Introducción
Esta sección presenta unas recomendaciones de seguridad para el Portal de trabajo de Bizagi, en cuanto a los aspectos relevantes de la configuración misma de Bizagi (hardening a nivel de aplicación).
Recuerde que usted debe velar por un acceso y configuración segura en sus instalaciones y en cuanto a los equipos, dispositivos y componentes de la solución que no son propios de Bizagi (la arquitectura del sistema), como por ejemplo: la red y almacenamiento, los firewalls, balanceadores de carga u otros dispositivos, otros servidores como controladores de dominio o de base de datos, etc.
Para mayor información sobre el alcance de estas recomendaciones, consulte Recomendaciones de seguridad en la configuración.
|
Las recomendaciones presentadas a continuación aplican cuando Bizagi se ejecuta sobre una plataforma de .NET, de manera independiente a la versión del servidor Web IIS sobre el cuál se ejecute. En esta sección se ilustra a manera de ejemplo la configuración específicamente sobre un servidor Web IIS versión 7.5, donde dichas configuraciones se realizan de acuerdo a las capacidades propias del IIS. |
Antes de comenzar
Asegúrese de tener en cuenta las siguientes consideraciones antes de continuar.
Consideraciones para la plataforma
Tenga presente que siempre aplican las recomendaciones de Microsoft como fabricante de la plataforma base de Bizagi en una configuración de .NET.
Considere los boletines y notificaciones de actualización de fixes y parches que emite Microsoft en relación a un sistema operativo Windows o al IIS pero teniendo en cuenta las correspondientes pruebas y la verificación de no afectar al proyecto de Bizagi.
Consideraciones para la base de datos
Para una mayor seguridad en relación al acceso a datos, Bizagi presenta la posibilidad de configurar la cuenta de servicio de base de datos que utiliza el Portal de trabajo (y el servicio programador) con los mínimos privilegios requeridos.
Para mayor información sobre la configuración de estas cuentas, por ejemplo cuando se utiliza SQL Server, consulte la Prerrequisitos de SQL Server.
Consideraciones para la autenticación de Bizagi
Antes de proceder con las recomendaciones en la configuración del Portal de trabajo como aplicación web, deberá asegurarse que usted utilice en su esquema de autenticación en Bizagi, unas políticas de seguridad en cuanto a contraseñas (donde se considere longitud y formación de las contraseñas, su duración, elementos de cumplimiento y protección de las mismas).
Cuando se utiliza autenticación tipo Bizagi, configure los parámetros relacionados a estas políticas como se describe en la Autenticación de Bizagi.
Se recomienda como mínimo utilizar:
•Habilitar bloqueo de cuenta para intentos fallidos de inicio de sesión: Activado
•Hacer cumplir el cambio de contraseña después del primer inicio de sesión: Activado
•Aplicar historial de contraseñas: Activado
•Habilitar el registro de autenticación: Activado
•Número máximo de intentos de inicio de sesión fallidos: 3
•Edad mínima de la contraseña: 30 días, o según su criterio.
•Longitud mínima de las contraseñas: 8 caracteres, o según su criterio.
•Hacer cumplir el uso de letras en las contraseñas: Activado
•Hacer cumplir el uso de letras mayúsculas en las contraseñas: Activado
•Hacer cumplir el uso de minúsculas en las contraseñas: Activado
•Hacer cumplir el uso de números en las contraseñas: Activado
•Hacer cumplir el uso de caracteres especiales en las contraseñas: Activado
•Tiempo de espera de la sesión inactiva: 5 minutos.
•Hacer cumplir la validación de secuencias en contraseñas: Activado
•Duración del bloqueo de la cuenta: según sus criterios.
•
Consideraciones para el usuario de sistema de Bizagi
Recuerde que el usuario domain\admon es el usuario del sistema que emplea internamente Bizagi (creado por defecto).
No se debe cambiar el username ni la contraseña de este usuario.
No se podrá deshabilitar este usuario dado que es necesario para ejecutar tareas automáticas como temporizadores o tareas programadas, y se recomienda siempre asegurarse que este usuario esté habilitado en el proyecto.
Habiendo dicho lo anterior, nótese que se recomienda enfáticamente editar la configuración del usuario para que no tenga acceso de administrador en el Portal de trabajo (deberá estar en capacidad de iniciar cierto tipo de procesos y ejecutar tareas, pero no ser un administrador con permisos completos). Refierase a Seguridad de menus del Portal de Trabajo.
Para ello por ejemplo, podrá excluir al usuario de la lista de usuarios permitidos en las opciones de administración (p.e, que este usuario no tenga permisos para administrar usuarios, modificar entidades de parametrización, abortar casos, etc).
