Рекомендуемые настройки информационной безопасности

PDF
Продукты
Все продукты

В статье приведены рекомендации по настройке информационной безопасности Creatio.

Единая политика паролей в организации 

Убедитесь, что настройки логина и пароля соответствуют политике безопасности компании. Вы можете использовать рекомендованные значения, если не определены точные требования.

Длина пароля. Рекомендуем использовать пароли, состоящие из 8 и более символов. Установить сложность пароля вы можете в системных настройках:

  • “Сложность пароля: Минимальная длина” (код “MinPasswordLength”);
  • “Сложность пароля: Минимальное количество символов нижнего регистра” (код “MinPasswordLowercaseCharCount”);
  • “Сложность пароля: Минимальное количество символов верхнего регистра” (код “MinPasswordUppercaseCharCount”);
  • “Сложность пароля: Минимальное количество цифр” (код “MinPasswordNumericCharCount”);
  • “Сложность пароля: Минимальное количество специальных символов” (код “MinPasswordSpecialCharCount”).

История изменения паролей. Creatio сравнивает новый пароль пользователя с ранее использованными, чтобы убедиться, что они не совпадают. Вы можете управлять количеством старых паролей, которые будут использоваться для сравнения с новым, в системной настройке “Количество анализируемых паролей” (код “PasswordHistoryRecordCount”).

Количество неуспешных попыток входа и время, по истечении которого учетная запись пользователя будет разблокирована. Рекомендуем настроить ограничение до 5 попыток неуспешного входа и срок ожидания 15 минут до автоматического разблокирования пользователя. Управление блокированием учетной записи пользователя осуществляется с помощью системных настроек:

  • “Количество попыток входа” (код “LoginAttemptCount”) — допустимое количество неудачных попыток ввода логина или пароля.
  • “Количество попыток входа до предупреждающего сообщения“ (код “LoginAttemptBeforeWarningCount”) — количество неудачных попыток ввода пароля, после которого система отобразит предупреждающее сообщение о том, сколько попыток осталось до блокирования пользователя.
  • “Время блокировки пользователя“ (код “UserLockoutDuration”) — время блокировки (в минутах) учетной записи пользователя после указанного количества неудачных попыток ввода логина или пароля.

Подробнее: Разблокировать учетную запись пользователя.

Сообщение о неуспешной попытке входа и предупреждение о возможности блокировки учетной записи. Рекомендуем использовать для сообщений универсальные формулировки, не зависящие от конкретной ошибки. Для этого убедитесь, что у следующих системных настроек установлено значение “false” (признак снят):

  • “Отображать информацию о блокировке учетной записи при входе” (код “DisplayAccountLockoutMessageAtLogin”);
  • “Отображать информацию о неверном пароле при входе” (код “DisplayIncorrectPasswordMessageAtLogin”).

Время завершения сессии 

Задайте интервал бездействия пользователя в минутах, по истечении которого сессия будет закрыта, в системной настройке “Таймаут сеанса пользователя” (код “UserSessionTimeout”). Значение по умолчанию: “60”.

Рекомендуемые настройки протокола TLS для сайтов Creatio и интеграций 

В Creatio реализована поддержка протокола TLS 1.2. Рекомендуется использовать следующие безопасные комплекты шифров TLS:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384;
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256;
  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256;
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384;
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256;
  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256;
  • TLS_DHE_RSA_WITH_AES_256_CCM;
  • TLS_DHE_RSA_WITH_AES_128_CCM.

Следующая функциональность считается устаревшей, несущей риск для безопасности и не рекомендуется к использованию:

  • Протоколы TLS 1.0/1.1;
  • Шифры DES, 3DES/TDEA, RC2, RC4;
  • Режим шифрования CBC;
  • Алгоритм хэширования MD5;
  • Обмен ключами DH (TLS_DH_*).

Подробнее (на английском языке): NSA Releases Guidance on Eliminating Obsolete TLS Protocol Configurations, Decision to Revise NIST SP 800-38A, Recommendation for Block Cipher Modes of Operation: Methods and Techniques, Deprecating Obsolete Key Exchange Methods in TLS 1.2.

Безопасные конфигурации HTML-заголовков для Creatio on-site 

Защитите ваш браузер от уязвимостей, которые можно предотвратить. Для этого включите следующие заголовки, которые соответствуют OWASP Secure Headers Project (открытый проект обеспечения безопасности веб-приложений):

HTTP Strict Transport Security (HSTS). Включите заголовок Strict-Transport-Security и установите срок хранения параметра в памяти браузера, равный одному году:

Strict-Transport-Security: max-age=3153600

Защита от кликджекинга (сlickjacking). Включите заголовок X-Frame-Options и разрешите встраивание веб-страниц только на тех же адресах, что и у вашего приложения Creatio:

X-Frame-Options: sameorigin

Защита от атак межсайтового скриптинга (XSS). Включите заголовок X-XSS-Protection и установите блокировку попыток XSS-атак:

X-XSS-Protection: 1; mode=block

Защита от MIME-сниффинга (MIME-sniffing). Включите заголовок X-Content-Type-Options и установите режим “nosniff”. Этот режим предотвращает попытку браузера переопределить тип контента ресурса, если он отличается от объявленного типа контента:

X-Content-Type-Options: nosniff

Политика реферера (Referrer Policy). Включите заголовок Referrer-Policy и установите значение “origin-when-cross-origin”. Этот заголовок определяет объем информации о реферере (отправляется с заголовком “Referer”), который будет включен в запросы:

Referrer-Policy: origin-when-cross-origin

Важно. Перед тем как применить настройки политики безопасности контента, проверьте, какие интеграции уже используются или запланированы для добавления в вашем браузере, например, CTI коннекторы. Добавьте соответствующие домены в список политики безопасности контента (Content Security Policy list). Иначе интеграции перестанут работать.

Политика безопасности контента. Включите заголовок Content Security Policy и настройте его следующим образом:

Content-Security-Policy: default-src 'self'; script-src 'unsafe-inline' 'unsafe-eval'; script-src-elem 'self' 'unsafe-inline'; style-src 'unsafe-inline'; style-src-elem 'self' 'unsafe-inline'; child-src 'self' *.creatio.com; img-src 'self' data: *.tile.openstreetmap.org; font-src 'self' data:; connect-src 'self' *.creatio.com; frame-ancestors 'self'; form-action 'self'; object-src 'none'

Ответы на запросы для Creatio on-site 

Ограничьте количество и тип информации, доступной в ответах на запросы. Для этого измените файл Web.config в корневом каталоге Creatio:

  1. Отключите X-Powered-By.

    <system.webServer> 
        <httpProtocol> 
            <customHeaders> 
                <remove name="X-Powered-By" /> 
            </customHeaders>
        </httpProtocol>
    </system.webServer>
  2. Отключите X-AspNet-Version. Для этого выполните изменения во всех секциях httpRuntime файлов Web.config в корневой папке приложения и в папке Terrasoft.WebApp.

    <httpRuntime enableVersionHeader="false" />
    
  3. Отключите Server Header (доступно для IIS версии 10 и выше).

    <system.webServer>
        <security>
            <requestFiltering removeServerHeader ="true" />
        </security>
    </system.webServer>

Настройка Redis для Creatio on-site 

Рекомендуем использовать комбинацию из стабильной версии Debian и актуальной версии Redis.

Кроме того, рекомендуем использовать авторизованный доступ к серверу Redis.

  • Для версии 8.0.1 и ниже используйте авторизацию по паролю сервера Redis.
  • Для версии 8.0.2 и выше используйте любой способ авторизации на сервере Redis.

Подробнее: Настроить безопасное подключение к Redis.