В статье приведены рекомендации по настройке информационной безопасности Creatio.
Единая политика паролей в организации
Убедитесь, что настройки логина и пароля соответствуют политике безопасности компании. Вы можете использовать рекомендованные значения, если не определены точные требования.
Длина пароля. Рекомендуем использовать пароли, состоящие из 8 и более символов. Установить сложность пароля вы можете в системных настройках:
- “Сложность пароля: Минимальная длина” (код “MinPasswordLength”);
- “Сложность пароля: Минимальное количество символов нижнего регистра” (код “MinPasswordLowercaseCharCount”);
- “Сложность пароля: Минимальное количество символов верхнего регистра” (код “MinPasswordUppercaseCharCount”);
- “Сложность пароля: Минимальное количество цифр” (код “MinPasswordNumericCharCount”);
- “Сложность пароля: Минимальное количество специальных символов” (код “MinPasswordSpecialCharCount”).
История изменения паролей. Creatio сравнивает новый пароль пользователя с ранее использованными, чтобы убедиться, что они не совпадают. Вы можете управлять количеством старых паролей, которые будут использоваться для сравнения с новым, в системной настройке “Количество анализируемых паролей” (код “PasswordHistoryRecordCount”).
Количество неуспешных попыток входа и время, по истечении которого учетная запись пользователя будет разблокирована. Рекомендуем настроить ограничение до 5 попыток неуспешного входа и срок ожидания 15 минут до автоматического разблокирования пользователя. Управление блокированием учетной записи пользователя осуществляется с помощью системных настроек:
- “Количество попыток входа” (код “LoginAttemptCount”) — допустимое количество неудачных попыток ввода логина или пароля.
- “Количество попыток входа до предупреждающего сообщения“ (код “LoginAttemptBeforeWarningCount”) — количество неудачных попыток ввода пароля, после которого система отобразит предупреждающее сообщение о том, сколько попыток осталось до блокирования пользователя.
- “Время блокировки пользователя“ (код “UserLockoutDuration”) — время блокировки (в минутах) учетной записи пользователя после указанного количества неудачных попыток ввода логина или пароля.
Подробнее: Разблокировать учетную запись пользователя.
Сообщение о неуспешной попытке входа и предупреждение о возможности блокировки учетной записи. Рекомендуем использовать для сообщений универсальные формулировки, не зависящие от конкретной ошибки. Для этого убедитесь, что у следующих системных настроек установлено значение “false” (признак снят):
- “Отображать информацию о блокировке учетной записи при входе” (код “DisplayAccountLockoutMessageAtLogin”);
- “Отображать информацию о неверном пароле при входе” (код “DisplayIncorrectPasswordMessageAtLogin”).
Время завершения сессии
Задайте интервал бездействия пользователя в минутах, по истечении которого сессия будет закрыта, в системной настройке “Таймаут сеанса пользователя” (код “UserSessionTimeout”). Значение по умолчанию: “60”.
Рекомендуемые настройки протокола TLS для сайтов Creatio и интеграций
В Creatio реализована поддержка протокола TLS 1.2. Рекомендуется использовать следующие безопасные комплекты шифров TLS:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384;
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256;
- TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256;
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384;
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256;
- TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256;
- TLS_DHE_RSA_WITH_AES_256_CCM;
- TLS_DHE_RSA_WITH_AES_128_CCM.
Следующая функциональность считается устаревшей, несущей риск для безопасности и не рекомендуется к использованию:
- Протоколы TLS 1.0/1.1;
- Шифры DES, 3DES/TDEA, RC2, RC4;
- Режим шифрования CBC;
- Алгоритм хэширования MD5;
- Обмен ключами DH (TLS_DH_*).
Подробнее (на английском языке): NSA Releases Guidance on Eliminating Obsolete TLS Protocol Configurations, Decision to Revise NIST SP 800-38A, Recommendation for Block Cipher Modes of Operation: Methods and Techniques, Deprecating Obsolete Key Exchange Methods in TLS 1.2.
Безопасные конфигурации HTML-заголовков для Creatio on-site
Защитите ваш браузер от уязвимостей, которые можно предотвратить. Для этого включите следующие заголовки, которые соответствуют OWASP Secure Headers Project (открытый проект обеспечения безопасности веб-приложений):
HTTP Strict Transport Security (HSTS). Включите заголовок Strict-Transport-Security и установите срок хранения параметра в памяти браузера, равный одному году:
Защита от кликджекинга (сlickjacking). Включите заголовок X-Frame-Options и разрешите встраивание веб-страниц только на тех же адресах, что и у вашего приложения Creatio:
Защита от атак межсайтового скриптинга (XSS). Включите заголовок X-XSS-Protection и установите блокировку попыток XSS-атак:
Защита от MIME-сниффинга (MIME-sniffing). Включите заголовок X-Content-Type-Options и установите режим “nosniff”. Этот режим предотвращает попытку браузера переопределить тип контента ресурса, если он отличается от объявленного типа контента:
Политика реферера (Referrer Policy). Включите заголовок Referrer-Policy и установите значение “origin-when-cross-origin”. Этот заголовок определяет объем информации о реферере (отправляется с заголовком “Referer”), который будет включен в запросы:
Политика безопасности контента. Включите заголовок Content Security Policy и настройте его следующим образом:
Ответы на запросы для Creatio on-site
Ограничьте количество и тип информации, доступной в ответах на запросы. Для этого измените файл Web.config в корневом каталоге Creatio:
-
Отключите X-Powered-By.
-
Отключите X-AspNet-Version. Для этого выполните изменения во всех секциях httpRuntime файлов Web.config в корневой папке приложения и в папке Terrasoft.WebApp.
-
Отключите Server Header (доступно для IIS версии 10 и выше).
Настройка Redis для Creatio on-site
Рекомендуем использовать комбинацию из стабильной версии Debian и актуальной версии Redis.
Кроме того, рекомендуем использовать авторизованный доступ к серверу Redis.
- Для версии 8.0.1 и ниже используйте авторизацию по паролю сервера Redis.
- Для версии 8.0.2 и выше используйте любой способ авторизации на сервере Redis.
Подробнее: Настроить безопасное подключение к Redis.