Arquitetura de segurança
Essa seção detalha a arquitetura de segurança do SoftExpert Suite. Veja o diagrama abaixo:
Figura 7 - Arquitetura de segurança do SE Suite
Na versão 2.2, é obrigatório o uso de HTTPS para aumentar a segurança no uso da solução. Sugerimos o uso de um certificado digital válido emitido por entidades certificadoras (Verisign, Certisign, Thawte, entre outras). Caso a organização não tiver disponibilidade de um certificado digital válido, pode-se gerar um certificado auto assinado (IIS ou Nginx), porém avisos de segurança poderão ser emitidos para os usuários durante o uso do SoftExpert Suite. Consulte o documento SoftExpert Suite - Guia de instalação para verificar a configuração de certificados.
Esta seção possui os seguintes subtópicos:
Acesso do usuário
Para que o usuário, a partir da estação de trabalho, tenha acesso ao SoftExpert Suite, o mesmo precisa autenticar-se. Para isso, o SoftExpert Suite disponibiliza os seguintes métodos de autenticação:
- Usuário e Senha: As senhas e usuários são armazenados na base de dados utilizando a criptografia através de um algoritmo próprio do SoftExpert Suite somado ao algoritmo SHA-1. O algoritmo utilizado não permite descriptografia, aumentando a segurança da solução.
- LDAP: Autentica usuários no SoftExpert Suite utilizando o protocolo LDAP conectando no AD.
- SAML 2.0 (ADFS): Autentica usuários no SoftExpert Suite, com o usuário e senha fornecidos ao Sistema Operacional, utilizando o protocolo SAML conectando no ADFS (Active Directory Federation Service da Microsoft).
Para aumentar a segurança, o SoftExpert Suite permite que algumas políticas de segurança sejam configuradas no componente SoftExpert Configuração, de modo que aumente a segurança contra o acesso não autorizado, como por exemplo:
- Expirar senha: requer que a senha seja mudada pelo usuário;
- Bloquear usuário de acordo com o número de tentativas;
- Enviar e-mail ao gestor quando um usuário for bloqueado por ter excedido o número de tentativas;
- Controle de força: exigência de um tamanho mínimo ou de complexidade (presença de letras, números, símbolos e maiúsculas/minúsculas) em senhas.
Todas as requisições são realizadas através do protocolo HTTPS, o qual necessita de uma seção logada e aberta no servidor para enviar a resposta ao usuário. As sessões têm tempo de expiração configurável.
Controle de acesso
Após o usuário se conectar, o SoftExpert Suite, através dos direitos de acesso associados para cada item de menu, permite gerenciar o controle de acesso de cada recurso individualmente através de políticas de direito de acesso.
Solução
Esse tópico possui detalhes dos principais aspectos de segurança no acesso do SoftExpert Suite à camada de persistência e serviços utilizados.
Banco de Dados
O SoftExpert Suite conecta-se com o banco de dados usando autenticação básica, através de usuário e senha. As configurações de conexão com o banco de dados são armazenadas em arquivos de configuração encriptados, usando algoritmo de encriptação do SoftExpert Suite.
E-mail
Para o envio de notificações por e-mail, o SoftExpert Suite é parametrizado para se conectar ao servidor de e-mail utilizando autenticação básica através de usuário e senha, ou autenticação OAuth, através de contas da Microsoft ou Google. Esses dados são armazenados no banco de dados por meio do algoritmo de encriptação do SoftExpert Suite.
Diretório
O SoftExpert Suite pode ser configurado para armazenar documentos em diretórios, para isso é necessário ter permissão de leitura e de gravação para o SoftExpert Suite (usuário local ou de domínio configurado no IIS ou NGinx) ou para o Serviço File Manager, sendo este último utilizado apenas em diretório remoto. Os usuários não precisam ter acesso nesses diretórios.
LDAP
Para realizar a conexão do serviço LDAP, seja para autenticar ou sincronizar dados de usuários, o SoftExpert Suite utiliza um usuário válido do AD, o qual é informado em sua parametrização. Em caso de uso da funcionalidade de sincronização e autenticação LDAP, deve-se assegurar que regras para acesso aos serviços do servidor de domínio da empresa sejam criadas no firewall. As portas comumente utilizadas para realizar a conexão com estes serviços estão listadas abaixo:
- 389/TCP
SAML
Para realizar a autenticação de usuários com o SoftExpert Suite utilizando o protocolo SAML, deve-se assegurar que as regras para acesso aos serviços de autenticação e autorização sejam criadas no firewall. As portas comumente utilizadas para realizar a conexão com estes serviços estão listadas abaixo:
- 443 TCP