Recomendaciones de seguridad en la configuración

<< Click to Display Table of Contents >>

Navigation:  Bizagi Engine > Administración del Sistema Bizagi > Configuración del servidor Bizagi > Configuración de Bizagi Engine JEE >

Recomendaciones de seguridad en la configuración

applies_JEE

 

Introducción

Al iniciar Bizagi Engine en un ambiente de Producción, hay algunas configuraciones adicionales que Bizagi recomienda implementar en todo proyecto.

Para un proyecto ejecutándose en la plataforma JEE, dichas configuraciones son llevadas acabo al ajustar configuraciones del servidor.

Éste procedimiento asegura la calidad del servicio debido a la inclusión de políticas WS-Security.

 

Ésta sección ilustra cómo reforzar su entorno de operación con dichas opciones de seguridad:

 

Antes de iniciar

Tenga en mente que para el Portal de Trabajo de Bizagi se recomienda usar un protocolo HTTPS sobre una configuración SSL (en su servidor de aplicaciones JEE).

 

note_pin

Al usar HTTPS, considere editar el archivo bizagi-config.properties para incluir la línea PROTOCOL="HTTPS".

Ésto aplica al usar enlaces de caso en notificaciones de procesos.

 

Las siguientes recomendaciones están dirigidas a proveer una seguridad mejorada para su servidor y sus servicios web, a pesar de ser completamente opcionales.

Al elejir llevar acabo el refuerzo de seguridad contemplando certificados X.509, tenga en cuenta que necesitará:

Certificados oficiales X.509 (entregados por una Entidad Certificadora 'CA' apropiada y oficial) para propósitos de encripción.

Dichos certificados deben ser válidos y estar ya instalados.

El administrador de su plataforma requerirá experiencia adecuada en la materia (certificados, su uso e instalación).

 

 

Recomendaciones de seguridad

La idea detrás de estas recomendaciones es mejorar la seguridad de su servicio completamente, considerando los siguientes aspectos:

 

1.Creación de un Conjunto de Políticas de Aplicación.

2.Creación de un Enlace de Conjunto de Políticas

3.Configuración de certificados

a.Definición de certificados de confianza

b.Configuración de la firma de mensajes entrantes

c.Configuración de la firma de mensajes salientes

d.Configuración de desencripción de mensajes entrantes

e.Configuración de encripción de mensajes entrantes

4.Unir un Conjunto de Políticas y Asignar Enlaces a un Proveedor de Servicio

 

Configuración

Siga estas recomendaciones para implementar seguirdad adicional en su entorno operacional de Bizagi.

En el siguiente ejemplo usaremos un servidor de IBM WebSphere

 

 

1. Creación de un Conjunto de Políticas de Aplicación

Un conjunto de políticas es un contenedor de tipos de políticas relacionadas a seguridad y mensajería confiable para Servicios Web. Para más información visite el Centro de Conocimiento de IBM.

 

Siga los siguientes pasos para crear un Conjunto de Políticas de Aplicación:

 

1. Abra la opción Conjunto de Políticas de Aplicación (Application policy sets) localizada en el panel izquierdo en el menú Servicios (Services) > Conjunto de Políticas (Policy sets).

 

SecuritySetup01

 

2. Seleccione el enlace (Username WSSecurity default) y haga clic en el botón Copiar (Copy) para hacer una copia de un Conjunto de Políticas de Aplicación.

Éste Conjunto de Políticas cifra, por defecto, el cuerpo SOAP, la firma y el token de nombre de usuario.

 

SecuritySetup01_A

 

3. Dé un nuevo nombre y descripción a la copia y presione OK.

Ésto creará una copa de la plantilla por defecto "WS-Security Application Policy Set".

 

SecuritySetup03_A

 

2. Creación de un Enlace de Conjunto de Políticas

Aquí configurará la información específica asociada a las políticas definidas para su Servicio Web.

 

Siga los siguientes pasos para enlazar un Conjunto de Políticas de Aplicación:

 

1. Abra la opción Enlaces de conjunto de políticas del proveedor general (General provider policy set bindings) ubicada en el panel izquierdo en el menú Servicios (Services) > Conjunto de Políticas (Policy sets).

 

SecuritySetup05_A

 

2. Seleccione una plantilla de Proveedor llamada Muestra de Proveedor (Provider sample) y presione el botón Copiar (Copy).

