Prácticas recomendadas de seguridad para administradores, desarrolladores de proyectos y especialistas en integración que utilizan Jitterbit Harmony

Introducción

Este documento está destinado a administradores, desarrolladores de proyectos y especialistas en integración que integran Jitterbit con otros productos, como Salesforce, NetSuite y otros extremos. Al trabajar con sus proyectos, cree proyectos teniendo en cuenta la seguridad.

Antes de desplegar proyectos, debe haber completado una auditoría reciente de la infraestructura y los procedimientos de seguridad de su empresa. Una auditoría de seguridad es una evaluación estructurada y validada de la seguridad del sistema de información de su empresa. La auditoría de seguridad mide cómo la seguridad de su empresa se ajusta a un conjunto de criterios establecidos y estándar de la industria, que incluyen políticas, procedimientos y requisitos.

Si opera bajo algún requisito regulatorio, como la Administración Federal de Aviación (FAA) o la Administración de Alimentos y Medicamentos (FDA) de EE. UU., asegúrese de que su configuración de seguridad cumpla con estos requisitos.

Normativa de seguridad y protección de datos

Existen importantes regulaciones gubernamentales a las que puede estar sujeto, según el lugar donde opere su negocio o donde vivan y trabajen sus clientes. Estas regulaciones se ocupan de la privacidad de los datos, de la cual usted, junto con Jitterbit, es responsable.

Reglamentos estatales y federales de los Estados Unidos de América:

• HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico) y HITECH (Ley de Tecnología de Seguros de Salud para la Salud Clínica) establece requisitos para el uso, la divulgación y la protección de la PHI (información médica privada). Estas leyes se aplican a las entidades cubiertas, como los proveedores de servicios de salud, así como a los proveedores de servicios en la nube y de TI.
• CCPA (Ley de Privacidad del Consumidor de California) mejora los derechos de los consumidores y la protección de la privacidad de los residentes de California. Se aplica a cualquier empresa que recopile datos personales de los consumidores y que realice negocios en California.

Normativa de la Unión Europea y de la Zona Europea de Actividad Económica:

• RGPD (Reglamento General de Protección de Datos) otorga control a las personas en la UE (Unión Europea) y el EEE (Espacio Económico Europeo). Exige que las empresas se aseguren de que sus procesos que manejan datos personales se diseñen e implementen con salvaguardas para proteger los datos. Estas empresas también deben divulgar sus políticas de recopilación, uso y retención de datos.

Agentes de la nube y agentes privados

Cuando ejecuta una integración, Jitterbit conecta sus datos a través de los agentes que configuró. Los agentes pueden ser agentes de la nube o agentes privados y los agentes existen en grupos. Los grupos son conjuntos de agentes en el mismo ambiente, que proporcionan alta disponibilidad. Esto significa que si un grupo deja de funcionar y no está disponible, otro puede ocupar su lugar y continuar con su trabajo. El grupo de agentes en la nube es un conjunto de agentes mantenidos y administrados por Jitterbit en la nube. Los grupos de agentes privados son mantenidos y administrados por usted, utilizando sus propios servidores o instancias dentro de su firewall o alojados virtualmente en nubes privadas. Al ejecutar agentes privados, sus datos comerciales confidenciales permanecerán dentro de sus redes administradas.

Grupos de agentes de la nube

Los agentes de la nube son mantenidos y administrados por Jitterbit. Los agentes de la nube Jitterbit son multiusuario y están bloqueados. Los datos que fluyen a través de ellos son transitorios y solo permanecen en el agente para completar el procesamiento. No puede controlar ni configurar el grupo de agentes de la nube Jitterbit ni sus agentes como puede hacerlo con sus grupos de agentes privados.

Cuando el grupo de agentes de la nube Jitterbit realiza una integración, se conecta directamente con la aplicación que requiere la integración de datos. Luego lee y publica datos en estas aplicaciones. Si utiliza almacenamiento persistente como parte de su proyecto, permanecerá en el agente durante 24 horas. Los datos que persisten en el grupo de agentes de la nube Jitterbit se almacenan en depósitos de Amazon S3 cifrados a los que no puede acceder directamente el usuario. Cada integración almacena datos en el depósito de su ambiente. Para obtener información detallada sobre la seguridad de la red de Amazon S3 y las prácticas recomendadas, consulte Seguridad de Amazon S3.

