Skip to main content

Proteção do Server

A proteção do Server é a prática de alterar a configuração do servidor nas camadas de rede, sistema operacional e aplicativo para minimizar sua superfície de ataque e maximizar a resistência às tentativas de penetração. Siga estas recomendações para proteger a rede e o sistema operacional:

  • Instale a versão e o patch mais recentes do Server.

  • Configure o Server para operação HTTPS usando um certificado X.509 (TLS/SSL) assinado pela CA. Consulte Configurar SSL/TLS do Server para obter mais informações.

  • Proteja e fortaleça o sistema operacional e o banco de dados.

Acesse a página de ajuda Gerenciamento de usuários e grupos para obter mais informações.

Siga estas recomendações para proteger o aplicativo:

  • Revise os procedimentos de proteção da configuração do aplicativo da Web abaixo e aplique os que sejam relevantes para seu ambiente e políticas organizacionais.

  • Revise os procedimentos de proteção da administração do Server abaixo e aplique os que sejam relevantes para o seu ambiente e políticas organizacionais.

Contas anônimas e de convidados

Você pode gerenciar contas anônimas e de convidados por meio das "Configurações de administrador". Recomendamos que você siga estas instruções:

  • Desabilite o registro de usuários. Habilite o acesso por meio da Autenticação do Windows (IWA) ou crie contas como um administrador.

  • Considere se os usuários não registrados poderão executar fluxos de trabalho do Gallery público.

Acesse a página de ajuda Gerenciamento de usuários e grupos para obter mais informações.

Procedimentos de proteção da administração do Server

Essas configurações controlam o comportamento de vários aspectos da funcionalidade do Server relacionados a permissões e outras opções que podem afetar a postura geral de segurança do aplicativo.

A configuração "Modo de execução do Gallery" pode fornecer controles de segurança aprimorados sobre a execução do fluxo de trabalho de ações potencialmente mal-intencionadas. Por padrão, o "Modo de execução do Gallery" está definido como Sem restrições , o que significa que não há restrições e que qualquer fluxo de trabalho pode ser executado. Definir essa configuração como Semissegura ou Segura protegerá ainda mais o ambiente do Server, impedindo que os fluxos de trabalho leiam ou gravem dados em um local que não esteja dentro do diretório de preparação do fluxo de trabalho ou executem fluxos de trabalho contendo ferramentas restritas. Essa é uma configuração global que se aplica a todo o ambiente do Server, mas os administradores podem substituí-la com exceções no nível individual do fluxo de trabalho. Acesse a página de ajuda da IU do Server para saber mais sobre o "Modo de execução do Gallery".

Existem várias configurações na página Configurações , que é acessível aos usuários conectados ao Server com privilégios de administrador ("Perfil" > "Administrador"). Na seção Configurações de usuário :

  • Defina o menu suspenso Função padrão como "Sem acesso" para impedir que os usuários que podem fazer login com um sistema de autenticação externo (SSO SAML ou Autenticação Integrada do Windows) tenham qualquer exibição padrão ou executem o acesso dentro do Server. (Os usuários devem receber permissões explícitas usando critérios além da mera presença no domínio de autenticação externo.)

  • Desabilite a opção Usuários podem se registrar para impedir que usuários não registrados se inscrevam em novas contas (somente para autenticação interna; o Server não pode adicionar contas a um sistema de autenticação externo).

  • Desabilite a opção Usuários não registrados podem executar fluxos de trabalho públicos na página inicial para impedir que clientes anônimos executem fluxos de trabalho publicados na página inicial.

Login Timeout

As of 22.1 you can configure login attempt timeouts by setting the Enforce Login Attempt Timeout switch (Admin > Settings > Configuration > Security Settings > Enforce Login Attempt Timeout).

O processo de atribuição de direitos de usuário é realizado pela equipe de administração de cada cliente.

As funções incluem "Visualizador", "Criador" e "Administrador". Acesse a página de ajuda Funções e permissões de usuário para saber mais sobre as funções e permissões.