 

SecuritySetup04_A

 

3. Ingrese nombre y descripción, luego presione el botón OK.

 

SecuritySetup06_A

 

 

3. Configuración de Certificados

Para configurar WS-Security en sus Servicios Web Bizagi, necesita modificar la configuración previa copiada de las plantillas para agregar la información de sus certificados.

Para avanzar con esta configuración, por favor asegúrese de leer la siguiente información:

Tenga en mente que en este punto debe tener un certificado X.509 oficial (emitido por una Autoridad Certificadora "CA") para propósitos de encripción.

Dichos certificados deben ser válidos y actualmente instalados.

Para propósitos de ejemplificación, un almacen de claves ha sido generado, llamado serverKeys.jks en el lado del servidor, el cual incluye la llave pública y privada del servidor y la llave pública del cliente.

El almacen de llaves está localizado en la ruta ${USER_INSTALL_ROOT}\config\cells\<yourCellName>\.

 

note_pin

Para ambientes de desarrollo y pruebas, se pueden generar certificados auto firmados.

Éste procedimiento puede ser realizado a través de software de terceros y, por lo tanto, es responsabilidad del cliente cómo generarlo y su uso.

Para propósitos de pruebas, JEE tiene una librería llamada Keytool. La documentación de la herramienta es proveída en caso de que desee generar un certificado auto firmado. Debido al hecho de que es un software de terceros, es responsabilidad del cliente cómo generarlo y su uso.

Para ambientes de Producción, se recomienda fuertemente usar un certificado oficial  (emitido por una Autoridad Certificadora "CA").

 

3.a. Definición de certificados de confianza

1. Desde la consola, seleccione la configuración creada en la opción Enlaces de conjunto de políticas del proveedor general (General provider policy set bindings) ubicada en el panel izquierdo, en el menú Servicios (Services) > Conjunto de Políticas (Policy sets).

 

SecuritySetup08_A

 

2. Seleccione la opción WS-Security > Llaves y certificados (Keys and certificates), y en la sección Ancla de confianza (Trust anchor), cree una nueva Ancla de confianza al seleccionar el botón Nuevo (New).

 

SecuritySetup09_A

 

3. Ingrese la información de su almacén de llaves. Debe estar localizado en: ${USER_INSTALL_ROOT}\config\cells\<yourCellName>\ServerKeys.jks.

 

SecuritySetup10_A

 

3.b. Configuración de la firma de mensajes entrantes

Para garantizar apropiadamente que la llave usada es de confianza, usted debe configurar los mensajes entrantes. En este punto, un certificado oficial X.509 debe ser instalado y configurado apropiadamente. De otra forma, lea cómo definir certificados de confianza.

Por favor, siga los pasos mencionados a continuación para configurar apropiadamente la firma de los mensajes entrantes:

 

1. Desde la consola, seleccione la configuración creada en la opción Enlaces de conjunto de políticas del proveedor general (General provider policy set bindings) ubicada en el panel izquierdo, en el menú Servicios (Services) > Conjunto de Políticas (Policy sets).

 

SecuritySetup05_A

 

2. Seleccione la opción WS-Security > Autenticación y protección (Authentication and protection).

 

SecuritySetup11_A

 

3. En la sección de Tokens de protección (Protection Tokens), seleccione la opción con_signx509token. Luego abra el enlace Manejador de retorno (Callback handler).

 

SecuritySetup12_A

 

4. Elija las siguientes opciones en la lista desplegable:

Almacén de certificados:                        (none)

Almacén de anclas de confianza:                ServerTrustStore

 

SecuritySetup13_A

 

Luego presione OK.

 

3.c. Configuración de la firma de mensajes salientes

Por favor, siga los pasos mencionados a continuación para configurar apropiadamente la firma de los mensajes salientes:

 

1. Desde la consola, seleccione la configuración creada en la opción Enlaces de conjunto de políticas del proveedor general (General provider policy set bindings) ubicada en el panel izquierdo, en el menú Servicios (Services) > Conjunto de Políticas (Policy sets).

 

SecuritySetup05_A

 

2. Seleccione la opción WS-Security > Autenticación y protección (Authentication and protection).

 

SecuritySetup11_A

 

3. En la sección de Tokens de protección (Protection Tokens), seleccione la opción gen_signx509token. Luego abra el enlace Manejador de retorno (Callback handler).

