ソフトウェアテストを自動化する場合、クレデンシャルやAPIキー、お客様のデータにアクセスできるアプリケーションの操作など、機密性の高い情報を扱うことになります。mablのデータ暗号化に対するアプローチにより、テストデータのセキュリティを確保することができます。データの保護を強化するには、シークレット、キー、およびその他のワークスペースのデータの誤用や悪用を回避するためのセキュリティ対策を追加で実施することをお勧めします。
この記事では、ワークスペースのセキュリティを確保するのに役立つ、以下のガイドラインを紹介します。
- ワークスペースの役割とチームの役割を一致させる
- クレデンシャルと環境変数を使用して機密性の高い値を格納する
- テスト用のアカウントとテストデータを使用する
- SSOとドメインロックをセットアップする
- スコープを最小化したAPIキーを使用する
- mabl Linkを使ってネットワークへのアクセスを制限する
チームごとに異なる要件
セキュリティ要件はチームごとに異なります。
- 比較的小規模なチームに属している場合は、それぞれのチームのワークフローに合ったセキュリティ対策のみを実施することができます。
- 比較的規模の大きなワークスペースや規制の厳しい業界に属している場合は、この記事のすべての推奨事項を実装する必要があるかもしれません。
ワークスペースの役割とチームの役割を一致させる
新規ユーザーをワークスペースに招待する場合は、ユーザーの仕事上の役割に合わせたワークスペースの役割を割り当てます。以下に例を挙げます。
- 時々ログインしてテスト結果を確認するだけのPMを招待する場合は、閲覧者の役割を付与します。
- ワークスペースの設定を変更したり、他のチームメンバーを招待したりする必要のあるシステム管理者を招待する場合は、所有者の役割を付与します。
- テストを作成する手動テスト担当者やQAエンジニアを招待する場合は、編集者の役割を付与します。
詳細については、役割と権限に関する記事を参照してください。
リソースグループを使ってより詳細なユーザー権限を適用する
ワークスペース内の特定のリソースへのアクセスの制限を強化するには、リソースグループを作成して、これらのリソースグループへのより詳細なアクセス権限を適用します。
機密性の高い値にmablクレデンシャルと環境変数を使用する
mablワークスペース内の伝送データと保存データはすべて暗号化されます。テスト内の機密性の高い値は、mablクレデンシャルや環境変数として格納することをお勧めします。これらは暗号化を強化する特別な変数タイプです。
また、mablクレデンシャルや環境変数を使用すると、テストにハードコーディングされた値を更新する場合よりも、値の更新やローテーションを容易に行うことができます。
クラウドのみのクレデンシャル
お客様の機密データにアクセスするテスト用のアカウントを使用する場合、mablクレデンシャルをCloudクレデンシャルとして保存し、パスワードを読み取ることができないようにすることをお勧めします。
テスト用のアカウントとデータを使用する
現在、mablはHIPAAやPCIの認証を取得していません。mablでは、本番環境でテストする場合でも、すべてのお客様がテスト用のアカウントとデータを使用することをお勧めしています。このガイドラインは、お使いのアプリケーションで患者やクレジットカードの機密データを収集する場合は特に重要です。
SSOとドメインロックをセットアップする
チーム内のユーザーにSSO経由で会社のIDプロバイダーを通じてログインすることを求める場合、ユーザーの検証方法を細かく制御できます。SSOログインでは、ドメインロックをセットアップしてユーザーにSSOの使用を求めることもできます。こうすることで、ユーザーがmablのパスワードをなくすおそれがなくなります。
SSOの詳細については、こちらを参照してください。
スコープを最小化したAPIキーを使用する
mabl APIキーを使用してタスクをプログラムで実行する場合は、タスクを実行するのに必要な最小権限に制限されたAPIキーのタイプを選択します。
たとえば、mablでデプロイイベントをトリガーするだけでよい場合は、デプロイイベントを作成し、結果を取得する権限のみを持つ「Deployment」のキータイプを使用します。これに対して、「mabl CLI」のキータイプには、mabl CLIのすべての機能を実行する権限があり、幅広いタスクを実行するスクリプトに適しています。
mabl Linkを使ってネットワークへのアクセスを制限する
mabl Linkは、パブリックインターネットからアクセスできないアプリケーションをテストする最もセキュアな方法です。Linkを有効にしたテスト実行で、ネットワーク内にあるコンテナーまたはVMで実行されるLink Agentは、mablクラウドとのセキュアトンネルを確立します。テスト実行時のDNS解決は、Link Agentを実行しているホスト上で行われます。
mablによる組織のネットワーク内のアクセス先をさらに制限するには、DMZ内でLink Agentを実行するか、目的のテスト対象アプリケーションにのみアクセスを許可する厳しいファイアウォールルールを設定した専用のホスト、VM、またはコンテナーでLink Agentを実行します。