Introducción
Esta sección presenta unas recomendaciones de seguridad para el Portal de Trabajo de Bizagi, en cuanto a los aspectos relevantes de la configuración misma de Bizagi (hardening a nivel de aplicación).
Recuerde que usted debe velar por un acceso y configuración segura en sus instalaciones y en cuanto a los equipos, dispositivos y componentes de la solución que no son propios de Bizagi (la arquitectura del sistema), como por ejemplo: la red y almacenamiento, los firewalls, balanceadores de carga u otros dispositivos, otros servidores como controladores de dominio o de base de datos, etc.
|
Las recomendaciones presentadas a continuación aplican cuando Bizagi se ejecuta sobre una plataforma de .NET, de manera independiente a la versión del servidor Web IIS sobre el cuál se ejecute. En esta sección se ilustra a manera de ejemplo la configuración específicamente sobre un servidor Web IIS versión 7.5, donde dichas configuraciones se realizan de acuerdo a las capacidades propias del IIS. |
Las siguientes recomendaciones son obligatorias para entornos de prueba o producción.
Esta sección contiene las siguientes recomendaciones para habilitar conexiones y protocolos seguros en su entorno y base de datos:
•Configurar el protocolo HTTPS
•Habilite una versión segura de TLS
•Configurar un paquete de cifrado SSL / TLS seguro
•Configurar TLS para la base de datos
Para obtener más información sobre el alcance de estas recomendaciones u otras recomendaciones, consulte Recomendaciones de configuración de seguridad.
|
Para los pasos descritos a continuación, debe asegurarse de tener habilitado el componente del IIS llamado World Wide Services -> Security -> Basic Authentication, y también IP and Domain restrictions al realizar la instalación del IIS. Revise la instalación del IIS. |
Se recomienda enfáticamente configurar el Portal de Trabajo bajo el protocolo HTTPS sobre TLS, dado que este protocolo cifra la comunicación.
Para hacerlo, asegúrese de contar con un certificado válido para su servidor, y que se registre su dominio.
Una vez que cuente con el certificado de su servidor, regístrelo para el uso del Portal de Bizagi utilizando la opción de certificados del servidor (Server certificates) que presenta el IIS:
Al registrarlo, asegúrese de especificar los bindings en el sitio web.
Nótese que para estos bindings, deberá especificar el uso explícito de HTTPS, con su puerto asignado, y seleccionar el certificado.
Dé clic en Ok para guardar la configuración.
|
Al utilizar HTTPS, considere editar el archivo web.config para especificar <add key="PROTOCOL" value="HTTPS"/>. Esto aplica al utilizar enlaces al detalle de casos desde las notificaciones de procesos como se describe en Notificaciones usando enlaces al caso. |
Habilitando una versión de TLS segura
El Portal de Trabajo de Bizagi soporta los siguientes protocolos:
•TLS 1.2
|
Recomendamos usar el protocolo TLS 1.2 y desactivar los otros protocolos. |
Para activar el protocolo TLS 1.2 en su servidor IIS, usted debe seguir los siguientes pasos:
1. Hacer una copia de seguridad de sus registros
Abra el Editor de Registros, para eso escriba regedit en la opción de búsqueda de Windows. Desde la pestaña de Archivos, seleccione Exportar, y guarde el archivo reg de todas las ramas.
2. Agregue la llave TLS 1.2
En el Editor de Registros, navegue hasta la siguiente locación:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Incluya la llave TLS 1.2 dentro de la carpeta Protocols. Esto se ve como un nuevo directorio dentro de la carpeta Protocols.
3. Cree dos llaves dentro de la carpeta TLS
Haga clic derecho en la carpeta TLS 1.2 y cree las llaves Client y Server.
4. Cree los valores
Haga clic derecho en el panel derecho y cree dos valores DWORD dentro de las carpetas Client y Server:
DisabledByDefault [Value = 0]
Enabled [Value = 1]
5. Deshabilite las versiones anteriores de TLS y SSL
Dentro de la misma locación:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Ubique los valores DWORD para TLS 1.0, 1.1 Y SSL 3.0 y configure el valor del atributo Enable en 0.
