Рекомендации по безопасности

Тип статьи

Полезное знание

Компетенции

Администратор

Версия платформы

2.25

Статус

бета

Сложность

средне

Полезные ссылки

Дополнительные сведения

 


В целях повышения безопасности рекомендуется учесть пункты ниже. Некоторые из их критичны и обязательны, например, смена дефолтных паролей и сертификата. Актуально в первую очередь для стендов с доступом из сети Интернет.

  1. Извне для работы в платформе должны быт открыты только порты 80/443, http/https. Если на сервере открыто что-то еще, то имеет смысл убедиться у ответственных коллег, что это действительно нужно, а не осталось забытым со времен какой-то наладки.

  2. Конечно, использовать HTTPS.

  3. Не задавать учеткам простые короткие пароли. Использовать LDAP/OpenID.

  4. Обязательно убедиться, что все пароли дефолтных и системных учеток в платформе были изменены на надежные. Речь об Admin, Editor и описанных тут https://visiology.atlassian.net/wiki/spaces/v25/pages/37536582326

  5. При необходимости доступа с рабочих мест к базам PostgreSQL и MongoDB внутри компонентов платформы использовать только SSH тоннель. Описано тут: https://visiology.atlassian.net/wiki/spaces/v25/pages/37536586405
    Имеет смысл разрешить только определенные IP адреса-источники для SSH. А лучше вообще только находясь в корпоративной сети.

  6. Стараться использовать последнюю актуальную версию платформы, которая включает множество актуальных обновлений, критичных для безопасности. Один из примеров – декабрьская история с Log4J (включено в 2.25).

  7. Обязательно заменить сертификат Identity Server: https://visiology.atlassian.net/wiki/spaces/v25/pages/37536580918