Server-Härtung
Bei der Server-Härtung wird die Server-Konfiguration auf Netzwerk-, Betriebssystem- und Anwendungsebene geändert, um die Angriffsfläche zu minimieren und die Widerstandsfähigkeit gegen Penetrationsversuche zu maximieren. Befolgen Sie diese Empfehlungen, um Netzwerk und Betriebssystem zu sichern:
Installieren Sie die neueste Version und den neuesten Patch von Server.
Konfigurieren Sie Server für den HTTPS-Betrieb mit einem von der Zertifizierungsstelle (CA) signierten X.509 (TLS/SSL)-Zertifikat. Weitere Informationen finden Sie unter SSL/TLS für Server konfigurieren .
Härten und sichern Sie das Betriebssystem und die Datenbank.
Weitere Informationen finden Sie auf der Hilfeseite Benutzer- und Gruppenverwaltung .
Befolgen Sie diese Empfehlungen zur Sicherung der Anwendung:
Prüfen Sie die unten aufgeführten Verfahren zur Härtung der Konfiguration der Webanwendung und wenden Sie alle für Ihre Umgebung und Unternehmensrichtlinien relevanten Verfahren an.
Prüfen Sie die unten aufgeführten Verfahren zur Härtung der Server-Verwaltung und wenden Sie alle für Ihre Umgebung und Unternehmensrichtlinien relevanten Verfahren an.
Anonyme Konten und Gastkonten
Sie können anonyme Konten und Gastkonten über Admin-Einstellungen verwalten. Wir empfehlen Ihnen, diese Anweisungen zu befolgen:
Deaktivieren Sie die Benutzerregistrierung. Aktivieren Sie entweder den Zugriff über die Integrierte Windows-Authentifizierung (IWA) oder erstellen Sie Konten als Administrator.
Überlegen Sie, ob nicht registrierte Benutzer Workflows für Public Gallery ausführen können.
Weitere Informationen finden Sie auf der Hilfeseite Benutzer- und Gruppenverwaltung .
Verfahren zur Härtung der Server-Verwaltung
Diese Einstellungen steuern das Verhalten verschiedener Aspekte der Server-Funktionalität in Bezug auf Berechtigungen und andere Optionen, die sich auf die allgemeine Sicherheitslage der Anwendung auswirken können.
Die Einstellung des Ausführungsmodus für Gallery kann erweiterte Sicherheitskontrollen über die Workflow-Ausführung potenziell schädlicher Aktionen bereitstellen. Standardmäßig ist der Ausführungsmodus für Gallery auf Uneingeschränkt gesetzt, was bedeutet, dass es keine Einschränkungen gibt und dass jeder Workflow ausgeführt werden kann. Wenn Sie diese Einstellung so konfigurieren, dass Teilweise sicher oder Sicher aktiviert ist, wird die Server-Umgebung weiter geschützt, indem verhindert wird, dass Workflows Daten lesen oder Daten in einen Speicherort schreiben, der sich nicht im Staging-Verzeichnis des Workflows befindet, oder Workflows ausführen, die eingeschränkte Tools enthalten. Dies ist eine globale Einstellung, die für die gesamte Server-Umgebung gilt. Administratoren können sie jedoch auf der individuellen Workflow-Ebene mit Ausnahmen überschreiben. Weitere Informationen zum Ausführungsmodus für Gallery finden Sie auf der Hilfeseite Server-Benutzeroberfläche .
Auf der Seite Einstellungen gibt es mehrere Einstellungen, auf die Benutzer zugreifen können, die mit Administratorrechten (Profil > Admin) bei Server angemeldet sind. Im Abschnitt Benutzereinstellungen :
Setzen Sie das Dropdown-Menü Standardrolle auf „kein Zugriff“, um zu verhindern, dass Benutzer, die sich über ein externes Authentifizierungssystem (SAML SSO oder integrierte Windows-Authentifizierung) anmelden können, eine Standardansicht angezeigt bekommen oder Ausführungszugriff auf Server haben. (Benutzer müssen explizite Berechtigungen erhalten, die über die bloße Präsenz in der externen Authentifizierungsdomäne hinausgehen.)
Deaktivieren Sie den Umschalter Benutzer können sich registrieren , um zu verhindern, dass nicht registrierte Benutzer neue Konten anmelden (nur für die integrierte Authentifizierung. Server kann keine Konten zu einem externen Authentifizierungssystem hinzufügen).
Deaktivieren Sie den Umschalter Nicht registrierte Benutzer können auf der Homepage öffentliche Workflows ausführen , um zu verhindern, dass anonyme Clients Workflows ausführen, die auf der Homepage veröffentlicht worden sind.
Login Timeout
As of 22.1 you can configure login attempt timeouts by setting the Enforce Login Attempt Timeout switch (Admin > Settings > Configuration > Security Settings > Enforce Login Attempt Timeout).
Der Prozess der Zuweisung von Benutzerrechten wird vom Administrationsteam jedes Kunden verwaltet.
