Ir para o conteúdo

Melhores Práticas de Segurança para Administradores, Criadores de Projetos e Especialistas em Integração

Introdução

Este documento é destinado a administradores, criadores de projetos e especialistas em integração que integram o Jitterbit a outros produtos, como Salesforce, NetSuite e outros endpoints. Ao trabalhar com seus projetos, construa com segurança em primeiro lugar.

Nota

Metodologia de Projeto de Integração contém informações úteis para um projeto de integração PM.

Antes de implantar projetos, você deve ter concluído uma auditoria recente da infraestrutura e dos procedimentos de segurança da sua empresa. Uma auditoria de segurança é uma avaliação estruturada e validada da segurança do sistema de informação da sua empresa. A auditoria de segurança mede como a segurança da sua empresa está em conformidade com um conjunto de critérios estabelecidos e padrão do setor, que incluem políticas, procedimentos e requisitos.

Nota

Auditoria de segurança e informações de conformidade:

Esta não é uma lista completa. Outros recursos podem estar disponíveis através do especialista em segurança e conformidade da sua organização.

Se você opera sob quaisquer requisitos regulatórios, como US FAA ou FDA, certifique-se de que sua configuração de segurança esteja em conformidade com esses requisitos.

regulamentos de Segurança e Proteção de Dados

Existem regulamentações governamentais importantes às quais você pode estar sujeito, dependendo de onde você opera seu negócio ou de onde seus clientes moram e trabalham. Esses regulamentos tratam da privacidade de dados pela qual você, juntamente com a Jitterbit, são responsáveis.

Nota

Os regulamentos a seguir exigem que a Jitterbit, seus parceiros de tecnologia e você implementem e mantenham proteções administrativas, físicas e técnicas razoáveis ou apropriadas. Estas leis e regulamentos proporcionam direitos de privacidade específicos que você deve cumprir. Além disso, cada um tem prazos e requisitos de relatórios específicos.

Regulamentações Estaduais e Federais dos Estados Unidos da América:

Regulamentos da União Europeia e da Zona de Atividade Económica Europeia:

  • RGPD (Regulamento Geral de Proteção de Dados) dá o controle a indivíduos na UE (União Europeia) e no EEE (Espaço Económico Europeu). Exige que as empresas garantam que os seus processos que lidam com dados pessoais sejam concebidos e implementados com salvaguardas para proteger os dados. Essas empresas também devem divulgar suas políticas de coleta, uso e retenção de dados.

Agentes em Nuvem e Agentes Privados

Ao executar uma integração, o Jitterbit conecta seus dados por meio dos agentes que você configurou. Os agentes podem ser Agentes em Nuvem ou Agentes Privados e Agentes existem em Grupos. Grupos são conjuntos de Agentes no mesmo Ambiente, que proporcionam alta disponibilidade. Isso significa que se um grupo cair e ficar indisponível, outro poderá ocupar o seu lugar e continuar com o seu trabalho. Grupo de Agentes em Nuvem é um conjunto de agentes mantidos e gerenciados pela Jitterbit na nuvem. Os Grupos de Agentes Privados são mantidos e gerenciados por você, usando seus próprios servidores ou instâncias dentro do seu firewall ou hospedados virtualmente em nuvens privadas. Ao executar Agentes Privados, seus dados comerciais confidenciais permanecerão em suas redes gerenciadas.

Nota

Qual tipo de Agente usar?

  • Use Grupos de Agentes em Nuvem quando quiser executar sua integração na nuvem e precisar da escalabilidade que os Grupos de Agentes em Nuvem oferecem.
  • Use Grupos de Agentes Privados quando desejar – ou precisar – executar integrações em suas instalações.

Grupos de Agentes em Nuvem

Os Agentes em Nuvem são mantidos e gerenciados pela Jitterbit. Os Jitterbit Agentes em Nuvem são multilocatários e bloqueados. Os dados que fluem são transitórios e permanecem apenas no agente para concluir o processamento. Você não pode controlar ou configurar o Grupo de Agentes em Nuvem ou seus agentes como faz com seus Grupos de Agentes Privados.

Quando o Jitterbit Grupo de Agentes em Nuvem realiza uma integração, ele se conecta diretamente ao aplicativo que requer integração de dados. Em seguida, ele lê e publica dados nesses aplicativos. Se você usar armazenamento persistente como parte do seu projeto, ele permanecerá no agente por 24 horas. Os dados persistentes no Jitterbit Grupo de Agentes em Nuvem são armazenados em buckets criptografados do Amazon S3 que não podem ser acessados diretamente pelo usuário. Cada integração armazena dados no bucket do seu ambiente. Para obter informações detalhadas sobre segurança de rede e práticas recomendadas do Amazon S3, consulte Segurança do Amazon S3.

Se você tiver um requisito regulatório que restrinja os dados de residirem na nuvem ou fora dos limites geográficos, use um Grupo de Agentes Privados.

Grupos de Agentes Privados

Como você gerencia e controla Agentes Privados, você controla a segurança deles. Quando você usa Agentes Privados, os dados não saem dos seus servidores. Se você usar uma nuvem privada, você escolhe onde seu ambiente de tempo de execução de integração opera e controla em qual rede seus dados de negócios trafegam e residem.

Os Agentes Privados autenticam e se comunicam com o Harmony por HTTPS. Agentes Privados implantados atrás de firewalls corporativos podem ser configurados para se comunicarem por meio de um servidor proxy corporativo. Não há requisitos adicionais de rede, como abertura de portas em firewalls corporativos. A segurança é de sua responsabilidade ao usar Agentes Privados.

Jitterbit fornece conselhos e recomendações de melhores práticas para hospedar código de Agente Privado em Requisitos do Sistema para Agentes Privados.

Nota

Se você estiver usando grupos de agentes privados, revise as informações em Regulamentos de Segurança e Proteção de Dados.

Endpoints Seguros com Agentes Privados

Existem muitos métodos que você pode usar para proteger endpoints, incluindo:

  • Use uma VPN (Rede Privada Virtual) junto com criptografia.
  • As listas de permissões de rede podem controlar quem tem permissão de acesso à sua rede. Para usar a lista de permissões com Agentes Privados, consulte Informações sobre a lista de permissões.
  • Certifique-se de que todos os drivers e plug-ins usados estejam atualizados e testados.

Organizações e Ambientes

Diferentes usuários e grupos precisarão de diferentes níveis de acesso para acessar suas Organizações e Ambientes. Um usuário não precisa do mesmo nível de acesso de um desenvolvedor ou administrador. Por exemplo, um desenvolvedor em sua organização pode precisar de permissões de execução e gravação no API Manager para criar e editar perfis de segurança, criar e editar APIs e acessar determinadas funcionalidades no Management Console. O usuário diário não precisa dessas permissões elevadas. Pense nos usuários e grupos e no que eles fazem. Limite o acesso para que os usuários possam usar apenas o que precisam para realizar suas tarefas.

Nota

Para obter informações sobre as diferentes funções de acesso, como Usuário, Administrador e Desenvolvedor, e como defini-las, consulte Gerenciando o acesso de funções a ambientes em Ambientes página.

Aplicar patches de hardware e software. Para Grupos de Agentes em Nuvem, a Jitterbit é responsável pelas alterações de código. Se você estiver usando Grupos de Agentes Privados, monitore atualizações e patches em seu sistema operacional e software de aplicativo, drivers e plug-ins e aplique-os quando apropriado.

Fornecendo autenticação segura usando OAuth e a autenticação multifator, como 2FA (autenticação de dois fatores), é crítica. OAuth é discutido em Perfis de segurança no API Manager. 2FA é discutido em Controles de senha Jitterbit.

Mantenha as contas de desenvolvimento e teste separadas da produção. Isso inclui IDs e senhas separadas. Remova esses IDs e senhas de desenvolvimento e teste antes de migrar o código para produção. Em vez disso, use variáveis do projeto para armazenar informações como IDs e senhas. Como prática recomendada, mantenha ambientes de desenvolvimento, teste e produção separados. Você também deve garantir que as informações de identificação pessoal (PII) não sejam usadas nos testes.

Nota

Se você atua em um setor regulamentado, como o de saúde, ou se está sujeito a regulamentações governamentais relativas a dados e movimentação de dados, revise esses requisitos como parte de seu planejamento de segurança.

Segurança de API

Nota

Para uma discussão aprofundada sobre a API e segurança do Harmony, consulte Segurança do API Manager.

O Harmony API Manager suporta OAuth 2.0 autenticação com Google, Okta e Salesforce como provedores de identidade. O NetSuite agora impõe autenticação baseada em token (TBA) para Administrador, Acesso Total e outras funções altamente privilegiadas a partir da versão 2018.2. Consulte Autenticação baseada em token do NetSuite 2018.2 para obter mais informações e instruções. Chaves de API e segredos de API podem ser usados para autenticar usuários com a API Harmony.

Certificados

Jitterbit pode autenticar com recursos externos com cliente SSL certificados ao conectar-se a HTTP ou SOAP endpoints no Cloud Studio e com endpoints HTTP ou Web Services no Design Studio. As configurações de certificados de cliente podem ser acessadas no Portal Harmony na página Management Console > Personalizações > Certificados de cliente.

Adicionar Certificados a um Keystore

Os aplicativos Jitterbit instalados localmente incluem um repositório de chaves confiável que contém os certificados necessários para comunicação segura via HTTPS. Por exemplo, você adicionaria um novo certificado ao repositório de chaves Jitterbit Java se usar um servidor proxy e precisar permitir que o cliente local Jitterbit se comunique com segurança por meio do servidor proxy. Você pode adicionar novos certificados conforme necessário. Você também precisará substituir ou renovar os certificados se eles forem alterados. Informações e instruções sobre como adicionar certificados a um repositório de chaves podem ser encontradas nestas páginas:

Segurança do Conector

Ao migrar seu projeto para outro ambiente, você deseja evitar o compartilhamento de informações privadas. Comece com estes recursos de segurança do conector:

  • Variáveis do Projeto: Ao trabalhar com Conectores, variáveis do projeto pode fornecer segurança adicional. Se você estiver criando scripts ou transformações, use variáveis de projeto para informações privadas, como login ou IDs de usuário, senhas, chaves de acesso e outras informações que devem ser mantidas seguras. Consulte Usando variáveis de projeto em Scripts ou Transformações para informações e procedimentos.

  • Configuração: Nomes de usuário e senhas não criptografados são necessários em tempo de execução. Use armazenamentos de chaves e extraia essas informações de um banco de dados armazenado fora do agente e não chamado até o tempo de execução.

  • Cofres de terceiros: Cofres on-line digitais e seguros são projetados para proteger a privacidade dos seus dados. Usando criptografia de dados, autenticação forte do usuário e armazenamento redundante, esses cofres permitem armazenamento em nuvem com segurança de dados. Os recursos, preços e instruções específicos dependem do provedor que você escolher.

  • Listas de permissões de IP: Na maioria das situações, você não precisa fazer nenhuma alteração especial na rede ou no firewall quando Agentes Privados ou Design Studio se comunicam com o Harmony. E se a sua rede estiver protegida por um firewall? Nesse caso, configure sua rede para se comunicar com o Harmony e use uma lista de permissões para permitir essa comunicação. Jitterbit fornece endereços IP permitidos para cada região. Consulte Informações da lista de permissões Para maiores informações.

Segurança de Registro

Ao pensar em registro e segurança, examine os requisitos do seu negócio. Decida qual nível de registro você precisa e quais riscos são aceitáveis para você com base em seus requisitos de segurança. Jitterbit gera logs para diferentes funções, como logs de operações, logs de eventos do Windows ou Linux e logs de API. A maioria dos clientes usa o registro em nuvem na nuvem Jitterbit. Os dados de log são criptografados para segurança. Você pode desativar o registro na nuvem, se necessário.

Nota

Se você desativar o registro na nuvem, os logs do aplicativo não serão gravados.

Agentes em Nuvem

Quando um Grupo de Agentes em Nuvem executa uma operação de integração, ele cria um log de atividades que é armazenado na nuvem. Você visualiza os logs do Operações em tempo de execução página do Management Console. Esses registros e seus detalhes são retidos por 30 dias. Jitterbit fornece funções de registro e erro para ajudá-lo a criar e depurar scripts. WriteToOperationLog() pode ser usado para gravar dados confidenciais em logs, mas é altamente recomendável não fazer isso, pois pode criar um problema de segurança.

Nota

Embora o Jitterbit não forneça suporte nativo para compartilhamento de logs de operação usando ferramentas como ELK, Splunk ou Loggly, muitas ferramentas de monitoramento de log possuem agentes que podem ser implantados na mesma máquina que o Agente Privado. Esses agentes então coletam dados com base em regras definidas e ingerem dados na ferramenta de monitoramento de log.

Agentes Privados

Usar um Grupo de Agentes Privados mantém todas as suas informações dentro da sua organização e em seus próprios servidores. Desative o registro na nuvem para evitar o envio de registros para o Harmony. Ao final de cada operação, você pode usar um script para enviar dados de log localmente. Logs de depuração, logs de transformação, logs de erros, logs de erros de chamadas de endpoint e muito mais estão disponíveis e podem ser definidos no arquivo jitterbit.conf arquivo. Consulte Editando o arquivo de configuração - jitterbit.conf para configurações e valores.