Skip to main content

Requerimientos para proteger una aplicación

Averigüe quién es responsable de la seguridad de las aplicaciones en la organización e involúcrelos desde el inicio del proyecto para conocer los requerimientos y estándares específicos, y qué nivel de pruebas de penetración se usa.

Reglas

Realice las siguientes tareas:

  • Asegúrese de que las propiedades sean del tipo correcto (enteros, fechas, no solo texto).
  • Ejecute Rule Security Analyzer y solucione cualquier problema.
  • Solucione los problemas de seguridad en el reporte de contención.

Rulesets

Bloquee cada versión del ruleset, excepto el ruleset de producción, antes de promocionar una aplicación desde el entorno de desarrollo. Además, proteja la capacidad de agregar versiones, actualizar versiones y actualizar la regla del ruleset ingresando tres contraseñas distintas en la pestaña de seguridad en el registro del ruleset.

Documentos

Si los documentos se pueden cargar en la aplicación, complete las siguientes tareas:

  • Asegúrese de que esté instalado un detector de virus para determinar qué archivos se pueden cargar. Puede utilizar un punto de extensión en la actividad CallVirusCheck para asegurarse de que haya un antivirus instalado.
  • Asegúrese de que los tipos de archivos estén restringidos; para ello, agregue una regla de decisión o una tabla de decisión a la actividad SetAttachmentProperties para evaluar si se permite un tipo de documento.

Autorización

Verifique que el esquema de autorización esté implementado y haya sido ampliamente probado para cumplir con los requerimientos. Asegúrese de que el nivel de producción esté configurado en un valor adecuado en el registro del sistema. Defina el nivel de producción en 5 para el entorno de producción. El valor del nivel de producción afecta a las reglas Rule-Access-Role-Obj y Rule-Access-Deny-Obj. Estas reglas controlan las clases que puede leer y actualizar un solicitante con un rol de acceso. Si esta configuración interfiere en las necesidades válidas del usuario, agregue reglas enfocadas Rule-Access-Role-Obj que permitan el acceso en lugar de reducir el nivel de producción.

Autenticación

Habilite las políticas de seguridad (Dev Studio > Configure > Org & Security > Authentication > Security Policies (Dev Studio>Configurar > Organización y seguridad > Autenticación > Políticas de seguridad)). Las políticas de seguridad son compatibles con los siguientes tipos de autenticación:

  • Credenciales básicas
  • SAML 2.0
  • OpenID Connect

Si una política de seguridad informática requiere restricciones adicionales, agregue una regla de validación. Configure tiempos de espera en el nivel del servidor de aplicaciones, el nivel de los solicitantes y el nivel de los grupos de acceso con una duración adecuada.

Integración

Trabaje con el equipo de seguridad de aplicaciones y los equipos de sistemas externos para garantizar que los conectores y los servicios estén protegidos de manera adecuada.

Operadores y grupos de acceso

Si Pega Platform se implementó en modo seguro, los usuarios listos para usar están deshabilitados de forma predeterminada. Deshabilite cualquier usuario que no se use si la plataforma no se implementó en modo seguro. Habilite la auditoría de seguridad para los cambios en las contraseñas de los operadores, los grupos de acceso y las reglas de la aplicación.

Revise el grupo de acceso no autenticado para asegurarse de que tenga el acceso mínimo requerido para las reglas.

Configuración dinámica del sistema

Defina los ajustes de la configuración dinámica en un entorno de producción, como se describe en la lista de verificación de seguridad.

Nota: No defina los ajustes de la configuración dinámica relacionados con la seguridad para un entorno de desarrollo, ya que restringen la herramienta Tracer y otras herramientas de desarrollador.

Implementación

Cuando implemente una aplicación en un entorno que no sea el de desarrollo, limite o bloquee la funcionalidad de ciertas características y elimine los recursos innecesarios. La configuración predeterminada expone los riesgos a una aplicación porque proporciona un punto de inicio conocido para los intrusos. Al eliminar la configuración predeterminada de la ecuación, se reduce ampliamente el riesgo general.

Realice los siguientes cambios en la configuración predeterminada:

  • Cambie el nombre e implemente prweb.war solo en los nodos que lo requieran. Conocer la carpeta y el contenido de prweb.war es un riesgo de alta seguridad, ya que proporciona acceso a la aplicación.
  • Elimine todos los recursos o servlets innecesarios de web.xml. Cambie el nombre de los servlets predeterminados cuando corresponda, en especial, PRServlet y PRAuth.
  • Cambie el nombre de prhelp.war e impleméntelo en un solo nodo por entorno.

Base de datos

Asegúrese de que el sistema se haya configurado usando un enfoque de grupo de conexiones JDBC a través del servidor de aplicaciones, en lugar de configurar la base de datos en el archivo prconfig.xml.

Limite las capacidades y los roles que están disponibles para la cuenta de la base de datos de PegaRULES en entornos que no sean de desarrollo con el fin de reducir las capacidades adicionales para truncar tablas, crear o eliminar tablas o alterar el esquema de alguna forma. Este límite de capacidades y roles puede hacer que la herramienta para ver/modificar el esquema de base de datos funcione en modo de solo lectura.

This Topic is available in the following Module:
If you are having problems with your training, please review the Pega Academy Support FAQs.

¿Le ha resultado útil este contenido?
No

¿Quiere ayudarnos a mejorar este contenido?
Sugerir una edición

We'd prefer it if you saw us at our best.

Pega Academy has detected you are using a browser which may prevent you from experiencing the site as intended. To improve your experience, please update your browser.

Close Deprecation Notice