ObjectOS運用
本番運用の準備
ObjectOS を本番環境で安全に運用するためのチェックリスト。
本番運用の準備
ObjectOS を本番トラフィックに公開する前に、このチェックリストを使用してください。
HTTP のハードニング
ObjectStack ランタイムは、ディスパッチャールートに対して保守的なセキュリティヘッダーを提供します。本番デプロイでは、以下を確認してください。
Content-Security-PolicyX-Content-Type-OptionsX-Frame-OptionsReferrer-PolicyPermissions-PolicyCross-Origin-Resource-Policy- TLS が確認できたら HSTS
リバースプロキシがヘッダーを管理している場合は、次のコマンドで最終的なレスポンスを確認してください。
curl -I https://app.example.comシークレット
以下はシークレットマネージャーに保管してください。
| シークレット | 用途 |
|---|---|
OS_AUTH_SECRET | セッション署名のベースシークレット |
OS_CLOUD_API_KEY | コントロールプレーンの Artifact API アクセス |
| データベース認証情報 | 業務データベースへのアクセス |
| OIDC クライアントシークレット | エンタープライズ SSO |
| プロバイダーの API キー | メール、ストレージ、AI、連携 |
シークレットをアーティファクトやイメージに埋め込まないでください。
レート制限
フレームワークはトークンバケット方式のレートリミッターを提供します。呼び出し元の IP と認証済みアイデンティティが信頼できる、アダプター、イングレス、またはゲートウェイの層でレート制限を組み込んでください。
推奨バケット:
| トラフィック | 制限の例 |
|---|---|
| 認証エンドポイント | 10/分/IP |
| 書き込みリクエスト | 60/分/IP |
| 読み取りリクエスト | 600/分/IP |
複数ポッドのデプロイでは、Redis などの共有バックエンドを使用してください。
CORS
許可するオリジンを明示的に設定してください。
https://app.example.com
https://admin.example.com認証情報付きリクエストでワイルドカードのオリジンを使用しないでください。
本番公開チェックリスト
- TLS がエッジまたはイングレスで終端されている。
- セキュリティヘッダーが存在する。
- TLS の検証後に HSTS が有効になっている。
- CORS のオリジンが明示的に指定されている。
- レート制限が認証エンドポイントと書き込みエンドポイントを保護している。
-
OS_AUTH_SECRETが強力で、シークレットとして保管されている。 - OIDC のコールバック URL が公開ドメインと一致している。
- 業務データベースのバックアップとリストアがテスト済みである。
- 監査ログが顧客のポリシーに従って保持されている。
- 組織をまたいだネガティブアクセステストに合格している。
- ロールバック計画が ObjectOS イメージとアーティファクトバージョンの両方をカバーしている。