Skip to main content

Identificación y disminución de los riesgos de seguridad

2 Tareas

20 minutos

 Visible to: All users
Avanzado Pega Platform 8.6 Español

Escenario

Próximamente, se pondrá en marcha la aplicación de reservas de Front Stage. Antes de enviar la aplicación a la etapa de producción, es necesario realizar una revisión de seguridad. Es necesario revisar los riesgos de seguridad que se detecten.

Revise la seguridad de la aplicación de reservas de Front Stage usando la lista de verificación de seguridad. Haga recomendaciones para mejorar la seguridad de la aplicación.

Algunos cambios se pueden implementar directamente en el entorno de desarrollo, mientras que otros se configuran una vez que se envía la aplicación al entorno de producción. Cree una lista de tareas de configuración que deben llevarse a cabo cuando la aplicación se envíe a otros entornos para realizar los cambios que no pueden implementarse en el entorno de desarrollo.

Debe iniciar su propia instancia de Pega para completar este Título del desafío.

La inicialización puede demorar hasta 5 minutos. Le pedimos que tenga paciencia.

Tareas detalladas

1 Tareas que se deben realizar en el entorno de desarrollo

  1. Desactive los operadores listos para usar que no sean necesarios.
  2. Cambie las contraseñas de los operadores listos para usar.
  3. Solucione los problemas que el analizador de seguridad haya detectado.
  4. Solucione los problemas de seguridad en el reporte de contención.
  5. Asegúrese de que los tiempos de espera estén configurados en el nivel del servidor de aplicaciones, el nivel de los solicitantes y el nivel de los grupos de acceso con una duración adecuada.
  6. Asegúrese de que el grupo de acceso no autenticado tenga el acceso mínimo requerido para las reglas.
  7. Agregue la configuración  al archivo prconfig.xml para garantizar que los valores de propiedad importantes, como los números de cuenta de los clientes o los números del seguro social, no aparezcan en el registro de alertas.
  8. En cada versión del ruleset, en la pestaña Security (Seguridad) , seleccione  Lock this Version (Bloquear esta versión) e introduzca una contraseña.
  9. En cada regla del ruleset, en la pestaña Security , seleccione Use checkout? (Usar comprobación) e introduzca tres contraseñas distintas para limitar la capacidad de agregar versiones, actualizar versiones y actualizar la regla del ruleset en sí.
  10. Aplique el tipo correcto para todas las propiedades.
  11. Aplique los privilegios en todas las reglas relevantes (acciones de flujo, reportes, flujos).
  12. Revise el grupo de acceso no autenticado para asegurarse de que tenga el acceso mínimo requerido para las reglas.

2 Tareas que se deben realizar fuera del entorno de desarrollo

  1. Actualice la configuración de prconfig.
  2. Actualice la configuración dinámica del sistema.
  3. Elimine los recursos o servlets innecesarios del archivo web.xml y cambie el nombre de los servlets predeterminados si corresponde, especialmente PRServlet.
  4. Si se usa https, asegúrese de que los entornos de pruebas estén disponibles para hacer una prueba con SSL habilitado.
  5. Asegúrese de que el sistema se haya configurado usando un enfoque de grupo de conexiones JDBC a través del servidor de aplicaciones, en lugar de configurar la base de datos en el archivo prconfig.xml.
  6. Cambie el nombre del archivo prhelp.war e impleméntelo una vez por entorno (potencialmente en su propio nodo para evitar que se pueda recoger la URL de extremo desde la ventana emergente).
  7. Cambie el nombre del archivo prweb.war y vuelva a implementarlo en cada nodo.

Disponible en la siguiente misión:

Regresar a la misión
If you are having problems with your training, please review the Pega Academy Support FAQs.

¿Le ha resultado útil este contenido?
No

¿Quiere ayudarnos a mejorar este contenido?
Sugerir una edición

We'd prefer it if you saw us at our best.

Pega Academy has detected you are using a browser which may prevent you from experiencing the site as intended. To improve your experience, please update your browser.

Close Deprecation Notice