Skip to main content

Protezione avanzata di Server

La protezione avanzata di Server è la pratica utilizzata per modificare la configurazione dei server a livello di rete, sistema operativo e applicazione per ridurre al minimo la superficie di attacco e massimizzare la resistenza ai tentativi di penetrazione. Segui questi consigli per proteggere la rete e il sistema operativo:

  • Installa la versione e la patch più recenti di Server.

  • Configura Server per il funzionamento HTTPS utilizzando un certificato X.509 (TLS/SSL) firmato CA. Per maggiori informazioni, consulta la pagina Configurazione di SSL/TLS per Server .

  • Rafforzare e proteggi il sistema operativo e il database.

Per ulteriori informazioni, vai alla pagina di assistenza Gestione di utenti e gruppi .

Segui questi consigli per proteggere l'applicazione:

  • Rivedi le procedure di protezione avanzata della configurazione delle applicazioni Web riportate di seguito e applica quelle pertinenti all'ambiente e alle policy aziendali.

  • Rivedi le procedure di protezione avanzata dell'amministrazione di Server riportate di seguito e applica quelle pertinenti all'ambiente e alle policy aziendali.

Account anonimi e guest

È possibile gestire account anonimi e guest tramite le impostazioni Amministratore. Si consiglia di seguire queste istruzioni:

  • Disabilita la registrazione utente. Abilita l'accesso tramite autenticazione Windows (IWA) o crea account come Amministratore

  • Valuta se gli utenti non registrati saranno in grado di eseguire i flussi di lavoro della Gallery pubblica.

Per ulteriori informazioni, vai alla pagina di assistenza Gestione di utenti e gruppi .

Procedure di protezione avanzata dell'amministrazione di Server

Queste impostazioni controllano il comportamento di vari aspetti della funzionalità di Server correlati alle autorizzazioni e ad altre opzioni che possono influire sul comportamento di protezione generale dell'applicazione.

L'impostazione Modalità di esecuzione Gallery può fornire controlli di sicurezza avanzati sull'esecuzione del flusso di lavoro di azioni potenzialmente dannose. Per impostazione predefinita, la Modalità di esecuzione Gallery è impostata su Senza restrizioni , il che significa che non vi sono restrizioni e che è possibile eseguire qualsiasi flusso di lavoro. La configurazione di questa impostazione su Semi sicura o Sicura protegge ulteriormente l'ambiente di Server impedendo ai flussi di lavoro di leggere o scrivere dati in una posizione che non si trova all'interno della directory di staging del flusso di lavoro o di eseguire flussi di lavoro contenenti strumenti con restrizioni. Si tratta di un'impostazione globale che si applica all'intero ambiente di Server, ma gli amministratori possono sostituirla con eccezioni a livello di singolo flusso di lavoro. Per ulteriori informazioni sulla Modalità di esecuzione Gallery, vai alla pagina di assistenza Interfaccia utente di Server .

Nella pagina Impostazioni sono disponibili diverse impostazioni, accessibili agli utenti che hanno effettuato l'accesso a Server con privilegi di amministratore (Profilo > Amministratore). Nella sezione Impostazioni utente :

  • Imposta il menu a discesa Ruolo predefinito su "Nessun accesso" per impedire che gli utenti che possono accedere in virtù di un sistema di autenticazione esterno (SSO SAML o Autenticazione integrata di Windows) abbiano accesso predefinito a visualizzazioni o esecuzioni all'interno di Server. (Gli utenti devono ricevere autorizzazioni esplicite in base a criteri che vanno oltre la semplice presenza nel dominio di autenticazione esterno).

  • Disabilita il pulsante di selezione Gli utenti possono registrarsi per impedire agli utenti non registrati di effettuare la registrazione di nuovi account (solo per l'autenticazione incorporata; Server non può aggiungere account a un sistema di autenticazione esterno).

  • Disabilita il pulsante di selezione Gli utenti non registrati possono eseguire flussi di lavoro pubblici sulla homepage per impedire ai client anonimi di eseguire flussi di lavoro pubblicati nella homepage.

Login Timeout

As of 22.1 you can configure login attempt timeouts by setting the Enforce Login Attempt Timeout switch (Admin > Settings > Configuration > Security Settings > Enforce Login Attempt Timeout).

Il processo di assegnazione dei diritti utente è gestito dal team di amministrazione di ciascun cliente.

