Visão Geral da Segurança do Vinyl¶
Visão Geral¶
O Vinyl promove o rápido desenvolvimento de aplicações seguras juntamente com a sua capacidade de serem rapidamente implementadas num ambiente seguro. Recursos de segurança nativos e opções de configuração disponíveis na plataforma Vinyl permitem que os desenvolvedores configurem e protejam seus aplicativos.
O Vinyl oferece suporte às seguintes opções de segurança:
HTTPS¶
O Vinyl exige HTTPS. Quando o HTTPS está ativado, os cookies são definidos com o sinalizador Seguro. Isso evita que o navegador transmita o cookie através de um canal não seguro (HTTP). Os cookies são definidos com o sinalizador HttpOnly por padrão. O sinalizador HttpOnly mitiga ataques de Cross-Site Scripting (XSS).
Provedor de Logon Único (sso)¶
O Vinyl recomenda delegar a autenticação a um provedor de Single Sign-On (SSO). O Vinyl oferece suporte a vários padrões do setor, incluindo SAML SSO e WS-Federation. Eles usam a especificação de assinatura digital PKCS #1 com resumos SHA-256.
Autenticação Baseada em Declarações¶
Os provedores de autenticação de usuário passam reivindicações para o Vinyl. Os administradores de segurança mapeiam as declarações para os atributos do usuário, incluindo a associação ao grupo. Documentação:
Autenticação Local e Configuração de Senha¶
O Vinyl também oferece suporte a um mecanismo de autenticação local baseado em senha. O armazenamento de senha está documentado na seguinte página:
Resumindo, as senhas são armazenadas usando a função de derivação de chave PBKDF2 com o algoritmo hash SHA-256, um comprimento de chave de 16 bytes, um comprimento de salt de 16 bytes e 10.000 iterações.
O provedor de autenticação local oferece suporte aos seguintes recursos de segurança:
Tokens de Segurança e Criptografia de Dados¶
O Vinyl criptografa e valida tokens de segurança, como cookies de sessão. Além disso, o Vinyl criptografa as credenciais do servidor e do provedor de segurança (senhas). A criptografia fornece confidencialidade; validação, autenticidade (também conhecida como à prova de adulteração). O Vinyl criptografa dados usando AES-256 no modo de cifra de bloco CBC com preenchimento PKCS #7. O Vinyl garante a integridade dos dados criptografados usando HMAC-SHA256.
A mesma criptografia e validação podem ser usadas para proteger dados em repouso no nível do aplicativo.
O Vinyl oferece suporte à criptografia de dados em repouso por meio da implementação nativa do fornecedor de Transparent Data Encryption.
O Vinyl agora usa implementações e algoritmos criptográficos validados por FIPS.
Sessões¶
O Vinyl fornece políticas de armazenamento de sessão configuráveis. Por padrão, o Vinyl persiste as informações da sessão no banco de dados. Os administradores podem visualizar sessões e desconectar sessões de usuários à força. As sessões de rastreamento protegem contra certas vulnerabilidades, como ataques de repetição de cookies.
Segurança Baseada em Funções¶
O acesso aos dados pode ser controlado usando segurança baseada em funções. A associação ao grupo de um usuário determina as funções do usuário. As funções do usuário determinam a permissão para dados corporativos. Os grupos organizam os usuários; funções organizam permissões.
No Vinyl, os domínios permitem que os administradores deleguem tarefas administrativas, como provisionamento de usuários e associação a grupos. Essas operações são restritas ao domínio.
Links Relacionados¶
Tópicos de Segurança¶
- Acesso anônimo
- Reivindicações
- Expiração de senha
- Políticas de senha
- Redefinição de senha
- Privilégios e Permissões
- Provedores e Identidades
- Reinos
- Self-service
- Sessões
- Usuários e Grupos
- Provisionamento de usuários e grupos
- Autenticação do cliente