Recomendaciones básicas

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Automation Server > Automation Server - configuración y administración > Configuración del proyecto inicial > Prácticas recomendadas en el ambiente de producción > Recomendaciones de seguridad en la configuración >

Recomendaciones básicas

Introducción

Esta sección presenta unas recomendaciones de seguridad para el Portal de trabajo de Bizagi, en cuanto a los aspectos relevantes de la configuración misma de Bizagi (hardening a nivel de aplicación).

Recuerde que usted debe velar por un acceso y configuración segura en sus instalaciones y en cuanto a los equipos, dispositivos y componentes de la solución que no son propios de Bizagi (la arquitectura del sistema), como por ejemplo: la red y almacenamiento, los firewalls, balanceadores de carga u otros dispositivos, otros servidores como controladores de dominio o de base de datos, etc.

 

Para mayor información sobre el alcance de estas recomendaciones, consulte Recomendaciones de seguridad en la configuración.

 

note_pin

Las recomendaciones presentadas a continuación aplican cuando Bizagi se ejecuta sobre una plataforma de .NET, de manera independiente a la versión del servidor Web IIS sobre el cuál se ejecute.

En esta sección se ilustra a manera de ejemplo la configuración específicamente sobre un servidor Web IIS versión 7.5, donde dichas configuraciones se realizan de acuerdo a las capacidades propias del IIS.

 

Antes de comenzar

Asegúrese de tener en cuenta las siguientes consideraciones antes de continuar.

 

Consideraciones para la plataforma

Tenga presente que siempre aplican las recomendaciones de Microsoft como fabricante de la plataforma base de Bizagi en una configuración de .NET.

Considere los boletines y notificaciones de actualización de fixes y parches que emite Microsoft en relación a un sistema operativo Windows o al IIS pero teniendo en cuenta las correspondientes pruebas y la verificación de no afectar al proyecto de Bizagi.

 

Consideraciones para la base de datos

Para una mayor seguridad en relación al acceso a datos, Bizagi presenta la posibilidad de configurar la cuenta de servicio de base de datos que utiliza el Portal de trabajo (y el servicio programador) con los mínimos privilegios requeridos.

Para mayor información sobre la configuración de estas cuentas, por ejemplo cuando se utiliza SQL Server, consulte la Prerrequisitos de SQL Server.

 

Consideraciones para la autenticación de Bizagi

Antes de proceder con las recomendaciones en la configuración del Portal de trabajo como aplicación web, deberá asegurarse que usted utilice en su esquema de autenticación en Bizagi, unas políticas de seguridad en cuanto a contraseñas (donde se considere longitud y formación de las contraseñas, su duración, elementos de cumplimiento y protección de las mismas).

Cuando se utiliza autenticación tipo Bizagi, configure los parámetros relacionados a estas políticas como se describe en la Autenticación de Bizagi.

 

Se recomienda como mínimo utilizar:

Habilitar bloqueo de cuentas: On

Forzar cambio de contraseña: On

Validar historial de contraseña: On

Registrar eventos de autenticación: On

Numero máximo de intentos de ingreso: 3

Tiempo de expiración de la contraseña: 30 días o según criterio.

Tiempo de expiración de la contraseña: 8 caracteres o según criterio.

La contraseña necesita contener letras: On

La contraseña necesita contener letras minúsculas: On

La contraseña necesita contener letras mayúsculas: On

La contraseña necesita contener números: On

La contraseña necesita contener caracteres especiales: On

Tiempo de sesión: 5 minutos.

Validar secuencia de contraseña: On

Tiempo de bloqueo de contraseñas: Según criterio.d

Duración de cuenta bloqueada: Según criterio.

Duración para el reinicio del contador de intentos fallidos: Según criterio.

 

Consideraciones para el usuario de sistema de Bizagi

Recuerde que el usuario domain\admon es el usuario del sistema que emplea internamente Bizagi (creado por defecto).

No se debe cambiar el username ni la contraseña de este usuario.

No se podrá deshabilitar este usuario dado que es necesario para ejecutar tareas automáticas como temporizadores o tareas programadas, y se recomienda siempre asegurarse que este usuario esté habilitado en el proyecto.

