保护您的本地 Foundry 数据连接器

Palantir Foundry 被设计用于在几乎任何环境中提供安全的协作，从云端到边缘。如果您在 Palantir 的托管 SaaS 平台之外运行 Foundry 数据连接器代理，例如在您自己的数据中心或云上，请按照本页面的指导来保护您的安装。

物理访问

如果您的 Foundry 数据连接器代理部署在裸机硬件上，例如在数据中心，则至关重要的是实施强有力的物理安全控制。对运行 Foundry 数据连接器代理的服务器的访问应仅限于授权人员。

对 Foundry 服务器的任何访问都应有时间限制、记录在案，并遵循行业最佳实践。未经授权的硬件访问可能会让对手有机会进行各种攻击并破坏安全控制。

数据加密

Foundry 数据连接器代理在数据摄取过程中实现 Object 级别的加密。数据连接器从 Foundry 平台接收加密密钥材料，加密 Object，并提交给 Foundry API 进行摄取和存储。

传输中的数据

在数据连接器和 Foundry API 之间传输的所有数据都使用强加密协议和密码进行加密。

网络安全

网络分段

将 Foundry 数据连接器安装与您环境的其他部分分隔开是很重要的。以下是实现这一目标的最佳实践列表。

• 使用防火墙或其他技术实施网络隔离。
• 使用经过批准的协议、端口和子网的允许列表来限制对服务的访问。
• 默认拒绝所有入站流量到您的数据连接器安装。
• 仅将 Foundry 数据连接器安装暴露给尽可能少的网络。
• 在专用的私有网络 (VLAN/子网) 中隔离您的 Foundry 数据连接器安装。
• 维护 Foundry 数据连接器的网络需求的适当清单，其中将包含您组织将从中摄取数据的所有源数据系统。根据您的需求，这将是高度可变的。

出站控制

严格控制从您的 Foundry 数据连接器安装发出的网络流量，使用出站控制。

• 维护允许的目标的允许列表，通过 IP 或域名来连接您的 Foundry 数据连接器安装。
• 拒绝您的 Foundry 数据连接器安装的所有其他网络访问。

网络安全控制

使用网络安全控制来保护您的 Palantir Foundry 数据连接器安装。

• 使用入侵检测系统识别异常活动。
• 使用防火墙识别并阻止网络利用或攻击尝试。
• 从您的网络中收集网络安全日志以识别异常活动。

基础设施安全

服务器加固

使用行业标准配置指南（如 CIS 或 NIST 控制）加固用于您的 Foundry 数据连接器安装的服务器。

• 仅使用现代的、受支持的操作系统。
• 对用于您的 Foundry 安装的主机执行积极的漏洞管理和补丁。
• 严重的安全漏洞应在 30 天或更短时间内修补。

主机安全

使用主机安全控制来保护您的 Foundry 数据连接器安装。

• 从您的主机中收集审计和安全日志以识别异常活动。
• 使用基于主机的安全控制，如入侵检测系统，以识别异常活动。
• 使用数据丢失防护 (DLP) 技术查找未经授权的数据传输。

特权访问

严格控制对您的 Foundry 数据连接器安装的特权访问是重要的。

• 托管您的 Foundry 数据连接器安装的后端基础设施应限制只能通过专用堡垒服务器或跳板主机访问。
• 所有基础设施或云级别的访问都应要求多因素认证，以访问您的 Foundry 数据连接器安装。

应用补丁

Foundry 数据连接器包括自我更新到最新支持版本的能力，从而最大限度地减少了对您的操作人员的维护要求。