Data Center security checklist and shared responsibilities

背景

Continuing our commitment to providing our customers with the most secure products, we're pleased to introduce a security checklist that details the shared responsibilities of Atlassian and Data Center admins. This guideline provides a strong framework to help you build and sustain a secure environment.

共同責任モデル

While Atlassian is committed to delivering secure products out of the box, we also rely on a shared responsibility model. This model requires customers to implement practices that continue beyond deployment and extend into operational phases. Some of these responsibilities include:

• Operating Atlassian software on private networks.

• リリースされたセキュリティ修正のタイムリーな実装。

• Configuring Web Application Firewalls (WAF), VPNs, multi-factor authentication, and single sign-on capabilities.

• 暗号化とアクセス制御の実装。

• 定期的なバックアップの実行。

• 定期的なセキュリティ監査の実施。

This guide defines the roles and responsibilities for both Atlassian and Data Center admins that are required for the most secure product environment.

Atlassian doesn’t take responsibility for self-managed hardware infrastructure.

Data Center security

This guide outlines the security measures that must be taken to ensure secure deployments for Data Center products. We’ve divided the responsibilities into the following sections:

• 準備と計画

• インストール

• 運用時のセキュリティ ベスト プラクティス

• 高度なセキュリティ対策

• メンテナンス、バックアップ、アップグレード

• インスタンスが侵害を受けたあとの復旧のベスト プラクティス

PDF バージョンをダウンロード

準備と計画

製品リリースとアップデート

---

アトラシアンが行うこと

• Provide secure product releases and application-level security fixes.

• 長期サポート リリースを確認

お客様の役割

• Upgrade software promptly to secure against known vulnerabilities.

• 最新のインストール ファイルをダウンロードするには Data Center 製品のソフトウェア ダウンロード ポータルにアクセス

セキュリティ機能と構成

---

アトラシアンが行うこと

• Develop products with built-in security features and offers configuration guidance.
• Offer configuration guidance.
• Data Center 製品のコンプライアンスとセキュリティ | アトラシアン を参照

お客様の役割

• 製品を安全に設定

• アクセス制御の管理

• Implement encryption to comply with policies.

オペレーション システムとソフトウェアのセキュリティ

---

アトラシアンが行うこと

• Prioritize compatibility with modern, securely supported operating systems, ensuring its software solutions align with vendor-provided security updates.

• サポート対象プラットフォームを確認する

Confluence | Jira | Bitbucket | Bamboo | Crowd

お客様の役割

• 最新のセキュリティ アップデートを実装

• ご利用のオペレーション システムのセキュリティを強化

• 最新かつ安全なソフトウェア依存関係を管理

導入と初期設定

インフラストラクチャ セキュリティ

---

物理サーバーおよび仮想サーバーのセキュリティ、ネットワーク セキュリティ (ファイアウォール、VPN)、およびストレージ セキュリティ (暗号化、制限つきアクセス) の確保。Confluence のドキュメントをご確認ください。

インストール

安全なソフトウェアの導入、セットアップ、およびメンテナンスは共同での取り組みです。要件に合った適切なインフラストラクチャを選定し、推奨事項に従って安全な初回セットアップを行ってください。

---

アトラシアンが行うこと

• Provide secure configuration defaults to minimize vulnerability risks.

• Provide detailed guides for secure setup processes.

• 導入ガイド - Jira | Confluence

• インフラストラクチャ オプション

• Offer a suite of tools for data encryption, user authentication, and access control.
  Configuration Options

お客様の役割

• Tailor security configurations to specific deployment environments (cloud, on-premises, hybrid).

  • Kubernetes

  • インフラストラクチャの推奨事項

  • 機器の要件

  
  

• 安全な初回セットアップ

  • Use a secure installation environment that is isolated from public networks.

• Apply the Principle of Least Privilege

  • セットアップ中にシステム アクセス権を設定し、各ユーザーとサービス アカウントに必要な権限を厳密に制限

  
  

• 設定アクセス用に Websudo と IP 許可リストを有効化

  • すべての管理アクセス用に "websudo" を有効化し、インストールや構成設定にアクセス可能な IP アドレスを IP 許可リストを通じて制御することで、アクションが認証され安全であることを確認

  
  

• 安全かつ複雑なパスワードを利用

  • 管理アカウントを含め、セットアップ時に作成したすべてのアカウントに強力かつ一意のパスワードを設定

  
  

• ネットワーク セキュリティ対策の導入

  • 可能であれば、セキュリティを強化するために、プライベート ネットワークまたは VPN 内で動作するようにインストール環境を設定

  
  

• 機密の設定データを暗号化

  • 不正アクセスから保護するために、パスワードや設定ファイルなどの機密情報に暗号化を使用
    Jira | Bamboo

  
  