Si tiene un requisito normativo que restringe la residencia de datos en la nube o fuera de los límites geográficos, utilice un grupo de agentes privados.

Grupos de agentes privados

Dado que usted administra y controla los agentes privados, controla su seguridad. Cuando utiliza agentes privados, los datos no salen de sus servidores. Si utiliza una nube privada, usted elige dónde opera su ambiente de tiempo de ejecución de integración y controla en qué red viajan y residen los datos de su empresa.

Los agentes privados se autentican y se comunican con Harmony a través de HTTPS. Los agentes privados implementados detrás de firewalls corporativos se pueden configurar para comunicarse a través de un servidor proxy corporativo. No hay requisitos de red adicionales, como abrir puertos dentro de firewalls corporativos. La seguridad es su responsabilidad cuando utiliza agentes privados.

Jitterbit ofrece consejos y recomendaciones de mejores prácticas para alojar código de agente privado en Requisitos del sistema para agentes privados.

Extremos seguros con agentes privados

Hay muchos métodos que puede utilizar para proteger los extremos, incluidos:

• Utilice una VPN (red privada virtual) junto con cifrado.
• Las listas de permitidos de red pueden controlar quién tiene permitido el acceso a su red. Para utilizar listas de permitidos con agentes privados, consulte Información de listas de permitidos.
• Asegúrate de que todos los controladores y complementos que uses estén actualizados y probados.

Organizaciones y ambientes

Los distintos usuarios y grupos necesitarán distintos niveles de acceso para acceder a sus Organizaciones y Ambientes. Un usuario no necesita el mismo nivel de acceso que un desarrollador o un administrador. Por ejemplo, un desarrollador de su organización puede necesitar permisos de ejecución y escritura en API Manager para crear y editar perfiles de seguridad, crear y editar APIs y acceder a determinadas funciones en la Management Console. El usuario cotidiano no necesita estos permisos elevados. Piense en los usuarios y grupos y en lo que hacen. Limite el acceso para que los usuarios solo puedan usar lo que necesitan para realizar sus tareas.

Aplique parches de hardware y software. En el caso de los grupos de agentes en la nube, Jitterbit es responsable de los cambios de código. Si utiliza grupos de agentes privados, controle las actualizaciones y los parches de su sistema operativo y software de aplicación, controladores y complementos, y aplíquelos cuando corresponda.

Proporcionar autenticación segura mediante OAuth y la autenticación multifactor, como la 2FA (autenticación de dos factores), es fundamental. OAuth se analiza en perfiles de seguridad en el API Manager. La 2FA se analiza en Controles de contraseñas de Jitterbit.

Mantenga las cuentas de desarrollo y prueba separadas de las de producción. Esto incluye identificadores y contraseñas independientes. Elimine estos identificadores y contraseñas de desarrollo y prueba antes de migrar el código a producción. En su lugar, utilice variables del proyecto para almacenar información como identificadores y contraseñas. Como práctica recomendada, mantenga ambientes de desarrollo, prueba y producción separados. También debe asegurarse de que la información de identificación personal (PII) no se utilice en las pruebas.

Seguridad de API

El API Manager de Jitterbit es compatible con autenticación con Google, Okta y Salesforce como proveedores de identidad. NetSuite ahora aplica la autenticación basada en token (TBA) para administradores, acceso total y otros roles con privilegios elevados a partir de la versión 2018.2. Consulte Autenticación basada en token de NetSuite 2018.2 para obtener más información e instrucciones. Las claves API y los secretos API se pueden utilizar para autenticar usuarios con la API de API Manager.

Certificados {: #certificates }Jitterbit puede autenticarse con recursos externos con cliente SSL certificados al conectarse a HTTP o SOAP extremos en Integration Studio, y con extremos HTTP o servicios web en Design Studio. Se puede acceder a la configuración de los certificados de cliente en el portal Harmony en la página Management Console > Personalizaciones > Certificados de cliente.

