注意:以下翻译的准确性尚未经过验证。这是使用 AIP ↗ 从原始英文文本进行的机器翻译。
配置网络入口
网络入口指的是从 Foundry 外部发起的连接。在使用我们托管的SaaS平台时,Control Panel 提供了允许列表配置,以定义可以从哪里建立这些连接。
必须在 Control Panel 中配置适当的网络入口规则,用户才能登录和浏览 Foundry,以及需要进入 Foundry 的过程,例如设置数据连接代理。
在 Control Panel 中配置网络入口的功能可能尚未对您的注册开放。
在 Control Panel 中配置网络入口
在 Control Panel 的 网络入口 选项卡中提供了配置网络入口允许列表的功能。此功能对具有信息安全官或注册管理员角色的用户开放。这些角色由注册管理员授予,在 Control Panel 的 注册权限 选项卡中。
支持两种类型的规则:
- 在 允许的 IP 地址范围 部分:可以指定 IPv4 范围(CIDR 表示法),从这些范围可以建立入口连接。最多可以配置 500 个 CIDR 块。
- 在 允许的国家 部分:可以指定可以从哪里建立入口连接的国家。
规则是累加的;如果满足 IP 基于规则或国家规则,则可以建立连接。
通过虚拟专用网络 (VPN) 连接的用户是根据 VPN 的出口 IP 进行允许的。
注意事项:基于国家的允许列表
当使用基于国家的允许列表而不是严格的 IP 基于允许列表时,请务必了解便利性和安全性之间的权衡。虽然仍然需要认证,但使用广泛的网络允许列表可能会大大增加以下风险:
- 基于身份的攻击
- 示例:认证材料泄漏、账户接管、暴力破解和凭证盗窃。
- 社会工程和基于网络的攻击
- 示例:中间人攻击、DNS 污染和其他定向钓鱼。
- 利用基础架构和应用程序的漏洞
- 示例:零日漏洞。
Palantir 建议使用严格的 IP 允许列表作为深度防御控制,旨在通过拒绝攻击者所需的网络访问来显著降低这些风险。
基于国家的允许列表通过对传入连接的 IP 进行地理标记来工作。这种行为可能会受到 Palantir 使用的第三方驱动此功能的数据质量问题的影响。在 IP 地理标记工具中,可能会出现误报和漏报,这是预期的。
提出更改请求
鉴于配置网络入口的敏感性,所有入口更改都必须通过审批工作流。完成修改后,选择页面右下角的 请求更改 选项并提供更改的理由。每个域在其入口配置中提出更改请求时,都会提出单独的审批请求。默认情况下,管理员可以批准自己的入口更改请求。然而,审批工作流确保在更改生效之前进行审核,并提供所有修改的历史记录。
下图显示了请求对两个域的入口配置进行更改时的对话框示例。
请求会出现在 Control Panel 的审批收件箱中。
高级设置
在 高级设置 下,您可以切换 Palantir 访问 开关;打开 Palantir 访问 开关使得可以从 Palantir 的企业网络进行入口网络访问,而无需显式允许 Palantir 的企业 IP。
如果您正在受到通过专用认证提供商和从 Palantir 网络访问您注册的 Palantir 工程师的支持,通常应开启 Palantir 访问。请注意,Palantir 访问通过 VPN 实现,并不特定于某个地理区域。
与 IP 和国家级别的允许列表类似,Palantir 访问 设置是累加的:如果您的网络入口配置允许来自美国的连接,并且启用了此开关,则可以从美国以外的企业网络位置进行访问。