Introducción
Esta sección presenta unas recomendaciones de seguridad para el Portal de Trabajo de Bizagi, en cuanto a los aspectos relevantes de la configuración misma de Bizagi (hardening a nivel de aplicación).
|
Las recomendaciones presentadas a continuación aplican cuando Bizagi se ejecuta sobre una plataforma de .NET, de manera independiente a la versión del servidor Web IIS sobre el cuál se ejecute. En esta sección se ilustra a manera de ejemplo la configuración específicamente sobre un servidor Web IIS versión 7.5, donde dichas configuraciones se realizan de acuerdo a las capacidades propias del IIS. |
Estos se aplican a sus entornos de prueba o preproducción (cuando usa uno), así como a los entornos de producción. Esta sección tiene las siguientes recomendaciones:
•Cifrar información mediante HTTPS
•Filtrar solicitudes no autorizadas
•Definir la seguridad del caso
•Configurar el cifrado transparente de datos (TDE) del servidor SQL
Para obtener más información sobre el alcance de estas recomendaciones u otras recomendaciones, consulte Recomendaciones de configuración de seguridad.
Bizagi ofrece múltiples funciones para aumentar la seguridad y la restricción de acceso a su Portal de Trabajo. Consulte Definición de seguridad. En cuanto a la autenticación de usuarios, Bizagi soporta varios protocolos. En entornos de producción, no se recomienda la Autenticación de Bizagi. En su lugar, recomendamos utilizar protocolos federales como SAML. Para obtener más información, consulte Autenticación del Portal de Trabajo.
Si decide utilizar la autenticación de Bizagi, le recomendamos configurar los parámetros relevantes para cubrir dichas políticas, como se describe en la autenticación de Bizagi.
Se recomienda como mínimo utilizar:
•Habilitar bloqueo de cuenta para intentos fallidos de inicio de sesión: Activado
•Hacer cumplir el cambio de contraseña después del primer inicio de sesión: Activado
•Aplicar historial de contraseñas: Activado
•Habilitar el registro de autenticación: Activado
•Número máximo de intentos de inicio de sesión fallidos: 3
•Edad mínima de la contraseña: 30 días, o según su criterio.
•Longitud mínima de las contraseñas: 8 caracteres, o según su criterio.
•Hacer cumplir el uso de letras en las contraseñas: Activado
•Hacer cumplir el uso de letras mayúsculas en las contraseñas: Activado
•Hacer cumplir el uso de minúsculas en las contraseñas: Activado
•Hacer cumplir el uso de números en las contraseñas: Activado
•Hacer cumplir el uso de caracteres especiales en las contraseñas: Activado
•Tiempo de espera de la sesión inactiva: 5 minutos.
•Hacer cumplir la validación de secuencias en contraseñas: Activado
•Duración del bloqueo de la cuenta: según sus criterios.
Autorización en Bizagi
De forma predeterminada, el Portal de Trabajo viene con todos los menús accesibles para todos los usuarios. Edite la configuración de este usuario para que no tenga acceso a las opciones de administración en el Portal de Trabajo (debería poder iniciar procesos específicos y ejecutar tareas, pero no un administrador completo). Consulte Seguridad de los menus del Portal de Trabajo.
Para asegurarse de que esto excluya usuarios de aquellos autorizados para administrar su sistema Bizagi (este usuario no debe poder administrar usuarios, ni modificar valores en Bizagi como entidades paramétricas, cancelar o borrar casos, etc.).
Admon usuario
El dominio \ admon es el usuario del sistema creado por defecto y empleado internamente por Bizagi. No se debe cambiar el nombre de usuario.
No puede deshabilitar este usuario ya que es necesario para realizar tareas automáticas relacionadas con procesos como temporizadores y trabajos programados. Le recomendamos que se asegure de que este usuario siempre esté habilitado en su proyecto.
Configuración de cifrado de información usando HTTPS
Incluya el siguiente elemento en el archivo de configuración web.config de su Portal de Trabajo (por defecto, ubicado en C:\Bizagi\Projects\[su_proyecto]\WebApplication\) para que las cookies queden cifradas al usarse HTTPS.