Agregar certificados a un almacén de claves

Las aplicaciones Jitterbit que se instalan localmente incluyen un almacén de claves de confianza que contiene los certificados necesarios para una comunicación segura a través de HTTPS. Por ejemplo, agregaría un nuevo certificado al almacén de claves de Java de Jitterbit si utiliza un servidor proxy y necesita permitir que el cliente local de Jitterbit se comunique de forma segura a través del servidor proxy. Puede agregar nuevos certificados según sea necesario. También deberá reemplazar o renovar los certificados si se modifican. Puede encontrar información e instrucciones sobre cómo agregar certificados a un almacén de claves en estas páginas:

• Agregar certificados al almacén de claves para Cloud Data Loader
• Agregar certificados al almacén de claves para Design Studio
• Agregar certificados al almacén de claves para agentes privados

Seguridad del conector

Al migrar su proyecto a otro ambiente, querrá evitar compartir información privada. Comience con estas funciones de seguridad del conector:

• Variables del proyecto: Al trabajar con conectores, variables del proyecto puede proporcionar seguridad adicional. Si está creando secuencias de comandos o transformaciones, utilice variables de proyecto para información privada, como identificadores de inicio de sesión o de usuario, contraseñas, claves de acceso y otra información que se debe mantener segura. Consulte Uso de variables de proyecto en secuencias de comandos o transformaciones para obtener información y procedimientos.

• Configuración: Se requieren nombres de usuario y contraseñas sin cifrar en el tiempo de ejecución. Utilice almacenes de claves y extraiga esta información de una base de datos almacenada fuera del agente y que no se llama hasta el tiempo de ejecución.

• Bóvedas de terceros: Las bóvedas digitales seguras en línea están diseñadas para proteger la privacidad de sus datos. Mediante el uso de cifrado de datos, autenticación de usuario sólida y almacenamiento redundante, estas bóvedas permiten el almacenamiento en la nube con seguridad de datos. Las características específicas, los precios y las instrucciones dependen del proveedor que elija.

• Listas de direcciones IP permitidas: En la mayoría de las situaciones, no es necesario realizar ningún cambio especial en la red o el firewall cuando los agentes privados o Design Studio se comunican con Harmony. ¿Qué sucede si su red está detrás de un firewall? En ese caso, configure su red para comunicarse con Harmony y use una lista de permisos para permitir esta comunicación. Jitterbit proporciona direcciones IP permitidas para cada región. Consulte Información sobre la lista de direcciones IP permitidas para obtener más información.

Seguridad de registros

Al pensar en el registro y la seguridad, examine los requisitos de su negocio. Decida qué nivel de registro necesita y qué riesgos son aceptables para usted en función de sus requisitos de seguridad. Jitterbit genera registros para diferentes funciones, como registros de operaciones, Registros de eventos de Windows o Linux y registros de API. La mayoría de los clientes utilizan el registro en la nube de Jitterbit. Los datos de registro están encriptados por razones de seguridad. Puede desactivar el registro en la nube si es necesario.

Agentes de la nube

Cuando un grupo de agentes de la nube ejecuta una operación de integración, crea un registro de actividad que se almacena en la nube. Puede ver los registros desde Operaciones en tiempo de ejecución página de la Management Console. Estos registros y sus detalles se conservan durante 30 días. Jitterbit proporciona funciones de registro y error para ayudarle a crear y depurar scripts. WriteToOperationLog()Se puede utilizar para escribir datos confidenciales en los registros, pero recomendamos encarecidamente no hacerlo, ya que puede generar un problema de seguridad.

Agentes privados

El uso de un grupo de agentes privados mantiene toda su información dentro de su organización y en sus propios servidores. Deshabilite el registro en la nube para evitar enviar registros a Harmony. Al final de cada operación, puede usar un secuencia de comandos para enviar datos de registro localmente. Los registros de depuración, los registros de transformación, los registros de errores, los registros de errores de llamadas de extremo y más están disponibles y se pueden configurar en el jitterbit.conf archivo. Consulte Edición del archivo de configuración - jitterbit.conf para configuraciones y valores.