 

SecuritySetup14_A

 

4. En el Almacen de LLaves (Keystore), seleccione Custom de la lista desplegable y haga clic en el enlace Configuración de Almacén de Llaves Personalizado (Custom keystore configuration).

 

SecuritySetup15_A

 

5. Ingrese la información en cada sección:

Almacén de Llaves (Keystore):                Datos del Almacén de Llaves.                

Llave (Key):                                Datos de la llave publica del servidor.

 

SecuritySetup16_A

 

Luego presione OK.

 

3.d. Configuración de la desencripción de mensajes

Por favor, siga los pasos mencionados a continuación para configurar apropiadamente la desencripción de los mensajes entrantes:

 

1. Desde la consola, seleccione la configuración creada en la opción Enlaces de conjunto de políticas del proveedor general (General provider policy set bindings) ubicada en el panel izquierdo, en el menú Servicios (Services) > Conjunto de Políticas (Policy sets).

SecuritySetup05_A

 

2. Seleccione la opción WS-Security > Autenticación y protección (Authentication and protection).

 

SecuritySetup11_A

 

3. En la sección de Tokens de protección (Protection Tokens), seleccione la opción con_encx509token. Luego abra el enlace Manejador de retorno (Callback handler).

 

SecuritySetup17_A

 

4. En el Almacen de LLaves (Keystore), seleccione Custom de la lista desplegable y haga clic en el enlace Configuración de Almacén de Llaves Personalizado (Custom keystore configuration).

 

SecuritySetup18_A

 

5. Ingrese la información en cada sección:

Almacén de Llaves (Keystore):                Datos del Almacén de Llaves.                

Llave (Key):                                Datos de la llave privada del servidor.

 

SecuritySetup20_A

 

Luego presione OK.

 

3.e. Configuración de encripción de mensajes salientes

Por favor, siga los pasos mencionados a continuación para configurar apropiadamente la encripción de los mensajes salientes:

 

1. Desde la consola, seleccione la configuración creada en la opción Enlaces de conjunto de políticas del proveedor general (General provider policy set bindings) ubicada en el panel izquierdo, en el menú Servicios (Services) > Conjunto de Políticas (Policy sets).

SecuritySetup05_A

 

2. Seleccione la opción WS-Security > Autenticación y protección (Authentication and protection).

 

SecuritySetup11_A

 

3. En la sección de Tokens de protección (Protection Tokens), seleccione la opción gen_encx509token. Luego abra el enlace Manejador de retorno (Callback handler).

 

SecuritySetup19_A

 

4. En el Almacen de LLaves (Keystore), seleccione Custom de la lista desplegable y haga clic en el enlace Configuración de Almacén de Llaves Personalizado (Custom keystore configuration).

 

SecuritySetup21_A

 

5. Ingrese la información en cada sección:

Almacén de Llaves (Keystore):                Datos del Almacén de Llaves.                

Llave (Key):                                Datos de la llave publica del cliente.

 

SecuritySetup22_A

 

Then, press OK.

 

4. Unir un Conjunto de Políticas y Asignar Enlaces a un Proveedor de Servicio

Una vez el Conjunto de Políticas de Aplicación y el Enlace de Conjunto de políticas ha sido creado, debe decidir cuál Servicio Web aplicará para esta configuración.

 

Siga estos pasos para configurar un Servicio Web con las configuraciones realizadas anteriormente.

 

1. Abra la opción Proveedores de servicio (Service providers) ubicada en el menú de Servicios (Services).

 

SecuritySetup19

2. Seleccione un recurso que desee asegurar. Para este ejemplo, seleccione el recurso EntityManagerSOAImplService.

 

SecuritySetup20

 

3. Agregue el Conjunto de Políticas y el enlace de Conjunto de Políticas creados previamente.

 

SecuritySetup24_A

 

En este punto, se completó la configuración de seguridad, pruebe su servicio Web usando las credenciales necesarias.

 

note_pin

La capa SOA de Bizagi está atada a SOAP 1.0 y 1.1, por lo tanto, cualquier método que utilice estos estándares puede ser configurado desde un servidor que pueda proteger los proveedores.