Habiendo dicho lo anterior, nótese que se recomienda enfáticamente editar la configuración del usuario para que no tenga acceso de administrador en el Portal de trabajo (deberá estar en capacidad de iniciar cierto tipo de procesos y ejecutar tareas, pero no ser un administrador con permisos completos).

Para ello por ejemplo, podrá excluir al usuario de la lista de usuarios permitidos en las opciones de administración (p.e, que este usuario no tenga permisos para administrar usuarios, modificar entidades de parametrización, abortar casos, etc).

 

Recomendaciones básicas

Esta sección presenta los aspectos que mitigan la mayoría de las vulnerabilidades.

Esta configuración aplica también al ambiente de pruebas o de pre-producción (cuando se opta por utilizarlo).

 

note_pin

Para los pasos descritos a continuación, debe asegurarse de tener habilitado el componente del IIS llamado World Wide Services -> Security -> Basic Authentication, y también IP and Domain restrictions al realizar la instalación del IIS.

 

1. Uso del protocolo HTTPS

Se recomienda enfáticamente configurar el Portal de trabajo bajo el protocolo HTTPS sobre TLS, dado que este protocolo cifra la comunicación.

 

Para hacerlo, asegúrese de contar con un certificado válido para su servidor, y que se registre su dominio.

Una vez que cuente con el certificado de su servidor, regístrelo para el uso del Portal de Bizagi utilizando la opción de certificados del servidor (Server certificates) que presenta el IIS:

 

SecurityS_SOAP06

 

Al registrarlo, asegúrese de especificar los bindings en el sitio web.

 

SecurityS_SOAP07

 

Nótese que para estos bindings, deberá especificar el uso explícito de HTTPS, con su puerto asignado, y seleccionar el certificado.

Dé clic en Ok para guardar la configuración.

 

note_pin

Al utilizar HTTPS, considere editar el archivo web.config para especificar <add key="PROTOCOL" value="HTTPS"/>.

Esto aplica al utilizar enlaces al detalle de casos desde las notificaciones de procesos como se describe en Notificaciones usando enlaces al caso.

 

Protocolos Seguros

El Portal de Trabajo de Bizagi soporta los siguientes protocolos:

SSL 2

SSL 3

TLS 1.2

 

note_pin

Recomendamos usar el protocolo TLS 1.2 y desactivar los otros protocolos.

 

Para activar el protocolo TLS 1.2 en su servidor IIS, usted debe seguir  los siguientes pasos:

1. Hacer una copia de seguridad de sus registros

Abra el Editor de Registros, para eso escriba regedit en la opción de búsqueda de Windows. Desde la pestaña de Archivos, seleccione Exportar, y guarde el archivo reg de todas las ramas.

 

2. Agregue la llave TLS 1.2

En el Editor de Registros, navegue hasta la siguiente locación:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

 

Incluya la llave TLS 1.2 dentro de la carpeta Protocols. Esto se ve como un nuevo directorio dentro de la carpeta Protocols.

 

3. Cree dos llaves dentro de la carpeta TLS

Haga clic derecho en la carpeta TLS 1.2 y cree las llaves Client y Server.

 

4. Cree los valores

Haga clic derecho en el panel derecho y cree dos valores DWORD  dentro de las carpetas Client y Server:

 

DisabledByDefault [Value = 0]
Enabled         [Value = 1]

 

SecurityS_TLS

 

5. Deshabilite las versiones anteriores de TLS y SSL

Dentro de la misma locación:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

 

Ubique los valores DWORD para TLS 1.0, 1.1 Y SSL 3.0 y configure el valor del atributo Enable en 0.

 

Forzar la versión de TLS

Si usted está usando HTTPS con el protocolo TLS, y tiene una versión específica, por ejemplo, la versión 1.1 o 1.2, usted necesita incluir la siguiente llave en el web.config del Portal de Trabajo:

 

<add key="TLSSupport" value="Tls1.2" />

 

Considere revisar si los navegadores de los usuarios finales tienen habilitado este protocolo. Los siguientes servidores tiene el protocolo TLS 1.1 activado por defecto:

 

Navegador

Versión donde TLS 1.1 está activo por defecto

Internet Explorer

11

Microsoft Edge

Todas las versiones

Google Chrome

22

Mozilla

27

Para revisar si TLS está activo en su navegador, siga los siguientes  pasos:

 

Microsoft Internet Explorer

1. Abra Internet Explorer

2. Desde la barrade menú, haga click en Herramientas > Opciones de Internet > Pestaña de Avanzados

3. Navegue hasta la categoría de Seguridad. Manualmente revise la caja para usar TLS 1.1 o TLS 1.2.

 

Google Chrome

1. Las conexiones siempre están negociadas en el grado más alto.

2. Si usted usa una versión de Google Chrome en version 22 o mayor, TLS 1.1 es automáticamente soportado. TLS 1.1 y 1.2 son soportadas automáticamente desde la versión 29.

