セキュリティ配備計画とアクセス・コントロール・ポリシー
企業イントラネットの特別な要件には、次のようなセキュリティ対策がある:
- ネットワーク分離::
- Dockerでのデプロイ時にカスタムブリッジネットワークを設定する
- PostgreSQLのSSL接続を有効にする(DATABASE_URLに追加する必要がある)
?sslmode=verify-full) - ポート3000をイントラネット上の特定のIPセグメントに制限する
- 認証強化::
- 登録を無効にする(管理画面で設定)
ALLOW_REGISTRATION=false) - LDAP/AD統合の設定(Auth.jsの設定変更が必要)
- 二次認証を有効にする(TOTP方式を推奨)
- 登録を無効にする(管理画面で設定)
- データ機密保護::
- 透過的データベース暗号化(TDE)を有効にする
- 機密性の高いセッションコンテンツの自動感応解除(カスタムのDrizzle ORMフックが必要です)
- 毎日のオフサイト・バックアップを設定する。
pg_dump(スクリプト)
- 監査証跡::
- 完全なSQLロギングを有効にする
log_statement=all) - ユーザーの行動ログを少なくとも180日間保持する。
- 定期的なセキュリティスキャンを実施する(DockerイメージはTrivyを使ってスキャンできる)。
- 完全なSQLロギングを有効にする
この答えは記事から得たものである。HiveChat:企業内で迅速に展開できるAIチャットボットについて
無断転載を禁じます:AI生産性ツール " 企業のイントラネット環境にHiveChatを安全に導入するには?
