Identificación y disminución de los riesgos de seguridad
2 Tareas
20 minutos
Escenario
Próximamente, se pondrá en marcha la aplicación de reservas de Front Stage. Antes de enviar la aplicación a la etapa de producción, es necesario realizar una revisión de seguridad. Es necesario revisar los riesgos de seguridad que se detecten.
Revise la seguridad de la aplicación de reservas de Front Stage usando la lista de verificación de seguridad. Haga recomendaciones para mejorar la seguridad de la aplicación.
Algunos cambios se pueden implementar directamente en el entorno de desarrollo, mientras que otros se configuran una vez que se envía la aplicación al entorno de producción. Cree una lista de tareas de configuración que deben llevarse a cabo cuando la aplicación se envíe a otros entornos para realizar los cambios que no pueden implementarse en el entorno de desarrollo.
Tareas detalladas
1 Tareas que se deben realizar en el entorno de desarrollo
- Desactive los operadores listos para usar que no sean necesarios.
- Cambie las contraseñas de los operadores listos para usar.
- Solucione los problemas que el analizador de seguridad haya detectado.
- Solucione los problemas de seguridad en el reporte de contención.
- Asegúrese de que los tiempos de espera estén configurados en el nivel del servidor de aplicaciones, el nivel de los solicitantes y el nivel de los grupos de acceso con una duración adecuada.
- Asegúrese de que el grupo de acceso no autenticado tenga el acceso mínimo requerido para las reglas.
- Agregue la configuración
- En cada versión del ruleset, en la pestaña Security (Seguridad) , seleccione Lock this Version (Bloquear esta versión) e introduzca una contraseña.
- En cada regla del ruleset, en la pestaña Security , seleccione Use checkout? (Usar comprobación) e introduzca tres contraseñas distintas para limitar la capacidad de agregar versiones, actualizar versiones y actualizar la regla del ruleset en sí.
- Aplique el tipo correcto para todas las propiedades.
- Aplique los privilegios en todas las reglas relevantes (acciones de flujo, reportes, flujos).
- Revise el grupo de acceso no autenticado para asegurarse de que tenga el acceso mínimo requerido para las reglas.
2 Tareas que se deben realizar fuera del entorno de desarrollo
- Actualice la configuración de prconfig.
- Actualice la configuración dinámica del sistema.
- Elimine los recursos o servlets innecesarios del archivo web.xml y cambie el nombre de los servlets predeterminados si corresponde, especialmente PRServlet.
- Si se usa https, asegúrese de que los entornos de pruebas estén disponibles para hacer una prueba con SSL habilitado.
- Asegúrese de que el sistema se haya configurado usando un enfoque de grupo de conexiones JDBC a través del servidor de aplicaciones, en lugar de configurar la base de datos en el archivo prconfig.xml.
- Cambie el nombre del archivo prhelp.war e impleméntelo una vez por entorno (potencialmente en su propio nodo para evitar que se pueda recoger la URL de extremo desde la ventana emergente).
- Cambie el nombre del archivo prweb.war y vuelva a implementarlo en cada nodo.
Disponible en la siguiente misión:
¿Quiere ayudarnos a mejorar este contenido?