Incluya esta definición dentro del elemento <system.web>:
<httpCookies httpOnlyCookies="true" requireSSL="true" />
Para verificar la correcta configuración, una vez autenticado en el Portal de Trabajo, podrá usar la herramienta de su elección que le permita visualizar cómo son las cookies obtenidas (p.e través de las opciones de desarrollador de Google Chrome):
En el mismo archivo de configuración web.config de su Portal de Trabajo, edite la definición del elemento <pages>, de manera que la variable ViewState quede cifrada siempre. Lo que se busca con esto es asegurar ese diccionario de información, como se indica en https://msdn.microsoft.com/en-us/library/ms178199(v=vs.85).aspx.
Para hacerlo, ubique el elemento pages que contiene:
<pages controlRenderingCompatibilityVersion="3.5" clientIDMode="AutoID" />
Incluya el atributo y valor:
ViewStateEncryptionMode="Always"
Guarde los cambios y cierre el archivo de configuración.
Filtrado de las solicitudes no autorizadas
Se recomienda identificar el gateway de salida de los usuarios de su Portal de Trabajo de Bizagi.
De esta manera, podrá configurar un rango de direcciones IP válidas para filtrar las solicitudes (HTTP requests) hacia su aplicación.
|
Para los pasos descritos a continuación, debe asegurarse de tener habilitado el componente del IIS llamado World Wide Services -> Security -> Basic Authentication, y también IP and Domain restrictions al realizar la instalación del IIS. |
Para hacerlo, incluya de manera explícita las direcciones IP que pueden acceder al Portal de Trabajo de Bizagi a nivel de la ubicación del sitio (nótese que podrá especificar un dominio también), utilizando la opción de IP Address and Domain restrictions:
|
De manera similar, podrá apoyarse en productos WAF (Web application firewall) para fortalecer las medidas de seguridad en el acceso a Bizagi (por ejemplo para hacer uso de features orientados a detección de intrusos u otros, y para considerar políticas de seguridad corporativas adicionales sobretodo cuando se tiene Bizagi configurado para el acceso desde Internet). |
Puntualmente al emplear una zona desmilitarizada (DMZ), asegúrese que tanto el firewall interno como el externo no permitan el acceso y puertos de manera indiscriminada.
Por defecto, los casos de procesos pueden ser consultados por cualquier usuario en el Portal de Trabajo. Bizagi incluye la función de seguridad de casos, donde se puede definir el nivel de seguridad de los casos, por lo que solo los usuarios con permisos pueden consultar los casos. Para configurar esta opción consulte Seguridad del Caso.
Configurar el cifrado de datos transparente (TDE) del servidor SQL
Recomendamos el uso de cifrado transparente de datos (TDE) para proporcionar I/O en tiempo real a nivel de página, de modo que los archivos de su base de datos puedan protegerse del acceso no autorizado al Project Server.
Para habilitar el TDE del servidor SQL, sólo necesita ejecutar el script que se muestra a continuación en la base de datos:
USE master;
GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<UseStrongPasswordHere>';
go
CREATE CERTIFICATE BizEncryptionCert WITH SUBJECT = '<DekCertificateName>';
go
USE <ProjectDatabase>;
GO
CREATE DATABASE ENCRYPTION KEY
WITH ALGORITHM = AES_128
ENCRYPTION BY SERVER CERTIFICATE BizEncryptionCert;
GO
ALTER DATABASE <ProjectDatabase>
SET ENCRYPTION ON;
GO
Cambie los siguientes parámetros.
• UserStrongPasswordHere, por una contraseña segura, ya que es la clave que se utiliza para cifrar la base de datos maestra.
• DekCertificateName, por un nombre de certificado descriptivo que le permite identificar fácilmente este certificado.
• ProjectDatabase, por la base de datos del proyecto Bizagi que desea cifrar.
Una vez se ejecuta el script, la base de datos tardará un poco en encriptar todos los datos del Proyecto Bizagi.
Siguientes Pasos
Usted puede seguir refuerzos recomendados adicionales:
•Incluir protección adicional en los servicios web de Bizagi
•Eliminar carpetas no utilizadas en el entorno de producción