• Set up authentication mechanisms

  • 多要素認証 (MFA) の準備をして、アトラシアンから提供されたら導入

  
  

• Firewall configuration

  • 受信接続を DC 製品の運用と管理に必要な接続のみに制限するようにファイアウォールを設定
    Jira | Confluence | Bamboo

  
  

• 最新のセキュリティ修正のインストール

  • オペレーション システムや依存関係を含む、インストールに含まれるすべてのソフトウェアが、最新のセキュリティ アップデートが適用された最新状態であることを確認

  
  

• Document your configuration

  • 今後の参照や監査のために、インストールと構成設定の詳細な記録を保管
    Jira

  
  

• Review default settings

  • デフォルトの構成設定を注意深く確認して調整し、セキュリティ要件を満たしていることを確認

運用時のセキュリティ ベスト プラクティス

---

Atlassian provides guidelines and tools to help you lay a solid security foundation for your operations. Your role as our customer is essential in ensuring the safety and protection of your data and business. To help you navigate the security measures in your environment, we’ve outlined a set of best practices and guidelines we recommend.

ユーザー アカウントとディレクトリのアクセス制御

---

• Run products under a dedicated, non-root user account. Secure directories against unauthorized access.

次を実行することを強くお勧めします。

• 専用の非 root のユーザー アカウントで製品を実行。

• 任意のディレクトリにアクセスできるユーザー アカウントを制御。 

この方法については、DC 製品での例をご確認ください
Jira | Confluence | Bitbucket | Crowd

• Monitor your binaries. If an attacker compromises an account on your system, they will usually try to gain access to more accounts. This is usually done by adding malicious code or by modifying files on the system. Consider how you might regularly verify that no malicious changes have been made.

セッションと認証のセキュリティ

---

DC 製品をアイデンティティ プロバイダーと連携してシングル サインオンや他要素認証を行います。次の例をご確認ください。
Confluence

• 統合には個人用アクセス トークンを使用します。

これによって、API リクエストの認証で基本認証 (ユーザー名とパスワードのみを利用) よりも安全な方法がユーザーに提供されます。
個人用アクセス トークンの管理方法を確認

• Disable basic authentication. If you've configured single sign-on, you can disable basic authentication for login and REST requests. Basic authentication is less secure than single sign-on and personal access tokens. 
  Learn how to disable basic authentication
• Disable user accounts when people leave your organization. If required, you can also delete user accounts which will replace their name with an anonymized ID.  
  Delete and disable users
• Restrict the number of users with powerful roles or group memberships. If only one department should have access to particularly sensitive information, then restrict access to the data to only those users. Don't let convenience overrule security. Don't give all staff access to sensitive data when there is no need.

管理者アクセス権

---

• Minimize the number of admins and avoid shared accounts. Avoid shared admin or user accounts and easily guessed usernames like 'admin'.
• Keep the number of people in the admin group limited. Remember that the people in the admin group have unrestricted access to the instance, including the ability to view restricted pages.
• Avoid creating new groups with the system admin global permission, as it may be difficult to keep track of which users have full access rights.

Bitbucket での方法を確認

• Use secure admin sessions to require admins to re-enter their password while accessing the admin functions.
• Set a short timeout for the admin sessions. 
  Check examples:
  Jira | Confluence 
• Use Apache to lock down the administration interface to specific IP addresses. This can be used as a template for your reverse proxy of choice.
  Using Apache to limit access to the Confluence administration interface

アクティビティのモニタリング

---

• Fail2Banでブルート フォース攻撃のリスクを軽減 

例をご確認ください。
Jira | Confluence

• Enable captcha on login to prevent brute force of passwords

• Use rate limiting to block REST API requests from anonymous users if you don't have a reason to allow them, or limit the number of requests to reduce the risk of DoS attacks.

  例をご確認ください。
  Jira | Confluence

• Review your audit log settings to make sure you're logging important admin and end-user actions. Make sure your logs are not accessible to the external network.

  例をご確認ください。
  Jira | Confluence

• Use access logs to identify unusual activity. Logs are written to the install directory, and you may want to monitor these logs using your preferred monitoring tool. Note that logs will be rotated after a certain amount of time. If there’s a need to review logs in the longer term, ensure they are saved and backed up to an alternate disk to preserve historical data and aid in future analyses or investigations.

  例をご確認ください。
  Jira | Confluence | Crowd

高度なセキュリティ対策

---

• Integrate Web Application Firewall (WAF). These solutions provide dynamic, real-time rule updates to protect against vulnerabilities and attacks, while also ensuring that configurations are optimized to minimize latency and false positives. WAF safeguards the products from common threats such as injection attacks, predictable resource location attacks, HTTP DDoS, HTTP request smuggling, file path traversal, server-side request forgery (SSRF), and clickjacking.

