企業全体の Wiki を保護する最適な方法は何ですか?

当社では全社的に Wiki を使用しています。その方法は次のとおりです。

1. ユーザー名の保存には LDAP を使用し、認証には Kerberos を使用します。MediaWiki には LDAP を使用するための拡張機能があります。

2. 弊社のファイアウォールで、カナダと米国のオフィスが Wiki にアクセスできるように IP アドレスをロックダウンしました。Wiki は外部 IP アドレスにありますが、ファイアウォールはオフィス内と VPN で接続したユーザーからのアクセスのみを許可します。

3. LocalSettings.php (wiki conf ファイル) では、ログインしていないとページを読み取れないようになっています。ただし、実際にログインしなくても一部のページにアクセスできるようにしています。

4. また、ページを制限するために「accesscontrol」拡張機能も使用します。システム管理者チームのみが閲覧できるページがいくつかあるため、NOC の誰かがそのページを閲覧しようとすると、「アクセス拒否」ページが表示されます。これはすべて AccessControl 拡張機能で処理されます。

始める前に、オフィスでユーザーがどのように管理されているかを知っておく必要があります。LDAP にはすべてが格納されています。システム管理者、開発者、NOC などのグループがあり、ユーザーはそれらのグループに割り当てられます。そのため、ユーザーが属するグループに基づいてアクセスを許可または取り消すのが簡単になります。

-F

1 つの明白な点、少なくとも私にはそう思えますが、非常に厳重にロックダウンされたものが欲しいのなら、本当に Wiki が欲しいのか、ということです。Wiki の精神の大部分は、可能な限りオープンであることではありませんか? 元の目的から十分に離れてしまったら、遅かれ早かれ、最初からより適合性の高い別のツールを試す方が、完全に形が崩れたツールを無理に使うよりも良い考えになるのではないでしょうか?

MediaWiki のようなものを使用する場合は、投稿に適切なものと不適切なものを明確にする必要があります。これで、得られるセキュリティのすべてです。

ビジネス要件により複雑な ACL が必要な場合は、それ用に設計されたソリューションを検討する必要があります。SharePoint、Traction、Alfresco、SocialText はすべて、それを実現できる製品です。

それはすべて組織次第です...ランダムな理由で使用することにした製品に基づいてポリシーを作成しないでください。

問題が正当な懸念事項であると認識している場合は、電子メール、Facebookなどのあらゆる媒体を通じて、その発生源に焦点を当てる必要があります。問題領域はデータ損失防止/保護（DLP）として分類されており、いくつかのセキュリティベンダーがソリューションを提供しています。その中には、オープンソースプロジェクトと呼ばれるものもあります。オープンDLP。