Рекомендации по безопасности
- Юсеф Бенариеб (Unlicensed)
Analytics
Тип статьи | Полезное знание |
|---|---|
Компетенции | Администратор |
Версия платформы | 2.25 |
Статус | бета |
Сложность | средне |
Полезные ссылки |
|
Дополнительные сведения |
|
В целях повышения безопасности рекомендуется учесть пункты ниже. Некоторые из их критичны и обязательны, например, смена дефолтных паролей и сертификата. Актуально в первую очередь для стендов с доступом из сети Интернет.
Извне для работы в платформе должны быт открыты только порты 80/443, http/https. Если на сервере открыто что-то еще, то имеет смысл убедиться у ответственных коллег, что это действительно нужно, а не осталось забытым со времен какой-то наладки.
Конечно, использовать HTTPS.
Не задавать учеткам простые короткие пароли. Использовать LDAP/OpenID.
Обязательно убедиться, что все пароли дефолтных и системных учеток в платформе были изменены на надежные. Речь об Admin, Editor и описанных тут https://visiology-doc.atlassian.net/wiki/pages/createpage.action?spaceKey=v25&title=%D0%A1%D0%BC%D0%B5%D0%BD%D0%B0%20%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D0%B5%D0%B9%20%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%BD%D1%8B%D1%85%20%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D0%B5%D0%BB%D0%B5%D0%B9
При необходимости доступа с рабочих мест к базам PostgreSQL и MongoDB внутри компонентов платформы использовать только SSH тоннель. Описано тут: https://visiology-doc.atlassian.net/wiki/pages/createpage.action?spaceKey=v25&title=%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0%20%D0%BF%D0%BE%D0%B4%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%B8%D1%8F%20%D0%BA%20Postgres%20%D0%B8%20MongoDB%20%D0%BF%D0%BB%D0%B0%D1%82%D1%84%D0%BE%D1%80%D0%BC%D1%8B
Имеет смысл разрешить только определенные IP адреса-источники для SSH. А лучше вообще только находясь в корпоративной сети.Стараться использовать последнюю актуальную версию платформы, которая включает множество актуальных обновлений, критичных для безопасности. Один из примеров – декабрьская история с Log4J (включено в 2.25).
Обязательно заменить сертификат Identity Server: https://visiology-doc.atlassian.net/wiki/pages/createpage.action?spaceKey=v25&title=%D0%A1%D0%BE%D0%B7%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5%20%D0%B8%20%D0%B7%D0%B0%D0%BC%D0%B5%D0%BD%D0%B0%20%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82%D0%B0%20Identity%20Server