Dica!
Acesse aqui e veja mais sobre os controles de Segurança da plataforma TOTVS Fluig.
Objetivo
Reunimos nesse documento uma série de recomendações para trazer mais segurança ao seu ambiente do TOTVS Fluig Plataforma. Elencamos diversos artigos e dicas de segurança básicas que você pode aplicar para proteger seu ambiente.
É importante definir uma agenda para revisão destes itens periodicamente.
Segurança nos padrões internacionais
O TOTVS Fluig passa por testes de segurança seguindo as principais metodologias internacionais. Ele faz parte do programa de Bug Bounty da TOTVS, que tem como principal objetivo identificar e corrigir potenciais vulnerabilidades em seu ambiente tecnológico de produtos, aderindo e seguindo as melhores práticas recomendadas pelo OWASP (Open Web Application Security Project), uma comunidade mundial dedicada a melhorar a segurança de software. Ao alinhar nossos processos com as diretrizes do OWASP, buscamos garantir a identificação e correção eficazes de potenciais vulnerabilidades em nossa plataforma, contribuindo para um ambiente digital mais seguro e resiliente.
Possuímos certificados e atestados de reconhecimento que demonstram nosso compromisso em seguir as práticas do mercado para processos de desenvolvimento seguro. Esses documentos evidenciam que nossas metodologias e procedimentos estão alinhados com os mais altos padrões de segurança, validados por auditorias internas e externas.
Os certificados e atestados, como os exemplificados abaixo, podem ser solicitados a qualquer momento por meio dos nossos canais de atendimento:
Checklist
Troque a senha do usuário wcmadmin regularmente. Se possível, incentive seus usuários a trocarem a senha com regularidade e implemente a utilização de senhas fortes.
Para um gerenciamento mais completo e seguro dos acessos, permissões e identidades, recomendamos implementar o TOTVS Identity integrado com o Fluig. Você também pode utilizar os eventos beforeCreateUser e beforeUpdateUser para criar regras de senhas fortes. Mais informações em Desenvolvimento de eventos.
Não crie usuários com matrícula e login iguais. Não utilize dados pessoais, como o CPF, pois esses campos não podem ser anonimizados, alterados ou excluídos.
Você pode configurar permissões de acesso em APIs, Datasets e Webservices, conforme explica a documentação: Recursos de permissão em APIs, datasets e webservices.
A inicialização dos serviços da plataforma em Servidor Linux não pode ser realizada com o usuário root, para isso deve configurar seu ambiente conforme é orientado na documentação: Configurar ambiente Linux para não utilizar o usuário root.
O TOTVS Fluig Plataforma possui suporte a implementação de DMZ e sugerimos a implementação conforme explica a documentação: Topologia DMZ.
A senha do banco de dados deve ser criptografada no arquivo domain.xml. Consulte o procedimento em: Encriptação de senha do banco de dados.
O mesmo se aplica a senha do LDAP, quando configurado este tipo de autenticação. Consulte o procedimento em: Configuração de autenticação utilizando LDAP.
Configure a plataforma para utilizar o protocolo HTTPS e a opção Flags "HttpOnly" e "Secure" nos cookies será automaticamente habilitada. É importante mantê-la habilitada. Para mais detalhes consulte Configuração HTTPS da plataforma e Configurações do sistema.
oculto
Mantenha as configurações do Apache e Nginx atualizadas: Título link.
Não deixe exposto credenciais de acesso (chaves de autenticação, usuário e senha, etc) em páginas públicas. Veja como consultar serviços autenticados em página pública de forma segura: Como expor dados em ambientes públicos.
Sempre utilize o IP da rede interna no arquivo domain.xml. Isso evita chegar ao servidor, caso haja algum vazamento.
Configurar o arquivo robots.txt. A partir da atualização 1.7.1-211207 a plataforma cria automaticamente o arquivo impedindo o rastreamento de arquivos do site. Para mais detalhes, consulte a documentação: Como configurar o arquivo robots.txt.
Remova as informações dos resultados da pesquisa, para saber mais acesse: Remover informações do Google.
* O Google é o mais comum, mas esse procedimento pode ser feito para outros buscadores.
Libere o acesso para https://version.fluig.com. O serviço de versionamento do Fluig notifica sobre novas versões disponíveis e atualizações de segurança.
Mantenha habilitado o bloqueio de Clickjacking conforme orientado na documentação: Configurações da plataforma.
Avalie a configuração dos balanceadores de carga para que não enviem informações desnecessárias no cabeçalho conforme instruído nessa documentação.
Utilize as versões de software homologadas na Matriz de portabilidade.
Para ambientes que necessitam utilizar antivírus, adicione a pasta de instalação do Fluig e o diretório de volume como exceções para que não interfiram nas funções de leitura/escrita.
Mantenha o Sistema Operacional atualizado, principalmente em relação aos patches de segurança. Desinstale softwares não essenciais e, na presença deles, mantenha-os atualizados.
Altere as portas e as configurações padrão da plataforma.
Recomendamos a configuração do CORS (Cross-origin Resource Sharing ou Compartilhamento de Recursos de Origem Cruzada) que é um mecanismo utilizado pelos navegadores para compartilhar recursos entre diferentes origens. Obtenha informações detalhadas em Cross-origin Resource Sharing.
Recomendamos que nunca deixe o Solr exposto à Internet ou a qualquer máquina da sua rede interna. Utilize o parâmetro SOLR_IP_ALLOWLIST1 e defina quais IPs podem ter acesso ao Painel administrativo do Solr. Assim, o acesso fica restrito aos IPs listados. Obtenha mais informações em Servidor de indexação em alta disponibilidade.
1 → Disponível apenas a partir da atualização Crystal Mist (1.8.2).
oculto
Recomendamos .... conforme a documentação Título link. Para que o item seja apresentado, editar o Painel e remover o título "oculto"
Visão Geral
Import HTML Content
Conteúdo das Ferramentas