Recomendaciones básicas
Esta sección presenta los aspectos que mitigan la mayoría de las vulnerabilidades.
Esta configuración aplica también al ambiente de pruebas o de pre-producción (cuando se opta por utilizarlo).
|
Para los pasos descritos a continuación, debe asegurarse de tener habilitado el componente del IIS llamado World Wide Services -> Security -> Basic Authentication, y también IP and Domain restrictions al realizar la instalación del IIS. Revise la instalación del IIS. |
Se recomienda enfáticamente configurar el Portal de trabajo bajo el protocolo HTTPS sobre TLS, dado que este protocolo cifra la comunicación.
Para hacerlo, asegúrese de contar con un certificado válido para su servidor, y que se registre su dominio.
Una vez que cuente con el certificado de su servidor, regístrelo para el uso del Portal de Bizagi utilizando la opción de certificados del servidor (Server certificates) que presenta el IIS:
Al registrarlo, asegúrese de especificar los bindings en el sitio web.
Nótese que para estos bindings, deberá especificar el uso explícito de HTTPS, con su puerto asignado, y seleccionar el certificado.
Dé clic en Ok para guardar la configuración.
|
Al utilizar HTTPS, considere editar el archivo web.config para especificar <add key="PROTOCOL" value="HTTPS"/>. Esto aplica al utilizar enlaces al detalle de casos desde las notificaciones de procesos como se describe en Notificaciones usando enlaces al caso. |
Habilitando una versión de TLS segura
El Portal de Trabajo de Bizagi soporta los siguientes protocolos:
•TLS 1.2
|
Recomendamos usar el protocolo TLS 1.2 y desactivar los otros protocolos. |
Para activar el protocolo TLS 1.2 en su servidor IIS, usted debe seguir los siguientes pasos:
1. Hacer una copia de seguridad de sus registros
Abra el Editor de Registros, para eso escriba regedit en la opción de búsqueda de Windows. Desde la pestaña de Archivos, seleccione Exportar, y guarde el archivo reg de todas las ramas.
2. Agregue la llave TLS 1.2
En el Editor de Registros, navegue hasta la siguiente locación:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Incluya la llave TLS 1.2 dentro de la carpeta Protocols. Esto se ve como un nuevo directorio dentro de la carpeta Protocols.
3. Cree dos llaves dentro de la carpeta TLS
Haga clic derecho en la carpeta TLS 1.2 y cree las llaves Client y Server.
4. Cree los valores
Haga clic derecho en el panel derecho y cree dos valores DWORD dentro de las carpetas Client y Server:
DisabledByDefault [Value = 0]
Enabled [Value = 1]
5. Deshabilite las versiones anteriores de TLS y SSL
Dentro de la misma locación:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Ubique los valores DWORD para TLS 1.0, 1.1 Y SSL 3.0 y configure el valor del atributo Enable en 0.
Forzar la versión de TLS
Si usted está usando HTTPS con el protocolo TLS, y tiene una versión específica, por ejemplo, la versión 1.1 o 1.2, usted necesita incluir la siguiente llave en el web.config del Portal de Trabajo:
<add key="TLSSupport" value="Tls1.2" />
Considere revisar si los navegadores de los usuarios finales tienen habilitado este protocolo. Los siguientes servidores tiene el protocolo TLS 1.1 activado por defecto:
Navegador |
Versión donde TLS 1.1 está activo por defecto |
|---|---|
Internet Explorer |
11 |
Microsoft Edge |
Todas las versiones |
Google Chrome |
22 |
Mozilla |
27 |
Para revisar si TLS está activo en su navegador, siga los estos pasos:
Microsoft Internet Explorer
1. Abra Internet Explorer
2. Desde la barra de menú, haga clic en Herramientas > Opciones de Internet > Pestaña de Avanzados
3. Navegue hasta la categoría de Seguridad. Manualmente revise la caja para usar TLS 1.1 o TLS 1.2.
Google Chrome
1. Las conexiones siempre están negociadas en el grado más alto.
2. Si usted usa una versión de Google Chrome en versión 22 o mayor, TLS 1.1 es automáticamente soportado. TLS 1.1 y 1.2 son soportadas automáticamente desde la versión 29.
