データベースのパスワードを保護する
セキュリティを強化するために、Confluence がデータベースにアクセスする際に使用する、設定ファイルに保存されているデータベース パスワードを保護できます。 基本的なものから高度なものまで 、さまざまな暗号化方法があります。さらに、SecretStore インターフェイスに基づいて独自の暗号化メカニズムを作成することもできます。
以下に概説するソリューションは、データベース値を暗号化するためのある程度の保護を可能にしますが、完全なセキュリティは提供しません。設定ファイルには、値を復号化するために必要なデータが含まれたままになります。つまり、これらのファイルにアクセスできる攻撃者は、プロパティ値を復号化できる可能性があります。
これらのアプローチは、機密データの偶発的な漏洩に対する保護を強化することを目的としていますが、包括的なセキュリティ ソリューションとして使用することは推奨されていません。
Confluence とデータベースが存在するサーバーを保護することをおすすめします。
AES 暗号化
Confluence Data Center のバージョン 9.1 以降では、設定の管理に既定で保護されたシークレットを使用することをお勧めします。
Confluence 9.1 以降、データベースのパスワードは 256-bit AES キーを使用して既定で暗号化されています。
Confluence の以前のバージョンでは、データベースのパスワードは手動で暗号化が可能でした。
暗号化されたパスワードを構成ファイル内に保存する必要がないため、不正な第三者による検索や復号化を防いで、セキュリティを強化します。
AWS Secrets Manager
AWS Secrets Manager は、データベースの認証情報を高レベルで安全に保管するオプションを提供します。このサービスは、ランタイム コールを通じて認証情報を取得し、キーやトークンなどのハードコードされた認証情報を完全に削除します。
AWS Secrets Manager での暗号化の詳細をご覧ください。
HashiCorp Vault
HashiCorp Vault は、パスワード、トークン、キーなどの機密データの保護、保存、アクセス制御のためのツールです。デジタル空間上の金庫のように機能し、権限のないユーザーから秘密を守りながら、適切な権限を持つサービスでいつでも利用できます。
暗号化に HashiCorp Vault を使用する方法についてはこちらをご覧ください。
カスタム実装
暗号化に追加の要件がある場合、アトラシアンの実装や例に基づいて独自の SecretStore の実装を作成できます。データベース パスワードの暗号化に特別な要件がある場合は、例に基づいて独自の暗号化メカニズムを作成できます。