I ruoli includono Visualizzatore, Creatore e Amministratore. Per ulteriori informazioni su ruoli e autorizzazioni, vai alla pagina di assistenza Ruoli utente e autorizzazioni .

Sicurezza tra Server e livello di persistenza (MongoDB)

Le connessioni tra Server e MongoDB sono protette dalle seguenti misure:

  • Le connessioni passano attraverso il driver client Mongo (per impostazione predefinita, il traffico non viene crittografato).

  • Enterprise Mongo supporta TLS/SSL (vedi https://docs.mongodb.com/v3.0/core/security-transport-encryption/ ) ma queste connessioni non sono supportate nell'opzione MongoDB integrato fornita con Server.

  • Se sono necessarie connessioni al database crittografate, prendi in considerazione la possibilità di passare a Mongo gestito dall'utente con un'installazione Enterprise Mongo o la soluzione SaaS MongoDB Atlas.

    È inoltre possibile installare l'inoltro della connessione SSH o una connessione VPN tra i componenti di Alteryx Server e il server del database; questa operazione non rientra nell'ambito di questa Guida.

Attacchi POODLE

Alteryx Designer e Server supportano TLS 1.2 dalla release 11.5. Assicurati che i protocolli vulnerabili siano disabilitati in Schannel se gli attacchi POODLE costituiscono un problema.

Procedure di protezione avanzata della configurazione delle applicazioni Web

Queste impostazioni influiscono sul modo in cui l'interfaccia grafica front-end di Server interagisce con i client HTTP/S sul cavo.

L'installazione predefinita di Server utilizza HTTP (non crittografato) per semplificare l'installazione e la configurazione. Si consiglia di implementare certificati X.509 e di abilitare SSL/TLS per Server (HTTPS) per crittografare la comunicazione tra i client e il server. Ciò conferma l'identità di Server e salvaguardia l'integrità e la riservatezza delle sessioni degli utenti. Dovrai creare una richiesta di certificato X.509 (specificando qualsiasi nome host in stile FQDN che i client utilizzeranno per eseguire la ricerca all'interno di Server) e farla firmare da un'autorità di certificazione attendibile dell'organizzazione. Per la procedura necessaria, consulta la pagina Configurazione di SSL/TLS per Server .

L'intestazione della richiesta HTTP "Host" viene inviata da un client HTTP e contiene il nome host Internet e il numero di porta a cui il client ha tentato di connettersi.

Se hai eseguito l'accesso a Server come amministratore, puoi specificare gli host che Server può servire nel campo Host consentiti , disponibile in Amministratore > Impostazioni > Configurazione , nella sezione Sicurezza .

Utilizza questa funzione come misura di sicurezza per prevenire gli attacchi attraverso l'intestazione host HTTP. Immetti i nomi di dominio completi ( host.dominio ) uno per riga. Per ulteriori informazioni, vai alla pagina di assistenza Impostazioni di Alteryx Server .

Le intestazioni di risposta HTTP vengono inviate da Server quando risponde alle richieste. È possibile impostare intestazioni personalizzate o modificare i valori predefiniti di Server per le intestazioni esistenti aggiungendo strofe alla sezione <httpHeaders> di %ProgramFiles%\Alteryx\bin\server\config\alteryx.config.

Di seguito è riportato il set di intestazioni utilizzate internamente per proteggere ulteriormente Server per i test di penetrazione periodici (parte del nostro SDLC). Potrebbero non essere compatibili con tutti i client. A seconda delle esigenze e delle policy dell'organizzazione, è possibile aggiornare o personalizzare alcuni valori per il tuo ambiente.

<httpHeaders>
    <header name="Cache-Control" value="no-store; max-age=0" />
    <header name="Strict-Transport-Security" value="max-age=31536000; 
includeSubDomains" />
    <header name="X-Content-Type-Options" value="nosniff" />
    <header name="Content-Security-Policy" value="default-src 'self'; 
img-src 'self' data:; font-src 'self' data:; script-src 'self' 'unsafe-eval' 'unsafe-inline'; 
style-src 'self' 'unsafe-inline'; frame-ancestors 'self'; form-action 'self'" />
    <header name="Access-Control-Allow-Origin" value="https://server.domain.tld" />
    <header name="Vary" value="Origin" />
    <header name="Referrer-Policy" value="no-referrer; strict-origin-when-cross-origin" />
</httpHeaders>