Рекомендации по безопасности

Owned by Юсеф Бенариеб (Unlicensed)
мар. 04, 2022
1 min read
Тип статьи

Полезное знание

Компетенции

Администратор

Версия платформы

2.25

Статус

бета

Сложность

средне

Полезные ссылки

Дополнительные сведения

 

В целях повышения безопасности рекомендуется учесть пункты ниже. Некоторые из их критичны и обязательны, например, смена дефолтных паролей и сертификата. Актуально в первую очередь для стендов с доступом из сети Интернет.

  1. Извне для работы в платформе должны быт открыты только порты 80/443, http/https. Если на сервере открыто что-то еще, то имеет смысл убедиться у ответственных коллег, что это действительно нужно, а не осталось забытым со времен какой-то наладки.

  2. Конечно, использовать HTTPS.

  3. Не задавать учеткам простые короткие пароли. Использовать LDAP/OpenID.

  4. Обязательно убедиться, что все пароли дефолтных и системных учеток в платформе были изменены на надежные. Речь об Admin, Editor и описанных тут https://visiology-doc.atlassian.net/wiki/pages/createpage.action?spaceKey=v25&title=%D0%A1%D0%BC%D0%B5%D0%BD%D0%B0%20%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D0%B5%D0%B9%20%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%BD%D1%8B%D1%85%20%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D0%B5%D0%BB%D0%B5%D0%B9

  5. При необходимости доступа с рабочих мест к базам PostgreSQL и MongoDB внутри компонентов платформы использовать только SSH тоннель. Описано тут: https://visiology-doc.atlassian.net/wiki/pages/createpage.action?spaceKey=v25&title=%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0%20%D0%BF%D0%BE%D0%B4%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%B8%D1%8F%20%D0%BA%20Postgres%20%D0%B8%20MongoDB%20%D0%BF%D0%BB%D0%B0%D1%82%D1%84%D0%BE%D1%80%D0%BC%D1%8B
    Имеет смысл разрешить только определенные IP адреса-источники для SSH. А лучше вообще только находясь в корпоративной сети.

  6. Стараться использовать последнюю актуальную версию платформы, которая включает множество актуальных обновлений, критичных для безопасности. Один из примеров – декабрьская история с Log4J (включено в 2.25).

  7. Обязательно заменить сертификат Identity Server: https://visiology-doc.atlassian.net/wiki/pages/createpage.action?spaceKey=v25&title=%D0%A1%D0%BE%D0%B7%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5%20%D0%B8%20%D0%B7%D0%B0%D0%BC%D0%B5%D0%BD%D0%B0%20%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82%D0%B0%20Identity%20Server