Рекомендуемые настройки информационной безопасности

Продукты
Все продукты

В статье приведены рекомендации по настройке информационной безопасности Creatio.

Единая политика паролей в организации 

Убедитесь, что настройки логина и пароля соответствуют политике безопасности компании. Вы можете использовать рекомендованные значения, если не определены точные требования.

Длина пароля. Рекомендуем использовать пароли, состоящие из 8 и более символов. Установить сложность пароля вы можете в системных настройках:

  • “Сложность пароля: Минимальная длина” (код “MinPasswordLength”);
  • “Сложность пароля: Минимальное количество символов нижнего регистра” (код “MinPasswordLowercaseCharCount”);
  • “Сложность пароля: Минимальное количество символов верхнего регистра” (код “MinPasswordUppercaseCharCount”);
  • “Сложность пароля: Минимальное количество цифр” (код “MinPasswordNumericCharCount”);
  • “Сложность пароля: Минимальное количество специальных символов” (код “MinPasswordSpecialCharCount”).

История изменения паролей. Creatio сравнивает новый пароль пользователя с ранее использованными, чтобы убедиться, что они не совпадают. Вы можете управлять количеством старых паролей, которые будут использоваться для сравнения с новым, в системной настройке “Количество анализируемых паролей” (код “PasswordHistoryRecordCount”).

Количество неуспешных попыток входа и время, по истечении которого учетная запись пользователя будет разблокирована. Рекомендуем настроить ограничение до 5 попыток неуспешного входа и срок ожидания 15 минут до автоматического разблокирования пользователя. Управление блокированием учетной записи пользователя осуществляется с помощью системных настроек:

  • “Количество попыток входа” (код “LoginAttemptCount”) — допустимое количество неудачных попыток ввода логина или пароля.
  • “Количество попыток входа до предупреждающего сообщения“ (код “LoginAttemptBeforeWarningCount”) — количество неудачных попыток ввода пароля, после которого система отобразит предупреждающее сообщение о том, сколько попыток осталось до блокирования пользователя.
  • “Время блокировки пользователя“ (код “UserLockoutDuration”) — время блокировки (в минутах) учетной записи пользователя после указанного количества неудачных попыток ввода логина или пароля.

Подробнее: Разблокировать учетную запись пользователя.

Сообщение о неуспешной попытке входа и предупреждение о возможности блокировки учетной записи. Рекомендуем использовать для сообщений универсальные формулировки, не зависящие от конкретной ошибки. Для этого убедитесь, что у следующих системных настроек не установлено значение по умолчанию:

  • “Отображать информацию о блокировке учетной записи при входе” (код “DisplayAccountLockoutMessageAtLogin”);
  • “Отображать информацию о неверном пароле при входе” (код “DisplayIncorrectPasswordMessageAtLogin”).

Время завершения сессии 

Задайте интервал бездействия пользователя в минутах, по истечении которого сессия будет закрыта, в системной настройке “Таймаут сеанса пользователя” (код “UserSessionTimeout”). Значение по умолчанию: “60”.

Протокол TLS для Creatio on-site 

В Creatio реализована поддержка протокола TLS 1.2. Использование устаревших версий протокола TLS 1.0 и 1.1 делает систему безопасности уязвимой.

Безопасные конфигурации HTML-заголовков для Creatio on-site 

Защитите ваш браузер от уязвимостей, которые можно предотвратить. Для этого включите следующие заголовки, которые соответствуют OWASP Secure Headers Project (открытый проект обеспечения безопасности веб-приложений):

HTTP Strict Transport Security (HSTS). Включите заголовок Strict-Transport-Security и установите срок хранения параметра в памяти браузера, равный одному году:

Strict-Transport-Security: max-age=3153600

Защита от кликджекинга (сlickjacking). Включите заголовок X-Frame-Options и разрешите встраивание веб-страниц только на тех же адресах, что и у вашего приложения Creatio:

X-Frame-Options: sameorigin

Защита от атак межсайтового скриптинга (XSS). Включите заголовок X-Frame-Options и установите блокировку попыток XSS-атак:

X-XSS-Protection: 1; mode=block

Защита от MIME-сниффинга (MIME-sniffing). Включите заголовок X-Content-Type-Options и установите режим “nosniff”. Этот режим предотвращает попытку браузера переопределить тип контента ресурса, если он отличается от объявленного типа контента:

X-Content-Type-Options: nosniff

Политика реферера (Referrer Policy). Включите заголовок Referrer-Policy и установите значение “origin-when-cross-origin”. Этот заголовок определяет объем информации о реферере (отправляется с заголовком “Referer”), который будет включен в запросы:

Referrer-Policy: origin-when-cross-origin

Важно. Перед тем как применить настроки политики безопасности контента, проверьте, какие интеграции уже используются или запланированы для добавления в вашем браузере, например, CTI коннекторы. Добавьте соответствующие домены в список политики безопасности контента (Content Security Policy list). Иначе интеграции перестанут работать.

Политика безопасности контента. Включите заголовок Content Security Policy и настройте его следующим образом:

Content-Security-Policy: default-src 'self'; script-src 'unsafe-inline' 'unsafe-eval'; script-src-elem 'self' 'unsafe-inline'; style-src 'unsafe-inline'; style-src-elem 'self' 'unsafe-inline'; child-src 'self' *.creatio.com; img-src 'self' data: *.tile.openstreetmap.org; font-src 'self' data:; connect-src 'self' *.creatio.com; frame-ancestors 'self'; form-action 'self'; object-src 'none'

Ответы на запросы для Creatio on-site 

Ограничьте количество и тип информации, доступной в ответах на запросы. Для этого измените файл Web.config file в корневом каталоге Creatio следующим образом:

Отключите X-Powered-By.

<system.webServer> <httpProtocol> <customHeaders> <remove name="X-Powered-By" /> </customHeaders> </httpProtocol> </system.webServer>

Отключите X-AspNet-Version.

<httpRuntime enableVersionHeader="false" />

Отключите Server Header (доступно для IIS версии 10 и выше).

<system.webServer> <security> <requestFiltering removeServerHeader ="true" /> </security> </system.webServer>

Настройка Redis для Creatio on-site 

Рекомендуем использовать комбинацию из стабильной версии Debian и актуальной версии Redis.

Кроме того, рекомендуем защитить доступ к Redis паролем. Для этого внесите изменения в конфигурационные файлы Redis и Creatio.

Для простой конфигурации Redis:

  1. В конфигурационный файл Redis redis.conf добавьте строку:

    requirepass ${redis_password}

  2. В конфигурационный файл Creatio ConnectionStrings.config добавьте строку:

    ${redis_password} host=${master_ip};port=${master_port};db=;password=${redis_password}

Для конфигурации Redis Cluster:

  1. В конфигурационный файл redis.conf к каждому экземпляру (node) добавьте строки:

    requirepass ${redis_password} masterauth ${redis_password}

  2. В конфигурационный файл Creatio ConnectionStrings.config добавьте строку:

    clusterHosts={node1_ip}:{node1_port},{node2_ip}:{node2_port},{node3_ip}:{node3_port},{node4_ip}:{node4_port},{node5_ip}:{node5_port},{node6_ip}:{node6_port};password=${redis_password}
Смотрите также
Управление системными настройками
Настроить Web.config