Refuerzos de seguridad obligatorias parte 2

<< Clic para mostrar Tabla de Contenidos >>

Navegación:  Automation Server > Automation Server - configuración y administración > Configuración del proyecto inicial > Prácticas recomendadas en el ambiente de producción > Refuerzo de seguridad >

Refuerzos de seguridad obligatorias parte 2

Introducción

Esta sección presenta unas recomendaciones de seguridad para el Portal de trabajo de Bizagi, en cuanto a los aspectos relevantes de la configuración misma de Bizagi (hardening a nivel de aplicación).

 

note_pin

Las recomendaciones presentadas a continuación aplican cuando Bizagi se ejecuta sobre una plataforma de .NET, de manera independiente a la versión del servidor Web IIS sobre el cuál se ejecute.

En esta sección se ilustra a manera de ejemplo la configuración específicamente sobre un servidor Web IIS versión 7.5, donde dichas configuraciones se realizan de acuerdo a las capacidades propias del IIS.

 

Estos se aplican a sus entornos de prueba o preproducción (cuando usa uno), así como a los entornos de producción. Esta sección tiene las siguientes recomendaciones:

 

Autenticación y Autorización

Cifrar información mediante HTTPS

Filtrar solicitudes no autorizadas

Definir la seguridad del caso

Configurar el cifrado transparente de datos (TDE) del servidor SQL

 

Para obtener más información sobre el alcance de estas recomendaciones u otras recomendaciones, consulte Recomendaciones de configuración de seguridad.

 

Autenticación en Bizagi

Bizagi ofrece múltiples funciones para aumentar la seguridad y la restricción de acceso a su Portal de Trabajo. Consulte Definición de seguridad. En cuanto a la autenticación de usuarios, Bizagi soporta varios protocolos. En entornos de producción, no se recomienda la Autenticación de Bizagi. En su lugar, recomendamos utilizar protocolos federales como SAML. Para obtener más información, consulte Autenticación del Portal de Trabajo.

 

Si decide utilizar la autenticación de Bizagi, le recomendamos configurar los parámetros relevantes para cubrir dichas políticas, como se describe en la autenticación de Bizagi.

[****]

Se recomienda como mínimo utilizar:

Habilitar bloqueo de cuenta para intentos fallidos de inicio de sesión: Activado

Hacer cumplir el cambio de contraseña después del primer inicio de sesión: Activado

Aplicar historial de contraseñas: Activado

Habilitar el registro de autenticación: Activado

Número máximo de intentos de inicio de sesión fallidos: 3

Edad mínima de la contraseña: 30 días, o según su criterio.

Longitud mínima de las contraseñas: 8 caracteres, o según su criterio.

Hacer cumplir el uso de letras en las contraseñas: Activado

Hacer cumplir el uso de letras mayúsculas en las contraseñas: Activado

Hacer cumplir el uso de minúsculas en las contraseñas: Activado

Hacer cumplir el uso de números en las contraseñas: Activado

Hacer cumplir el uso de caracteres especiales en las contraseñas: Activado

Tiempo de espera de la sesión inactiva: 5 minutos.

Hacer cumplir la validación de secuencias en contraseñas: Activado

Duración del bloqueo de la cuenta: según sus criterios.

 

Autorización en Bizagi

De forma predeterminada, el Portal de Trabajo viene con todos los menús accesibles para todos los usuarios. Edite la configuración de este usuario para que no tenga acceso a las opciones de administración en el portal de trabajo (debería poder iniciar procesos específicos y ejecutar tareas, pero no un administrador completo). Consulte Seguridad de los menus del Portal de Trabajo.

Para asegurarse de que esto excluya usuarios de aquellos autorizados para administrar su sistema Bizagi (este usuario no debe poder administrar usuarios, ni modificar valores en Bizagi como entidades paramétricas, cancelar o borrar casos, etc.).

 

Admon usuario

El dominio \ admon es el usuario del sistema creado por defecto y empleado internamente por Bizagi. No se debe cambiar el nombre de usuario.

No puede deshabilitar este usuario ya que es necesario para realizar tareas automáticas relacionadas con procesos como temporizadores y trabajos programados. Le recomendamos que se asegure de que este usuario siempre esté habilitado en su proyecto.

 

Configuración de cifrado de información usando HTTPS

Incluya el siguiente elemento en el archivo de configuración web.config de su Portal de trabajo (por defecto, ubicado en C:\Bizagi\Projects\[su_proyecto]\WebApplication\) para que las cookies queden cifradas al usarse HTTPS.

