Recomendaciones avanzadas

<< Click to Display Table of Contents >>

Navigation:  Bizagi Engine > Administración del Sistema Bizagi > Configuración del servidor Bizagi > Configuración de Bizagi Engine .NET > Recomendaciones de seguridad en la configuración >

Recomendaciones avanzadas

 

 

Introducción

Esta sección presenta unas recomendaciones de seguridad para el Portal de trabajo de Bizagi, en cuanto a los aspectos relevantes de la configuración misma de Bizagi (hardening a nivel de aplicación).

 

Para llevar a cabo las recomendaciones de esta sección, usted debe haber llevado a cabo las recomendaciones presentadas en Recomendaciones básicas y Recomendaciones intermedias.

 

note_pin

Las recomendaciones presentadas a continuación aplican cuando Bizagi se ejecuta sobre una plataforma de .NET, de manera independiente a la versión del servidor Web IIS sobre el cuál se ejecute.

En esta sección se ilustra a manera de ejemplo la configuración específicamente sobre un servidor Web IIS versión 7.5, donde dichas configuraciones se realizan de acuerdo a las capacidades propias del IIS.

 

Recomendaciones avanzadas

Esta configuración aplica también al ambiente de pruebas o de pre-producción (cuando se opta por utilizarlo).

Esta sección presenta aspectos especfícos que se recomiendan para mitigar otro set diferente de vulnerabilidades.

 

note_pin

Para algunos de los pasos descritos a continuación, debe asegurarse de haber instalado el módulo URL Rewrite para el IIS.

Este módulo en su versión 2.0 (para versiones de IIS 7, 7.5 y 8), se puede descargar directamente desde http://www.iis.net/downloads/microsoft/url-rewrite.

 

 

1. Reescritura de valores en variables del servidor

Se recomienda configurar reglas que sobreescriban ciertos valores que puedan divulgar información del servidor (se mitiga la vulnerabilidad conocida como fuga de información).

Los valores que contienen información del servidor del IIS van por defecto en estas variables: RESPONSE_SERVER, RESPONSE_X-ASPNET-VERSION, y RESPONSE_X-POWERED-BY.

 

Para sobreeescribir sus valores, realice lo siguiente:

 

Utilice la opción de URL Rewrite en el Portal de trabajo de Bizagi (a nivel de la ubicación del sitio), y dé clic sobre View Server variables para asegurarse de tener las 3 variables que se van a sobreescribir:

 

SecurityS_Rewritevars01

 

Utilice la opción de Adicionar 3 veces, para incluir estas variables una por una. Al final el listado deberá verse como se enseña:

 

SecurityS_Rewritevars02

 

Seguidamente retorne a URL Rewrite (p.e dando clic sobre Back to rules) para adicionar las reglas de sobreescritura.

Para cada una de las tres variables (RESPONSE_SERVER, RESPONSE_X-ASPNET-VERSION, y RESPONSE_X-POWERED-BY), de clic en Adicionar regla(s).. y seleccione el tipo de regla en blanco para salida de información (Outbound, blank rule):

 

SecurityS_Rewritevars03

 

Las propiedades de la regla serán las siguientes:

Name (nombre): Nombre de la regla, a su elección.

Precondition (precondición): None.

Matching scope (scope al que aplica): Server variable.

Variable name (nombre de la variable): Ingrese para cada regla, una de las 3 variables a sobreescribirse (RESPONSE_SERVER, RESPONSE_X-ASPNET-VERSION, ó RESPONSE_X-POWERED-BY).

Variable value (valor de la variable): Matches the pattern.

Using (utiliza): Regular expression.

Pattern (patrón): .+

Ignore case (ignorar mayúsculas y minúsculas): On.

 

SecurityS_Rewritevars04

 

Action type (tipo de acción): rewrite

Value (valor): EMPTY.

Replace existing server variable value (reemplazar el valor existente de la variable): On

 

SecurityS_Rewritevars05

 

Al finalizar la creación de reglas, podrá ver que se listen las mismas para las tres variables:

 

SecurityS_Rewritevars06

 

De igual manera, con un navegador podrá hacer la inspección de los valores que envía el servidor para estas variables:

 

SecurityS_Rewritevars07

 

 

2. Uso de cabeceras de seguridad

Se recomienda establecer cabeceras de seguridad con el fin de no disponibilizar información que pueda ser usadas en posibles ataques (vulnerabilidades conocidas como ClickJacking).

Las cabeceras de seguridad se configuran estableciendo los siguientes valores:

 

Cabecera

Valor

x-content-type-options

nosniff

x-dns-prefetch-control

off

x-frame-controls

SAMEORIGIN

x-xss-protection

1; mode=block

Strict-Transport-Security

Strict-Transport-Security: max-age=31536000; includeSubDomains

content-security-policy

default-src: ‘self

 

NOTA: Acá podrá adicionar otras URL diferentes a la misma aplicación (self) en caso de que aplique. Para más información consulte https://www.owasp.org/index.php/Content_Security_Policy

 

Para llevar a cabo esta configuración, realice lo siguiente:

 

Utilice la opción de HTTP Response Headers en el Portal de trabajo de Bizagi (a nivel de la ubicación del sitio), y`adicione cada una de las cabeceras con su valor respectivo (usando la opción de Adicionar):

 

SecurityS_RespHeader01

 

Una vez realizado este paso para cada cabecera, deberá ver la lista de cabeceras configuradas como se enseña a continuación:

 

SecurityS_RespHeader02

 

 

Importante

Para Bizagi, la seguridad es un aspecto de crítica importancia.

Por ello, Bizagi libera periódicamente nuevas versiones las cuáles cuentan con múltiples mejoras, y fixes para problemas detectados en versiones anteriores.

Los fixes de problemas reportados podrán incluir soluciones definitivas a vulnerabilidades de seguridad.

 

Por lo tanto, se recomienda enfáticamente considerar la actualización periódica de su solución a las nuevas versiones de Bizagi, siguiendo siempre las directrices usuales en este procedimiento como lo son:

Planear, coordinar y probar adecuadamente dichas actualizaciones.

Apoyarse en los diferentes ambientes (desarrollo, pruebas, pre-producción cuando aplique, y producción).

Tomar las medidas de contingencia necesarias antes del procedimiento (p.e backups).

Evaluar las personalizaciones o configuraciones de seguridad como las listadas en esta sección, de forma que se tenga claro para los involucrados (stakeholders) que como parte del plan, hay aspectos que se deben re-configurar posterior a la actualización.

 

note_pin

Cuando se cuenta con personalizaciones o algunas de las configuraciones de seguridad de esta sección, una de estas 2 alternativas debe tomarse al momento de actualizar de versión de Bizagi:

 

1. Si se lleva a cabo por medio de Bizagi Management Console, usted deberá re-configurar y verificar que dicha configuración esté aplicada aún después de la actualización.

Nótese que por defecto, la actualización realizada por Bizagi Management Console no considera las modificaciones hechas a los archivos originales o la estructura de archivos (por lo que se sobreescriben cambios).

 

2. Podrá optar por llevar a cabo una actualización de versión manual a su vez (sin utilizar Bizagi Management Console).

De hacerlo así, asegúrese de considerar todos los componentes relevantes de la solución, para que pueda reemplazar los archivos nuevos del Portal de trabajo y del servicio Programador, mientras conserve las personalizaciones o configuraciones anteriores.

 

Para aspectos muy críticos de seguridad, Bizagi podrá considerar la emisión de hot fixes recomendados para aplicarse sin necesidad de esperar a una nueva versión.