Forzar la versión de TLS
Si está usando HTTPS con el protocolo TLS y necesita utilizar una versión específica (por ejemplo, la versión 1.1 o 1.2), debe incluir la siguiente llave en la sección <appsettings> del archivo web.config del Portal de Trabajo (generalmente ubicado en C:\Bizagi\Projects\[Nombre_Proyecto]\WebApplication):
<add key="TLSSupport" value="Tls1.2" />
|
Tenga en cuenta que el valor de la llave distingue entre mayúsculas y minúsculas. Por lo tanto, debe agregarlo como se especificó anteriormente para configurar correctamente la versión del protocolo TLS (en este caso, la versión 1.2). |
Considere revisar si los navegadores de los usuarios finales tienen habilitado este protocolo. Los siguientes servidores tiene el protocolo TLS 1.1 activado por defecto:
Navegador |
Versión donde TLS 1.1 está activo por defecto |
|---|---|
Internet Explorer |
11 |
Microsoft Edge |
Todas las versiones |
Google Chrome |
22 |
Mozilla |
27 |
Para revisar si TLS está activo en su navegador, siga los estos pasos:
Microsoft Internet Explorer
1. Abra Internet Explorer
2. Desde la barra de menú, haga clic en Herramientas > Opciones de Internet > Pestaña de Avanzados
3. Navegue hasta la categoría de Seguridad. Manualmente revise la caja para usar TLS 1.1 o TLS 1.2.
Google Chrome
1. Las conexiones siempre están negociadas en el grado más alto.
2. Si usted usa una versión de Google Chrome en versión 22 o mayor, TLS 1.1 es automáticamente soportado. TLS 1.1 y 1.2 son soportadas automáticamente desde la versión 29.
Mozilla Firefox
1. Abra Firefox
2. En la barra de direcciones URL, ingrese about:config y presione enter.
3. En el campo de búsqueda ingrese tls. Busque y haga doble clic en security.tls.version.max
4. Defina el valor entero en 4 y fuerce un protocolo máximo de TLS 1.3.
Configurando un conjunto de cifrado seguro SSL/TLS
El SSL/TLS es un protocolo que define los algoritmos de criptografía de uso para garantizar integridad, confidencialidad y autenticación para la capa de transporte OSI/TCP. A menudo estos algoritmos son llamados Conjuntos de cifrado SSL/TLS. Para prevenir que los sistemas sufran de técnicas de hackeo criptográfico, es necesario mantener el conjunto de cifrado seguro y actualizado. Al restringir el conjunto de cifrado SSL/TLS, podría mejorar la comunicación de las comunicaciones SSL/TLS.
Para hacer esto, corra el comando de ejecutar y escriba gpedit.msc para abrir el Editor de Directivas de Grupo Local.
Diríjase a Computer Configuration > Administrative Templates > Network > SSL Configuration Settings.
Haga doble clic en SSL Cipher Suite Order y seleccione la opción de habilitado.
Configure el conjunto de cifrado SSL ordenando los algoritmos del más seguro al menos seguro y sepárelos por comas. Haga clic en ok para terminar la configuración.
Cuando se inicia la comunicación SSL/TLS, el servidor ofrecerá los algoritmos de cifrado especificados en el conjunto. El cliente y el servidor escogerán el algoritmo que ambos soporten buscando en la lista desde el primer algoritmo hasta el último.
|
Le recomendamos usar la siguiente lista para el conjunto de cifrado SSL: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
Configurar TLS para la base de datos
Para aumentar la seguridad, se recomienda utilizar el protocolo de seguridad más reciente. No recomendamos usar SSL como su protocolo de transporte seguro, en su lugar use TLS versión 1.2.
Revise si su versión de SQL ya es compatible con TLS 1.2 en el siguiente artículo:
Pasos de configuración
Abra el Administrador de configuración de SQL Server. Expanda Configuración de red de SQL Server. Haga clic con el botón derecho en Protocolos para su instancia de servidor y seleccione Propiedades.
Abra la pestaña Certificado y seleccione un certificado de la lista desplegable. Haga clic en Aplicar cuando haya terminado.
|
Los certificados deben crearse para la autenticación del servidor e instalarse a través de MMC en la carpeta personal.
|
Abra la pestaña de Flags, y active el forzado de encriptación.
Revise el usuario que se haya registrado en las opciones de inicio de sesión de la instancia de SQL.
Asegúrese de que este usuario tenga permiso de lectura en el certificado. Para hacer eso, abra la MMC, vaya a su computadora local y certificados personales. Haga clic con el botón derecho en el certificado utilizado anteriormente, seleccione Todas las tareas y luego Administrar claves privadas.
Agregue al usuario con permisos de lectura.
Si necesita acceder a la base de datos utilizando SQL Management Studio. Tienes que seguir estos pasos:
1.Copie el certificado original o el archivo de certificado exportado al equipo cliente.
2.En la computadora del cliente, use el complemento Certificados para instalar el certificado raíz o el archivo de certificado exportado.
3.Con el Administrador de configuración de SQL Server, haga clic en el botón de opciones.
4. En la pestaña de Conexión, habilite la opción de Encriptar Conexión.
5. En la pestaña de Parámetros Adicionales de Conexión agregue: TrustServerCertificate=True
6. Haga clic en conectar.
Siguientes Pasos
Siga más recomendaciones obligatorias de seguridad: