Descripción General de la Seguridad del Vinyl¶
Descripción General¶
Vinyl promueve el rápido desarrollo de aplicaciones seguras junto con su capacidad de desplegarse rápidamente en un ambiente seguro. Las funciones de seguridad nativas y las opciones de configuración disponibles dentro de la plataforma Vinyl permiten a los desarrolladores configurar y proteger sus aplicaciones.
Vinyl admite las siguientes opciones de seguridad:
HTTPS¶
El Vinyl exige HTTPS. Cuando HTTPS está habilitado, las cookies se configuran con el indicador Seguro. Esto evita que el navegador transmita la cookie a través de un canal no seguro (HTTP). Las cookies se configuran con el indicador HttpOnly de forma predeterminada. La bandera HttpOnly mitiga los ataques de Cross-Site Scripting (XSS).
Proveedor de Inicio de Sesión Único (sso)¶
Vinyl recomienda delegar la autenticación a un proveedor de inicio de sesión único (SSO). Vinyl admite varios estándares de la industria, incluidos SAML SSO y WS-Federation. Estos utilizan la especificación de firma digital PKCS #1 con resúmenes SHA-256.
Autenticación Basada en Reclamaciones¶
Los proveedores de autenticación de usuarios pasan las reclamaciones a Vinyl. Los administradores de seguridad asignan las reclamaciones a los atributos del usuario, incluida la pertenencia al grupo. Documentación:
Configuración de Contraseña y Autenticación Local¶
Vinyl también admite un mecanismo de autenticación local basado en contraseña. El almacenamiento de contraseñas está documentado en la siguiente página:
En resumen, las contraseñas se almacenan utilizando la función de derivación de clave PBKDF2 con el algoritmo hash SHA-256, una longitud de clave de 16 bytes, una longitud de sal de 16 bytes y 10,000 iteraciones.
El proveedor de autenticación local admite las siguientes funciones de seguridad:
Tokens de Seguridad y Cifrado de Datos¶
Vinyl cifra y valida tokens de seguridad, como las cookies de sesión. Además, Vinyl cifra las credenciales (contraseñas) del servidor y del proveedor de seguridad. El cifrado proporciona confidencialidad; validación, autenticidad (también conocida como protección contra manipulaciones). Vinyl cifra los datos utilizando AES-256 en el modo de cifrado de bloques CBC con relleno PKCS #7. Vinyl garantiza la integridad de los datos cifrados utilizando HMAC-SHA256.
Se puede utilizar el mismo cifrado y validación para proteger los datos en reposo a nivel de aplicación.
Vinyl admite el cifrado de datos en reposo a través de la despliegue nativa de cifrado de datos transparente del proveedor.
Vinyl ahora utiliza implementaciones y algoritmos criptográficos validados por FIPS.
Sesiones¶
Vinyl proporciona políticas de almacenamiento de sesiones configurables. De forma predeterminada, Vinyl conserva la información de la sesión en la base de datos. Los administradores pueden ver las sesiones y cerrar sesión por la fuerza en las sesiones de los usuarios. El seguimiento de las sesiones protege contra ciertas vulnerabilidades, como los ataques de reproducción de cookies.
Seguridad Basada en Roles¶
El acceso a los datos se puede controlar mediante seguridad basada en roles. La pertenencia al grupo de un usuario determina las funciones del usuario. Los roles del usuario determinan el permiso a los datos comerciales. Los grupos organizan a los usuarios; Los roles organizan los permisos.
En Vinyl, los dominios permiten a los administradores delegar tareas administrativas como el aprovisionamiento de usuarios y la membresía de grupos. Estas operaciones están restringidas al ámbito.
Enlaces Relacionados¶
Temas de Seguridad¶
- Acceso anónimo
- Reclamos
- Caducidad de la contraseña
- Políticas de contraseña
- Restablecimiento de contraseña
- Privilegios y permisos
- Proveedores e identidades
- Reinos
- Autoservicio
- Sesiones
- Usuarios y grupos
- Aprovisionamiento de usuarios y grupos
- Autenticación del cliente