This is the documentation for Bamboo 5.5. View this page for the

Unknown macro: {spacejump}

of Bamboo, or visit the latest Bamboo documentation.

システムを強化する最も優れた方法は、関連するシステムをそれぞれ個別に検討することです。適用が必要なセキュリティ ポリシーを確認するには、会社のセキュリティ担当者や部署に問い合わせてください。基本となるオペレーティング システム、アプリケーション サーバー、データベース サーバー、ネットワーク、ファイアウォール、ルーターの設定など、検討が必要な項目は数多くあります。その項目の概要を、すべてここで説明するのは難しいことです。

このページでは、優れたセキュリティ プラクティスに関するガイドラインを、当社が把握する範囲ですべてご紹介します。

 このページの内容

Configuring the web server

以下のシステム管理者向けのマニュアルを参照してください。

Configuring the application server

アプリケーション サーバーのレベルに関する一般的なヒントは、次のシステム管理者ガイドを参照してください。

Configuring the application

The way you set up Bamboo roles, permissions and processes makes a big difference in the security of your Bamboo site.

Below are some more Bamboo-specific items to consider. None of these provides 100% security. They are measures to reduce impact and to slow down an intruder in case your system does become compromised.

  • Restrict the number of users with powerful roles or group memberships. If only one department should have access to particularly sensitive data, then do restrict access to the data to those users. Do not let convenience over-rule security. Do not give all staff access to sensitive data when there is no need.
  • 従業員が退社する場合の手順を文書化して整備します。
  • Perform security audits regularly. Know who can help in case a security breach occurs. Perform 'what if' planning exercises. ('What is the worst thing that could happen if a privileged user's password were stolen while he's on vacation? What can we do to minimise damage?').
  • Make sure the Bamboo database user (and all datasource database users) only has the amount of database privileges it really needs.
  • バイナリを監視します。攻撃者がシステムの 1 つアカウントに不正アクセスする場合、通常、他のアカウントにもアクセスしようとするものです。これを目的に、攻撃者がシステムのファイルを変更するなど、悪意のあるコードを追加する場合があります。ルーチン スクリプトを実行して、悪意のある変更が行われていないことを定期的に確認します。

 Configuring system admin access

Below are some things to consider specifically related to the system admin role:

  • Keep the number of Bamboo administrators extremely low. For example, 3 system administrator accounts should be the maximum.
  • The administrators should have separate Bamboo accounts for their administrative roles and for their day to day roles. If John Doe is an administrator, he should have a regular user account without administrator access to do his day to day work (such as configuring build plans). This could be a 'john.doe' account. In addition, he should have an entirely separate account (that cannot be guessed by an outsider and that does not even use his proper name) for administrative work. This account could be 'jane smith' – using a username that is so obscure or fake that no outsider could guess it. This way, even if an attacker singles out the actual person John Doe and gets hold of his password, the stolen account would most likely be John's regular user account, and the attacker cannot perform administrative actions with that account.
  • Lock down administrative actions as much as you can. If there is no need for your administrators to perform administrative actions from outside the office, then lock down access to those actions to known IP adresses, for example. See Using Apache to limit access to the Confluence administration interface for guidance.

Further precautions

別の予防措置:

  • 上記の注意を要する項目を定期的に監視します。最初は順調に進んでいても、時間の経過とともに悪化する事柄は数多くあります。
    • A system may start out with just 3 administrators, but over the course of a year this could grow to 30 administrators if no one prevents expansion.
    • 年度の初めに Apache の管理制限事項を整備していたとしても、数か月後にアプリケーション サーバーが移行したとき、新しいシステムに規則を適用することを忘れてしまう可能性があります。

この場合も、上記の手順は、セキュリティ要件に応じて適用可能な事柄のごく一部にすぎないことを心に留めておいてください。また、上記の規則のいずれも何かを保証するものではないことを忘れないでください。こうした規則は侵入者の素早い動きを抑制するだけです。

  • ラベルなし

 

 

Except where otherwise noted, content in this space is licensed under a Creative Commons Attribution 2.5 Australia License.