Zu den Rollen gehören Betrachter, Creator und Administrator. Rufen Sie die Hilfeseite Benutzerrollen und -berechtigungen auf, um mehr über die Rollen und Berechtigungen zu erfahren.
Sicherheit zwischen Server und Persistenzebene (MongoDB)
Verbindungen zwischen Server und MongoDB werden durch folgende Maßnahmen gesichert:
Die Verbindungen werden über den Mongo Client-Treiber ausgeführt (standardmäßig verschlüsselt dies den Datenverkehr des Treibers nicht).
Enterprise Mongo unterstützt TLS/SSL (siehe https://docs.mongodb.com/v3.0/core/security-transport-encryption/ ), diese Verbindungen werden jedoch von der im Lieferumfang von Server enthaltenen Embedded MongoDB-Option nicht unterstützt.
Wenn verschlüsselte Datenbankverbindungen gefordert sind, sollten Sie einen Wechsel zum benutzerverwalteten Mongo mit einer Enterprise Mongo-Installation oder zum MongoDB Atlas SaaS in Erwägung ziehen.
Möglicherweise können Sie auch SSH-Verbindungsweiterleitung oder eine VPN-Verbindung zwischen den Alteryx Server-Komponenten und dem Datenbankserver installieren. Die Vorgehensweise dazu ist nicht Bestandteil dieses Handbuchs.
POODLE-Angriffe
Alteryx Designer und Server unterstützen TLS 1.2 (seit Version 11.5). Stellen Sie sicher, dass anfällige Protokolle in Schannel deaktiviert sind, wenn POODLE-Angriffe ein Problem darstellen.
Verfahren zur Härtung der Konfiguration der Webanwendung
Diese Einstellungen wirken sich auf die Interaktion der Front-End-GUI von Server mit verbundenen HTTP/S-Clients aus.
Die Standardinstallation von Server verwendet HTTP (unverschlüsselt), um Installation und Konfiguration zu vereinfachen. Wir empfehlen die Bereitstellung von X.509-Zertifikaten und die Aktivierung von SSL/TLS (HTTPS) für Server, um die Kommunikation zwischen Clients und Server zu verschlüsseln. Dies bestätigt die Identität von Server und schützt die Integrität und Vertraulichkeit von Benutzersitzungen. Sie müssen eine X.509-Zertifikatsanforderung erstellen (mit Angabe von Hostnamen im FQDN-Stil, die Clients zum Durchsuchen Ihres Server verwenden) und diese Anforderung von einer Zertifizierungsstelle signieren lassen, die von Ihrem Unternehmen als vertrauenswürdig eingestuft ist. Weitere Informationen zu den einzelnen Schritten finden Sie unter SSL/TLS für Server konfigurieren .
Der HTTP-Anforderungsheader „Host“ wird von einem HTTP-Client gesendet und enthält den Internet-Hostnamen und die Portnummer, zu der der Client ursprünglich einen Verbindungsaufbau versucht hat.
Wenn Sie als Administrator bei Server angemeldet sind, können Sie die Hosts, die Server verwenden soll, im Feld Zulässige Hosts unter Admin > Einstellungen > Konfiguration im Abschnitt Sicherheit angeben.
Verwenden Sie dies als Sicherheitsmaßnahme, um sich vor HTTP-Host-Header-Angriffen zu schützen. Geben Sie einen voll qualifizierten Domänennamen (
host.domain
) pro Zeile ein. Weitere Informationen finden Sie auf der Hilfeseite
Alteryx Server-Einstellungen
.
HTTP-Antwortheader werden von Server gesendet, wenn dieser auf Anforderungen antwortet. Sie können benutzerdefinierte Header festlegen oder die Standardwerte von Server für vorhandene Header ändern, indem Sie Zeilen zum Abschnitt <httpHeaders> von %Programme%\Alteryx\bin\server\config\alteryx.config hinzufügen.
Nachfolgend finden Sie alle Header, die intern zum Härten von Server für regelmäßige Penetrationstests verwendet werden (Bestandteil unseres SDLC). Sie sind möglicherweise nicht mit allen Clients kompatibel. Je nach den Anforderungen und Richtlinien Ihres Unternehmens kann es sein, dass Sie einige Werte für Ihre Umgebung aktualisieren oder anpassen müssen.
<httpHeaders> <header name="Cache-Control" value="no-store; max-age=0" /> <header name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains" /> <header name="X-Content-Type-Options" value="nosniff" /> <header name="Content-Security-Policy" value="default-src 'self'; img-src 'self' data:; font-src 'self' data:; script-src 'self' 'unsafe-eval' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; frame-ancestors 'self'; form-action 'self'" /> <header name="Access-Control-Allow-Origin" value="https://server.domain.tld" /> <header name="Vary" value="Origin" /> <header name="Referrer-Policy" value="no-referrer; strict-origin-when-cross-origin" /> </httpHeaders>