Segurança entre o Server e a camada de persistência (MongoDB)

As conexões entre o Server e o MongoDB são protegidas pelas seguintes medidas:

  • As conexões passam pelo driver do cliente Mongo (por padrão, isso não criptografa o tráfego).

  • O Enterprise Mongo é compatível com TLS/SSL (consulte https://docs.mongodb.com/v3.0/core/security-transport-encryption/ ), mas essas conexões não têm suporte na opção de MongoDB integrado que acompanha o Server.

  • Se forem necessárias conexões de banco de dados criptografadas, considere mudar para o Mongo gerenciado pelo usuário com uma instalação do Enterprise Mongo ou o MongoDB Atlas SaaS.

    Você também pode instalar o encaminhamento de conexão SSH ou uma conexão VPN entre os componentes do Alteryx Server e o servidor do banco de dados. Fazer isso está além do escopo deste guia.

Ataques POODLE

O Alteryx Designer e o Server têm suporte ao TLS 1.2 a partir da versão 11.5. Certifique-se de que os protocolos vulneráveis estejam desabilitados no canal se os ataques POODLE forem uma preocupação.

Procedimentos de proteção da configuração do aplicativo da Web

Essas configurações afetam como o GUI front-end do Server interage com clientes HTTP/S na conexão.

A instalação padrão do Server usa HTTP (não criptografado) para simplificar a instalação e a configuração. Recomendamos a implantação de certificados X.509 e a habilitação de SSL/TLS (HTTPS) no Server para criptografar a comunicação entre clientes e o Server. Isso assegura a identidade do Server e protege a integridade e confidencialidade das sessões do usuário. Você precisará criar uma solicitação de certificado X.509 (especificando os nomes de host no estilo FQDN que os clientes utilizarão para navegar no seu Server) e ter essa solicitação assinada por uma Autoridade de Certificação de confiança da sua organização. Acesse Configurar SSL/TLS no Server para obter as etapas para esse procedimento.

O cabeçalho de solicitação HTTP "Host" é enviado por um cliente HTTP e contém o nome de host da Internet e o número da porta para a qual o cliente tentou a conexão originalmente.

Se você estiver conectado ao Server como administrador, poderá especificar os hosts que deseja permitir que o Server sirva no campo Hosts permitidos , encontrado em Admin > Configurações > Configuração , na seção Segurança .

Use isso como uma medida de segurança para impedir ataques a cabeçalhos de host HTTP. Insira nomes de domínio totalmente qualificados ( host.domain ), um por linha. Acesse a página de ajuda Configurações do Alteryx Server para obter mais informações.

Os cabeçalhos de resposta HTTP são enviados pelo Server ao responder a solicitações. Você pode configurar cabeçalhos personalizados ou alterar os valores padrão do Server para cabeçalhos existentes adicionando stanzas à seção <httpHeaders> de %ProgramFiles%\Alteryx\bin\server\config\alteryx.config .

Abaixo está o conjunto de cabeçalhos usados internamente para proteger o Server para testes periódicos de penetração (parte de nosso SDLC). Eles podem não ser compatíveis com todos os clientes. Dependendo das necessidades e políticas da sua organização, talvez você precise atualizar ou adaptar alguns valores para o seu ambiente.

<httpHeaders>
    <header name="Cache-Control" value="no-store; max-age=0" />
    <header name="Strict-Transport-Security" value="max-age=31536000; 
includeSubDomains" />
    <header name="X-Content-Type-Options" value="nosniff" />
    <header name="Content-Security-Policy" value="default-src 'self'; 
img-src 'self' data:; font-src 'self' data:; script-src 'self' 'unsafe-eval' 'unsafe-inline'; 
style-src 'self' 'unsafe-inline'; frame-ancestors 'self'; form-action 'self'" />
    <header name="Access-Control-Allow-Origin" value="https://server.domain.tld" />
    <header name="Vary" value="Origin" />
    <header name="Referrer-Policy" value="no-referrer; strict-origin-when-cross-origin" />
</httpHeaders>