略的整个生命周期中,它可能处于下述各种状态之一:
| 策略状态 | 描述 |
|---|---|
待批准 | 待批准是新网络出口策略的默认状态。处于此状态的策略可以附加到工作负载,但尝试使用待批准策略的工作负载将出错。 |
活跃 | 一旦策略被批准,它就变得活跃。活跃策略的导入者能够将其附加到 Foundry 工作负载上,以允许该工作负载出口到指定的外部地址。 |
已暂停 | Palantir 的信息安全团队已阻止出口到指定地址。尝试使用已暂停策略的工作负载将出错。 |
已撤销 | Foundry 注册的信息安全官可以从控制面板撤销策略。尝试使用已撤销策略的工作负载将出错。 |
常见边缘情况
如果有两个相同的策略,一个被暂停/撤销而另一个活跃,会发生什么?
使用活跃策略的任何工作负载将成功运行,而尝试使用暂停/撤销策略的工作负载将出错。
如果有重叠的策略,一个被暂停/撤销而另一个活跃,会发生什么?
这可能发生在单个 IP 地址策略和指定 IP 地址 CIDR 块策略重叠的情况下。
在这种情况下,与相同策略一样,使用活跃策略的任何工作负载将成功运行,而尝试使用暂停/撤销策略的工作负载将出错。
如果我提议一个已存在的策略,会发生什么?
允许重复策略,审阅提案的信息安全官可以选择做以下之一:
- 完全拒绝提案
- 拒绝提案并授予提案者对现有相同或重叠策略的导入者访问权限
- 批准提案并允许重复或重叠的策略(不推荐)
使用策略
要使网络策略生效,需要采取两个步骤。
首先,在控制面板中创建策略。如果您的 Foundry 安装的策略管理由 Palantir 支持,请联系您的 Palantir 代表并提供您的出口策略的详细信息。这允许 Palantir 在扩大网络访问之前评估安全风险。如果您的 Foundry 安装的策略管理是完全自助的,则该策略将自动应用于防火墙。
其次,策略还必须被指派给用户工作负载:
- 使用直接连接运行时的数据连接源: 在创建新源时指定网络策略。
- 外部变换:在 Python 变换声明中引用网络策略。
- 代码工作簿:尚未提供细粒度的网络管理,管理员必须创建全局策略。全局策略不加区分地应用于所有工作负载,应仅为高度信任的网络路由进行配置。
要将策略指派给用户工作负载,需要对特定出口策略具有导入者权限。此权限通过各自出口策略上的管理共享设置按策略基础授予。
选择加入与全局
默认情况下,策略是“选择加入”的,必须附加到 Foundry 中的工作负载。例如,在创建数据连接源时,用户应显式将策略附加到该源上,并且用户对策略具有 导入者 权限。这遵循最小特权原则 ↗,确保工作负载仅获得严格运行所需的出口规则。
全局策略自动应用于整个 Foundry 实例的所有工作负载。全局策略比选择加入策略风险更大,应仅在无法使用选择加入策略的情况下使用。截至 2024 年,仍然需要全局策略的唯一工作负载类型是代码工作簿。
一旦所有工作负载支持选择加入策略指派,全局策略的支持将被移除。
从 Foundry 发起的连接来自哪些 IP?
当从 Foundry 发起到外部目的地的连接时,它们来自某些 IP 范围。有时在接受来自 Foundry 的连接之前,需要将这些 IP 添加到允许列表中。
当 Foundry 托管在 Palantir 的云基础设施中时,Foundry 流量源自的出口 IP 将显示在控制面板的网络出口管理页面上。您应该复制显示的 CIDR 范围以便在目的地系统中添加到允许列表。
请注意,通过代理的连接处理方式不同。使用代理时,到源系统的网络流量将始终来自您基础设施上的代理主机;确保代理与目标系统之间的网络连接是您的责任。
Amazon S3 存储桶策略
对于托管在 AWS 中的 Foundry 实例,在连接到同一区域的 S3 存储桶时需要额外的配置。这是由于 AWS 处理从同一区域的 VPC 网关端点到 S3 请求的网络方式。
要检查您的连接是否需要额外配置,请导航到控制面板中的网络出口页面。如果您发现一个名为S3 存储桶策略的附加标签,则您的实例托管在 AWS 中,您必须显式允许来自 Palantir 的 VPC 端点到同一区域的任何 S3 存储桶的流量。
如果存在,S3 存储桶策略标签还会显示您的实例托管的区域,以及用于将流量从 Foundry 路由到任何同一区域 S3 存储桶的 VPC 端点的 Amazon 参考编号 (ARN)。
要成功连接到与 Foundry 位于同一区域的存储桶,您必须完成以下步骤:
- 在 AWS 控制台中配置您的存储桶策略,以允许来自您 Foundry 实例的 VPC 端点的流量。了解更多关于 AWS 存储桶策略 ↗。
- 确保您所需的存储桶在控制面板的 网络出口 > S3 存储桶策略 > AWS S3 存储桶策略 下列出。
- 按照上述创建合适的网络出口策略,并将其添加到您用于连接的数据连接源的配置详细信息中。
允许流量从您的 Foundry 实例的 VPC 端点到 S3
在 AWS 控制台中,您必须确保 S3 存储桶的存储桶策略 ↗允许来自 网络出口 > S3 存储桶策略 标签中显示的 VPC 端点的入站流量,如下所示:
Amazon S3 文档包含一个示例 ↗,说明如何使用存储桶策略将流量限制到特定 VPC 端点的 S3 存储桶。要了解有关管理从 VPC 端点到 S3 的入站流量的更多信息,请查看官方的 AWS 文档 ↗。
您可以配置 AWS 存储桶策略以根据流量来源的 VPC 端点来控制流量。然而,您应始终使用某种形式的访问认证来为您的存储桶提供安全保障,因为多个 Foundry 实例可能共享一个 VPC 端点。仅基于 VPC 端点允许访问的存储桶策略可能允许您组织外部的用户未经授权的访问。
添加 S3 存储桶策略
要添加同一区域存储桶,选择添加存储桶策略,并按照提示输入您所需的存储桶名称,如下所示:
表单将自动检查有效的存储桶名称以及区域。如果有效的存储桶名称与您的 Foundry 实例托管的区域匹配,您将能够保存。除了存储桶名称,您还必须提供 只读 或 读写 策略。这决定了在建立到 S3 的连接时,您希望 Palantir 请求的访问级别。
将同一区域 S3 存储桶添加到允许列表,以及所需的存储桶访问策略,应被视为在您 Foundry 实例的 VPC 端点上保证可用的最低访问级别。
S3 中的数据应通过 AWS 中适当的身份验证和授权进行保护,以及 Foundry 内的网络出口策略治理。
Palantir 可能会扩展提供的列表以允许访问其他同一区域的存储桶,并且还可能将给定存储桶的访问策略从 只读 提升到 读写。使用 S3 源类型 时进行适当的身份验证和授权将确保您不会意外允许未经授权的 Foundry 用户访问您的 S3 存储桶。
使用 S3 存储桶策略
一旦添加,同区域存储桶策略立即生效,并适用于所有尝试直接从 Foundry 出口到该存储桶的工作负载。与网络出口策略不同,它们不需要附加到 Foundry 中的特定源或其他工作负载。
在创建 S3 源时,配置界面会自动检查存储桶是否与 Foundry 位于同一区域,以及存储桶是否已在控制面板中添加。配置源的用户将看到一个绿色勾号,表示存储桶已正确添加,或一个红色勾号,表示需要由具有添加 S3 存储桶策略访问权限的管理员采取行动。
限制
每个注册最多可以添加 10 个同区域存储桶。如果您需要从您的 Foundry 实例访问超过 10 个同区域 S3 存储桶,请联系 Palantir 支持。
Microsoft Azure 存储策略
对于托管在 Azure 中的 Foundry 实例,在连接到 Azure 存储资源时需要额外的配置,因为流量是通过 Azure 服务端点路由的。
要检查您的连接是否需要额外配置,请导航到控制面板中的网络出口页面。如果您发现一个名为Azure 存储策略的附加可选标签,则您的实例托管在 Azure 中,您必须显式允许来自 Palantir 的 Azure 子网到任何连接资源的 Azure 存储帐户的流量。
如果存在,Azure 存储策略标签将显示用于将流量从 Foundry 路由到任何 Azure 存储资源的子网 ID。
要成功连接到 Azure 存储资源,您必须完成以下步骤:
- 在 Azure 中配置您的存储帐户的虚拟网络规则,以允许来自您 Foundry 实例的子网的流量。了解更多关于管理 Azure 虚拟网络规则 ↗。
- 确保您所需的 Azure 存储帐户在控制面板的 网络出口 > Azure 存储策略 下列出。
- 按照上述创建合适的网络出口策略,并将其添加到您用于连接的数据连接源的配置详细信息中。
允许流量从您的 Foundry 实例的子网到 Azure 存储帐户
在您的 Azure 帐户中,您必须确保存储帐户的虚拟网络规则 ↗允许来自 网络出口 > Azure 存储策略 标签中显示的子网 ID 的入站流量,如下所示:
您可以配置 Azure 存储策略以根据子网 ID 控制流量。然而,您应始终使用某种形式的访问认证来为您的 Azure 存储帐户提供安全保障,因为多个 Foundry 实例可能共享相同的子网。仅基于子网 ID 允许访问的 Azure 存储策略可能允许您组织外部的用户未经授权的访问。
添加 Azure 存储策略
要添加 Azure 存储出口策略,选择添加 Azure 存储策略,并按照提示输入您所需的存储帐户资源 ID,如下所示:
表单将自动检查提供的 Azure 存储帐户资源 ID 是否有效。您可以在 Azure 文档 ↗中找到有关如何查找 Azure 存储帐户资源 ID 的更多信息。
使用 Azure 存储策略
一旦添加,Azure 存储策略立即生效,并适用于所有尝试直接从 Foundry 出口到该存储帐户的工作负载。与网络出口策略不同,它们不需要附加到 Foundry 中的特定源或其他工作负载。
在创建 ABFS 源时,配置界面会自动检查 Foundry 是否在 Azure 上部署,以及是否存在已在控制面板中添加的有效存储帐户。配置源的用户将看到一个警告,表示需要由具有在控制面板中添加 Azure 存储策略访问权限的管理员采取行动,如下所示。
在创建 网络出口策略之后,如果还需要 Azure 存储策略进行出口,还会显示如下所示的警告:
