Sicherheitsbest Practices für Administratoren, Projektentwickler und Integrationsspezialisten, die Jitterbit Harmony verwenden

Einführung

Dieses Dokument richtet sich an Administratoren, Projektentwickler und Integrationsspezialisten, die Jitterbit mit anderen Produkten wie Salesforce, NetSuite und anderen Endpunkten integrieren. Bei der Arbeit an Ihren Projekten sollten Sie die Sicherheit an erste Stelle setzen.

Bevor Sie Projekte bereitstellen, sollten Sie ein aktuelles Audit der Sicherheitsinfrastruktur und -verfahren Ihres Unternehmens abgeschlossen haben. Ein Sicherheitsaudit ist eine strukturierte, validierte Bewertung der Sicherheit des Informationssystems Ihres Unternehmens. Das Sicherheitsaudit misst, wie die Sicherheit Ihres Unternehmens mit einer Reihe von festgelegten, branchenüblichen Kriterien übereinstimmt, die Richtlinien, Verfahren und Anforderungen umfassen.

Wenn Sie unter regulatorischen Anforderungen arbeiten, wie z.B. US FAA oder FDA, stellen Sie sicher, dass Ihre Sicherheitskonfiguration diesen Anforderungen entspricht.

Sicherheits- und Datenschutzvorschriften

Es gibt wichtige staatliche Vorschriften, die für Sie gelten können, abhängig davon, wo Sie Ihr Geschäft betreiben oder wo Ihre Kunden leben und arbeiten. Diese Vorschriften befassen sich mit dem Datenschutz, für den Sie zusammen mit Jitterbit verantwortlich sind.

Vereinigte Staaten von Amerika staatliche und bundesstaatliche Vorschriften:

• HIPAA (Health Insurance Portability and Accountability Act) und HITECH (Health Insurance Technology for Clinical Health Act) legen Anforderungen für die Verwendung, Offenlegung und Sicherung von PHI (geschützte Gesundheitsinformationen) fest. Diese Gesetze gelten für abgedeckte Einrichtungen wie Gesundheitsdienstleister sowie für Cloud-Dienste und IT-Anbieter.
• CCPA (California Consumer Privacy Act) verbessert die Verbraucherrechte und den Datenschutz für Einwohner Kaliforniens. Es betrifft jedes Unternehmen, das persönliche Daten von Verbrauchern erhebt und in Kalifornien Geschäfte tätigt.

Vorschriften der Europäischen Union und des Europäischen Wirtschaftsraums:

• DSGVO (Datenschutz-Grundverordnung) gibt den Personen in der EU (Europäische Union) und im EWR (Europäischer Wirtschaftsraum) Kontrolle. Sie verlangt von Unternehmen, dass ihre Prozesse, die mit personenbezogenen Daten umgehen, so gestaltet und implementiert werden, dass sie Schutzmaßnahmen zum Schutz der Daten enthalten. Diese Unternehmen müssen auch ihre Richtlinien zur Datenerhebung, -nutzung und -aufbewahrung offenlegen.

Cloud-Agenten und private Agenten

Wenn Sie eine Integration ausführen, verbindet Jitterbit Ihre Daten über die von Ihnen konfigurierten Agenten. Agenten können Cloud-Agenten oder private Agenten sein, und Agenten existieren in Gruppen. Gruppen sind Sets von Agenten in derselben Umgebung, die hohe Verfügbarkeit bieten. Das bedeutet, dass, wenn eine Gruppe ausfällt und nicht verfügbar ist, eine andere ihren Platz einnehmen und mit Ihrer Arbeit fortfahren kann. Eine Cloud-Agentengruppe ist eine Gruppe von Agenten, die von Jitterbit in der Cloud verwaltet und gepflegt wird. Private Agentengruppen werden von Ihnen verwaltet und gepflegt, indem Sie Ihre eigenen Server oder Instanzen innerhalb Ihrer Firewall oder virtuell in privaten Clouds nutzen. Durch den Betrieb privater Agenten bleiben Ihre sensiblen Geschäftsdaten innerhalb Ihrer verwalteten Netzwerke.

Cloud-Agent-Gruppen

Cloud-Agenten werden von Jitterbit gewartet und verwaltet. Jitterbit-Cloud-Agenten sind mehrmandantenfähig und sind gesperrt. Daten, die durchfließen, sind vorübergehend und verbleiben nur auf dem Agenten, um die Verarbeitung abzuschließen. Sie können die Jitterbit-Cloud-Agent-Gruppe oder deren Agenten nicht steuern oder konfigurieren, wie Sie es mit Ihren privaten Agent-Gruppen können.

Wenn die Jitterbit-Cloud-Agent-Gruppe eine Integration durchführt, verbindet sie sich direkt mit der Anwendung, die eine Datenintegration benötigt. Sie liest dann Daten und veröffentlicht diese in diesen Anwendungen. Wenn Sie persistenten Speicher als Teil Ihres Projekts verwenden, bleibt dieser 24 Stunden lang auf dem Agenten. Daten, die in der Jitterbit-Cloud-Agent-Gruppe gespeichert sind, werden in verschlüsselten Amazon S3-Buckets gespeichert, die nicht direkt für Benutzer zugänglich sind. Jede Integration speichert Daten in dem Bucket ihrer Umgebung. Für detaillierte Informationen zur Netzwerksicherheit und zu Best Practices von Amazon S3 siehe Amazon S3 Security.

Wenn Sie eine regulatorische Anforderung haben, die es einschränkt, dass Daten in der Cloud oder außerhalb geografischer Grenzen gespeichert werden, verwenden Sie stattdessen eine private Agent-Gruppe.

Private Agent-Gruppen

Da Sie private Agenten verwalten und kontrollieren, kontrollieren Sie deren Sicherheit. Wenn Sie private Agenten verwenden, verlassen die Daten nicht Ihre Server. Wenn Sie eine private Cloud verwenden, wählen Sie, wo Ihre Integrationslaufzeitumgebung betrieben wird, und steuern, in welchem Netzwerk Ihre Geschäftsdaten übertragen und gespeichert werden.

Private Agenten authentifizieren sich und kommunizieren über HTTPS mit Harmony. Private Agenten, die hinter Unternehmensfirewalls bereitgestellt werden, können so konfiguriert werden, dass sie über einen Unternehmensproxy-Server kommunizieren. Es gibt keine zusätzlichen Netzwerkanforderungen, wie das Öffnen von Ports innerhalb von Unternehmensfirewalls. Die Sicherheit liegt in Ihrer Verantwortung, wenn Sie private Agenten verwenden.

Jitterbit bietet Ratschläge und Empfehlungen zu Best Practices für das Hosting von privatem Agentencode in Systemanforderungen für private Agenten.

Sichere Endpunkte mit privaten Agenten

Es gibt viele Methoden, die Sie verwenden können, um Endpunkte zu sichern, einschließlich:

• Verwenden Sie ein VPN (Virtual Private Network) zusammen mit Verschlüsselung.
• Netzwerk-Allowlists können steuern, wer Zugriff auf Ihr Netzwerk hat. Um Allowlisting mit privaten Agenten zu verwenden, siehe Allowlist-Informationen.
• Stellen Sie sicher, dass alle Treiber und Plugins, die Sie verwenden, auf dem neuesten Stand und getestet sind.

Organisationen und Umgebungen

Verschiedene Benutzer und Gruppen benötigen unterschiedliche Zugriffslevel, um auf Ihre Organisationen und Umgebungen zuzugreifen. Ein Benutzer benötigt nicht dasselbe Zugriffslevel wie ein Entwickler oder ein Administrator. Zum Beispiel benötigt ein Entwickler in Ihrer Organisation möglicherweise Ausführungs- und Schreibberechtigungen für den API-Manager, um Sicherheitsprofile zu erstellen und zu bearbeiten, APIs zu erstellen und zu bearbeiten sowie auf bestimmte Funktionen in der Management Console zuzugreifen. Der alltägliche Benutzer benötigt diese erhöhten Berechtigungen nicht. Denken Sie an Benutzer und Gruppen und was sie tun. Beschränken Sie den Zugriff, damit Benutzer nur das verwenden können, was sie benötigen, um ihre Aufgaben zu erfüllen.

Wenden Sie Hardware- und Software-Patches an. Für Cloud-Agentengruppen ist Jitterbit für Codeänderungen verantwortlich. Wenn Sie private Agentengruppen verwenden, überwachen Sie Updates und Patches für Ihr Betriebssystem und Ihre Anwendungssoftware, Treiber und Plugins und wenden Sie diese bei Bedarf an.

Die Bereitstellung einer sicheren Authentifizierung mit OAuth und Multi-Faktor-Authentifizierung, wie z. B. 2FA (Zwei-Faktor-Authentifizierung), ist entscheidend. OAuth wird unter Sicherheitsprofilen im API-Manager behandelt. 2FA wird in Jitterbit-Passwortkontrollen behandelt.

Halten Sie Entwicklungs- und Testkonten von der Produktion getrennt. Dazu gehören separate IDs und Passwörter. Entfernen Sie diese Entwicklungs- und Test-IDs sowie Passwörter, bevor Sie den Code in die Produktion migrieren. Verwenden Sie stattdessen Projektvariablen, um Informationen wie IDs und Passwörter zu speichern. Als bewährte Praxis sollten Sie separate Entwicklungs-, Test- und Produktionsumgebungen pflegen. Sie sollten auch sicherstellen, dass personenbezogene Daten (PII) nicht in Tests verwendet werden.

API-Sicherheit

Der Jitterbit API Manager unterstützt die Authentifizierung mit OAuth 2.0 mit Google, Okta und Salesforce als Identitätsanbieter. NetSuite hat seit der Version 2018.2 die tokenbasierte Authentifizierung (TBA) für Administratoren, Vollzugriff und andere hochprivilegierte Rollen durchgesetzt. API-Schlüssel und API-Geheimnisse können verwendet werden, um Benutzer mit der API Manager API zu authentifizieren.

Zertifikate

Jitterbit kann sich mit externen Ressourcen über SSL-Client Zertifikate authentifizieren, wenn eine Verbindung zu HTTP oder SOAP Endpunkten im Integration Studio hergestellt wird, sowie zu HTTP-Endpunkten oder Webdiensten im Design Studio. Die Einstellungen für Client-Zertifikate können im Harmony-Portal auf der Seite Management Console > Anpassungen > Client-Zertifikate aufgerufen werden.

Zertifikate zu einem Keystore hinzufügen

Jitterbit-Anwendungen, die lokal installiert sind, enthalten einen vertrauenswürdigen Keystore, der die für die sichere Kommunikation über HTTPS benötigten Zertifikate enthält. Zum Beispiel würden Sie ein neues Zertifikat zum Jitterbit-Java-Keystore hinzufügen, wenn Sie einen Proxy-Server verwenden und dem Jitterbit-Lokalklienten die sichere Kommunikation über den Proxy-Server ermöglichen müssen. Sie können bei Bedarf neue Zertifikate hinzufügen. Sie müssen auch Zertifikate ersetzen oder erneuern, wenn sie geändert werden. Informationen und Anleitungen zum Hinzufügen von Zertifikaten zu einem Keystore finden Sie auf diesen Seiten:

• Zertifikate zum Keystore für Cloud Data Loader hinzufügen
• Zertifikate zum Keystore für Design Studio hinzufügen
• Zertifikate zum Keystore für private Agenten hinzufügen

Connector-Sicherheit

Beim Migrieren Ihres Projekts in eine andere Umgebung möchten Sie das Teilen privater Informationen vermeiden. Beginnen Sie mit diesen Sicherheitsfunktionen für Connectoren:

• Projektvariablen: Bei der Arbeit mit Connectors können Projektvariablen zusätzliche Sicherheit bieten. Wenn Sie Skripte oder Transformationen erstellen, verwenden Sie Projektvariablen für private Informationen wie Anmelde- oder Benutzer-IDs, Passwörter, Zugriffsschlüssel und andere Informationen, die sicher aufbewahrt werden müssen. Siehe Verwendung von Projektvariablen in Skripten oder Transformationen für Informationen und Verfahren.

• Konfiguration: Unverschlüsselte Benutzernamen und Passwörter sind zur Laufzeit erforderlich. Verwenden Sie Keystores und ziehen Sie diese Informationen aus einer Datenbank, die außerhalb des Agenten gespeichert ist und erst zur Laufzeit abgerufen wird.

• Drittanbieter-Vaults: Sichere, digitale Online-Vaults sind darauf ausgelegt, die Privatsphäre Ihrer Daten zu schützen. Durch die Verwendung von Datenverschlüsselung, starker Benutzerauthentifizierung und redundanter Speicherung ermöglichen diese Vaults Cloud-Speicher mit Datensicherheit. Die spezifischen Funktionen, Preise und Anleitungen hängen von dem Anbieter ab, den Sie wählen.

• IP-Whitelist: In den meisten Situationen müssen Sie keine speziellen Netzwerk- oder Firewall-Änderungen vornehmen, wenn private Agenten oder das Design Studio mit Harmony kommunizieren. Was ist, wenn Ihr Netzwerk hinter einer Firewall liegt? In diesem Fall konfigurieren Sie Ihr Netzwerk so, dass es mit Harmony kommuniziert, und verwenden Sie eine Whitelist, um diese Kommunikation zuzulassen. Jitterbit stellt für jede Region IP-Adressen zur Verfügung, die auf der Whitelist stehen. Weitere Informationen finden Sie unter Whitelist-Informationen.

Protokollsicherheit

Wenn Sie über Protokollierung und Sicherheit nachdenken, prüfen Sie Ihre geschäftlichen Anforderungen. Entscheiden Sie, welches Protokollierungsniveau Sie benötigen und welche Risiken für Sie basierend auf Ihren Sicherheitsanforderungen akzeptabel sind. Jitterbit generiert Protokolle für verschiedene Funktionen wie Betriebsprotokolle, Windows- oder Linux-Ereignisprotokolle und API-Protokolle. Die meisten Kunden verwenden Cloud-Protokollierung in der Jitterbit-Cloud. Protokolldaten sind zur Sicherheit verschlüsselt. Sie können die Cloud-Protokollierung bei Bedarf deaktivieren.

Cloud-Agenten

Wenn eine Cloud-Agentengruppe eine Integrationsoperation ausführt, wird ein Aktivitätsprotokoll erstellt, das in der Cloud gespeichert wird. Sie können Protokolle von der Seite Runtime Operations der Management Console einsehen. Diese Aufzeichnungen und ihre Details werden 30 Tage lang aufbewahrt. Jitterbit stellt Werkzeuge und Protokollierungs- und Fehlerfunktionen zur Verfügung, um Ihnen bei der Erstellung und Fehlersuche von Operationen zu helfen. Das Invoke Operation (Beta) Werkzeug (wenn Fehler auslösen, wenn die Operation fehlschlägt aktiviert ist) und WriteToOperationLog() können verwendet werden, um sensible Daten in Protokolle zu schreiben, aber wir raten dringend davon ab, da dies ein Sicherheitsproblem verursachen kann.

Private agents

Die Verwendung einer privaten Agentengruppe hält alle Ihre Informationen innerhalb Ihrer Organisation und auf Ihren eigenen Servern. Deaktivieren Sie das Cloud-Logging, um zu vermeiden, dass Protokolle an Harmony gesendet werden. Am Ende jeder Operation können Sie ein Skript verwenden, um Protokolldaten lokal zu senden. Debug-Protokolle, Transformationsprotokolle, Fehlerprotokolle, Fehlerprotokolle von Endpunktaufrufen und mehr sind verfügbar und können in der Datei jitterbit.conf festgelegt werden. Siehe Bearbeiten der Konfigurationsdatei - jitterbit.conf für Einstellungen und Werte.