 

Mozilla Firefox

1. Abra Firefox

2. En la barra de direcciones URL, ingrese about:config y presione enter.

3. En el campo de búsqueda ingrese tls. Busque y haga doble clic en security.tls.version.max

4. Defina el valor entero en 4 y fuerce un protocolo máximo de TLS 1.3.

 

2. Filtrado de las solicitudes no autorizadas

Se recomienda identificar el gateway de salida de los usuarios de su Portal de trabajo de Bizagi.

De esta manera, podrá configurar un rango de direcciones IP válidas para filtrar las solicitudes (HTTP requests) hacia su aplicación.

 

Para hacerlo, incluya de manera explícita las direcciones IP que pueden acceder al Portal de trabajo de Bizagi a nivel de la ubicación del sitio (nótese que podrá especificar un dominio también), utilizando la opción de IP Address and Domain restrictions:

 

SecurityS_IPfiltering

 

note_pin

De manera similar, podrá apoyarse en productos WAF (Web application firewall) para fortalecer las medidas de seguridad en el acceso a Bizagi (por ejemplo para hacer uso de features orientados a detección de intrusos u otros, y para considerar políticas de seguridad corporativas adicionales sobretodo cuando se tiene Bizagi configurado para el acceso desde Internet).

 

Puntualmente al emplear una zona desmilitarizada (DMZ), asegúrese que tanto el firewall interno como el externo no permitan el acceso y puertos de manera indiscriminada.

 

Importante

Para Bizagi, la seguridad es un aspecto de crítica importancia.

Por ello, Bizagi libera periódicamente nuevas versiones las cuáles cuentan con múltiples mejoras, y fixes para problemas detectados en versiones anteriores.

Los fixes de problemas reportados podrán incluir soluciones definitivas a vulnerabilidades de seguridad.

 

Por lo tanto, se recomienda enfáticamente considerar la actualización periódica de su solución a las nuevas versiones de Bizagi, siguiendo siempre las directrices usuales en este procedimiento como lo son:

Planear, coordinar y probar adecuadamente dichas actualizaciones.

Apoyarse en los diferentes ambientes (desarrollo, pruebas, pre-producción cuando aplique, y producción).

Tomar las medidas de contingencia necesarias antes del procedimiento (p.e backups).

Evaluar las personalizaciones o configuraciones de seguridad como las listadas en esta sección, de forma que se tenga claro para todos los involucrados (stakeholders) que como parte del plan, hay aspectos que se deben re-configurar posterior a la actualización.

 

note_pin

Cuando se cuenta con personalizaciones o algunas de las configuraciones de seguridad de esta sección, una de estas 2 alternativas debe tomarse al momento de actualizar de versión de Bizagi:

 

1. Si se lleva a cabo por medio de Bizagi Management Console, usted deberá re-configurar y verificar que dicha configuración esté aplicada aún después de la actualización.

Nótese que por defecto, la actualización realizada por Bizagi Management Console no considera las modificaciones hechas a los archivos originales o la estructura de archivos (por lo que se sobrescriben cambios).

 

2. Podrá optar por llevar a cabo una actualización de versión manual a su vez (sin utilizar Bizagi Management Console).

De hacerlo así, asegúrese de considerar todos los componentes relevantes de la solución, para que pueda reemplazar los archivos nuevos del Portal de trabajo y del servicio Programador, mientras conserve las personalizaciones o configuraciones anteriores.

 

Para aspectos muy críticos de seguridad, Bizagi podrá considerar la emisión de hot fixes recomendados para aplicarse sin necesidad de esperar a una nueva versión.

 

Para evaluar o considerar aspectos adicionales de hardening de aplicación, consulte las Recomendaciones intermedias.