 

Incluya esta definición dentro del elemento <system.web>:

<httpCookies httpOnlyCookies="true" requireSSL="true" />

 

SecurityS_Webconfig01

 

Para verificar la correcta configuración, una vez autenticado en el Portal de trabajo, podrá usar la herramienta de su elección que le permita visualizar cómo son las cookies obtenidas (p.e través de las opciones de desarrollador de Google Chrome):

 

SecurityS_Cookies02

 

En el mismo archivo de configuración web.config de su Portal de trabajo, edite la definición del elemento <pages>, de manera que la variable ViewState quede cifrada siempre. Lo que se busca con esto es asegurar ese diccionario de información, como se indica en https://msdn.microsoft.com/en-us/library/ms178199(v=vs.85).aspx.

 

Para hacerlo, ubique el elemento pages que contiene:

<pages controlRenderingCompatibilityVersion="3.5" clientIDMode="AutoID" />

Incluya el atributo y valor:

ViewStateEncryptionMode="Always"

 

SecurityS_Webconfig02

 

Guarde los cambios y cierre el archivo de configuración.

 

Filtrado de las solicitudes no autorizadas

Se recomienda identificar el gateway de salida de los usuarios de su Portal de trabajo de Bizagi.

De esta manera, podrá configurar un rango de direcciones IP válidas para filtrar las solicitudes (HTTP requests) hacia su aplicación.

 

note_pin

Para los pasos descritos a continuación, debe asegurarse de tener habilitado el componente del IIS llamado World Wide Services -> Security -> Basic Authentication, y también IP and Domain restrictions al realizar la instalación del IIS.

 

Para hacerlo, incluya de manera explícita las direcciones IP que pueden acceder al Portal de trabajo de Bizagi a nivel de la ubicación del sitio (nótese que podrá especificar un dominio también), utilizando la opción de IP Address and Domain restrictions:

 

SecurityS_IPfiltering

 

note_pin

De manera similar, podrá apoyarse en productos WAF (Web application firewall) para fortalecer las medidas de seguridad en el acceso a Bizagi (por ejemplo para hacer uso de features orientados a detección de intrusos u otros, y para considerar políticas de seguridad corporativas adicionales sobretodo cuando se tiene Bizagi configurado para el acceso desde Internet).

 

Puntualmente al emplear una zona desmilitarizada (DMZ), asegúrese que tanto el firewall interno como el externo no permitan el acceso y puertos de manera indiscriminada.

 

Definir la seguridad del caso

Por defecto, los casos de procesos pueden ser consultados por cualquier usuario en el Portal de Trabajo. Bizagi incluye la función de seguridad de casos, donde se puede definir el nivel de seguridad de los casos, por lo que solo los usuarios con permisos pueden consultar los casos. Para configurar esta opción consulte Seguridad del Caso.

 

Configurar el cifrado de datos transparente (TDE) del servidor SQL

Recomendamos el uso de cifrado transparente de datos (TDE) para proporcionar I/O en tiempo real a nivel de página, de modo que los archivos de su base de datos puedan protegerse del acceso no autorizado al Project Server.

Para habilitar el TDE del servidor SQL, sólo necesita ejecutar el script que se muestra a continuación en la base de datos:

 

USE master;

GO

CREATE MASTER KEY ENCRYPTION BY PASSWORD = '<UseStrongPasswordHere>';

go

CREATE CERTIFICATE BizEncryptionCert WITH SUBJECT = '<DekCertificateName>';

go

USE <ProjectDatabase>;

GO

CREATE DATABASE ENCRYPTION KEY

WITH ALGORITHM = AES_128

ENCRYPTION BY SERVER CERTIFICATE BizEncryptionCert;

GO

ALTER DATABASE <ProjectDatabase>

SET ENCRYPTION ON;

GO

 

SecurityS_DatabaseTde

 

Cambie los siguientes parámetros.

 

UserStrongPasswordHere, por una contraseña segura, ya que es la clave que se utiliza para cifrar la base de datos maestra.

DekCertificateName, por un nombre de certificado descriptivo que le permite identificar fácilmente este certificado.

ProjectDatabase, por la base de datos del proyecto Bizagi que desea cifrar.

 

Una vez se ejecuta el script, la base de datos tardará un poco en encriptar todos los datos del Proyecto Bizagi.

 

Siguientes Pasos

Usted puede seguir refuerzos recomendados adicionales:

Incluir protección adicional en los servicios web de Bizagi

Eliminar carpetas no utilizadas en el entorno de producción

Reescribir valores en variables de servidor