Mozilla Firefox
1. Abra Firefox
2. En la barra de direcciones URL, ingrese about:config y presione enter.
3. En el campo de búsqueda ingrese tls. Busque y haga doble clic en security.tls.version.max
4. Defina el valor entero en 4 y fuerce un protocolo máximo de TLS 1.3.
Configurando un conjunto de cifrado seguro SSL/TLS
El SSL/TLS es un protocolo que define los algoritmos de criptografía de uso para garantizar integridad, confidencialidad y autenticación para la capa de transporte OSI/TCP. A menudo estos algoritmos son llamados Conjuntos de cifrado SSL/TLS. Para prevenir que los sistemas sufran de técnicas de hackeo criptográfico, es necesario mantener el conjunto de cifrado seguro y actualizado. Al restringir el conjunto de cifrado SSL/TLS, podría mejorar la comunicación de las comunicaciones SSL/TLS.
Para hacer esto, corra el comando de ejecutar y escriba gpedit.msc para abrir el Editor de Directivas de Grupo Local.
Diríjase a Computer Configuration > Administrative Templates > Network > SSL Configuration Settings.
Haga doble clic en SSL Cipher Suite Order y seleccione la opción de habilitado.
Configure el conjunto de cifrado SSL ordenando los algoritmos del más seguro al menos seguro y sepárelos por comas. Haga clic en ok para terminar la configuración.
Cuando se inicia la comunicación SSL/TLS, el servidor ofrecerá los algoritmos de cifrado especificados en el conjunto. El cliente y el servidor escogerán el algoritmo que ambos soporten buscando en la lista desde el primer algoritmo hasta el último.
|
Le recomendamos usar la siguiente lista para el conjunto de cifrado SSL: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
3. Filtrado de las solicitudes no autorizadas
Se recomienda identificar el gateway de salida de los usuarios de su Portal de trabajo de Bizagi.
De esta manera, podrá configurar un rango de direcciones IP válidas para filtrar las solicitudes (HTTP requests) hacia su aplicación.
Para hacerlo, incluya de manera explícita las direcciones IP que pueden acceder al Portal de trabajo de Bizagi a nivel de la ubicación del sitio (nótese que podrá especificar un dominio también), utilizando la opción de IP Address and Domain restrictions:
|
De manera similar, podrá apoyarse en productos WAF (Web application firewall) para fortalecer las medidas de seguridad en el acceso a Bizagi (por ejemplo para hacer uso de features orientados a detección de intrusos u otros, y para considerar políticas de seguridad corporativas adicionales sobretodo cuando se tiene Bizagi configurado para el acceso desde Internet). |
Puntualmente al emplear una zona desmilitarizada (DMZ), asegúrese que tanto el firewall interno como el externo no permitan el acceso y puertos de manera indiscriminada.
Importante
Para Bizagi, la seguridad es un aspecto de crítica importancia.
Por ello, Bizagi libera periódicamente nuevas versiones las cuáles cuentan con múltiples mejoras, y fixes para problemas detectados en versiones anteriores.
Los fixes de problemas reportados podrán incluir soluciones definitivas a vulnerabilidades de seguridad.
Por lo tanto, se recomienda enfáticamente considerar la actualización periódica de su solución a las nuevas versiones de Bizagi, siguiendo siempre las directrices usuales en este procedimiento como lo son:
•Planear, coordinar y probar adecuadamente dichas actualizaciones.
•Apoyarse en los diferentes ambientes (desarrollo, pruebas, pre-producción cuando aplique, y producción).
•Tomar las medidas de contingencia necesarias antes del procedimiento (p.e backups).
•Evaluar las personalizaciones o configuraciones de seguridad como las listadas en esta sección, de forma que se tenga claro para todos los involucrados (stakeholders) que como parte del plan, hay aspectos que se deben re-configurar posterior a la actualización.
|
Cuando se cuenta con personalizaciones o algunas de las configuraciones de seguridad de esta sección, una de estas 2 alternativas debe tomarse al momento de actualizar de versión de Bizagi:
1. Si se lleva a cabo por medio de Bizagi Management Console, usted deberá re-configurar y verificar que dicha configuración esté aplicada aún después de la actualización. Nótese que por defecto, la actualización realizada por Bizagi Management Console no considera las modificaciones hechas a los archivos originales o la estructura de archivos (por lo que se sobrescriben cambios).
2. Podrá optar por llevar a cabo una actualización de versión manual a su vez (sin utilizar Bizagi Management Console). De hacerlo así, asegúrese de considerar todos los componentes relevantes de la solución, para que pueda reemplazar los archivos nuevos del Portal de trabajo y del servicio Programador, mientras conserve las personalizaciones o configuraciones anteriores. |
Para aspectos muy críticos de seguridad, Bizagi podrá considerar la emisión de hot fixes recomendados para aplicarse sin necesidad de esperar a una nueva versión.
Para evaluar o considerar aspectos adicionales de hardening de aplicación, consulte las Recomendaciones intermedias.