メンテナンス、バックアップ、アップグレード

---

バックアップとリストア

---

• Utilize Atlassian tools or native database backups, where available, for regular and testable backup strategies.

• Use your database’s native backup tools to regularly back up production instances. If you use the backup/restore API, move all backup files to a dedicated secure storage for security and redundancy purposes.

  Native database backup tools offer a much more secure, consistent, and reliable means of storing and restoring data while Data Center products are active. XML database backups of Data Center products may contain inconsistencies if the database is updated during backup.

例をご確認ください。

DC 製品 | Jira | Confluence

アドバイザリー アラートを購読する

---

• Make sure your contact details and email subscription preferences are up-to-date so you can receive security advisory alerts, monthly bulletins, and other important technical updates. To update your email subscription preferences visit Atlassian email and privacy preferences. 

定期的なセキュリティ監査

---

• Know you company's security incident management process. These can help you identify potential threats and provide an opportunity to review your security policies and procedures. 
• Run regular security audits. Regular security audits can help you identify potential threats and also provide an opportunity to review your security policies and procedures. 
• Perform 'what if' planning exercises. Consider questions like 'What is the worst thing that could happen if a privileged user's password were stolen while on vacation?  
• Document your security measures, and regularly monitor that all measures are still in place. For example, after upgrading or migrating, someone may forget to apply the rule to the new system or version.
• メジャー アップグレードの準備では、セキュリティの確認を実施します。今こそ、現在の設定を現在の推奨事項と照らし合わせて確認する良いタイミングです。 

最新の LTS へのアップグレード

---

• For continued security, keep your software up to date. This is crucial for protecting against known vulnerabilities. To get the latest installation files visit:

• Jira Software Data Center

• Jira Service Management

• Confluence Data Center

• Bitbucket Data Center

• Bamboo Data Center

• Crowd Data Center

インスタンスが侵害を受けたあとの復旧のベスト プラクティス

---

Customers are responsible for monitoring their systems for security incidents and have procedures in place to respond to and mitigate any threats.

ステップ 1: 侵害を受けたあと即座に実行するアクション

1. Isolate the system. Disconnect the compromised instance from the network or internet.

2. Preserve evidence. Secure logs and data that could help in analyzing the incident.

3. Change passwords. Immediately change all administrative passwords.

4. Review user accounts. Check for unauthorized changes or new accounts.

5. Report the Incident. Contact Atlassian via SECREP and GSAC service desks with detailed information about the compromise and steps taken.

ステップ 2: 復旧と共有

1. Immediate Isolation. Immediately isolate the compromised systems to prevent further spread of the threat.

2. Initial Assessment. Quickly assess the scope of the incident to understand which services and data are affected.

3. アトラシアン サービスへのアクセスを確認

   • 攻撃者がアクセスした Confluence ページを確認します。

   • アクセス ログを確認して、アクセスされた Bitbucket リポジトリを把握します。

   • 攻撃者が Jira チケットにアクセスしたかどうかを特定します。

4. Installing apps: Customers must be aware of the risk of installing apps.

5. Access Control: Customers must manage user accounts and access permissions, ensuring that only authorized personnel can access sensitive data and systems.

   • 顧客データが侵害を受けたかどうかを判断します。

   • Bitbucket Server が侵害された場合は、リポジトリにコミットされた認証情報がないか確認し、見つかった場合はそれらの認証情報をローテーションします。

6. Plan for Recovery. Start restoring data from backups and consider rebuilding compromised systems.

7. Implement Security Measures. Based on initial findings, strengthen your security posture to prevent similar incidents. This could involve enhancing firewall rules, updating passwords, and implementing multi-factor authentication.

8. Communicate.

   • 社内コミュニケーション: インシデントの状況、復旧計画、各々で必要な対応について、社内のステークホルダーに継続的に伝えます。

   • 社外コミュニケーション: 顧客データが侵害された場合、影響を受けた顧客に、データ損失、データを保護するために行われた措置、顧客側で行うべきアクションについて伝えます。

9. Follow Atlassian's Guidance. Once Atlassian provides insights and recommendations, incorporate them into your recovery and security enhancement efforts.

10. Root Cause Analysis. Collaborate with Atlassian to perform a thorough root cause analysis. Understand how the compromise occurred and implement measures to prevent recurrence.

11. Review and update the Incident Response Plan. Reflect on the incident response process and update your plan as necessary to improve future responses.

ステップ 3: 復旧後の分析と改善

1. Review the Incident. Analyze the cause and response effectiveness and identify improvement areas.

2. Update Policies. Revise your security policies and incident response plans based on the incident review.

3. Schedule periodic security checks to uncover and fix vulnerabilities.

4. Stay Engaged with Atlassian. Utilize Atlassian resources for ongoing security best practices.

5. Educate Your Team. Ensure everyone understands the incident, its root cause, and the steps taken to prevent future compromises.