Saltar al contenido

Mejores prácticas de seguridad para administradores, creadores de proyectos y especialistas en integración que utilizan Jitterbit Harmony

Introducción

Este documento es para administradores, creadores de proyectos y especialistas en integración que integran Jitterbit con otros productos, como Salesforce, NetSuite y otros puntos finales. Al trabajar en sus proyectos, construya con la seguridad como prioridad.

Nota

Metodología de proyectos de integración contiene información útil para un PM de proyectos de integración.

Antes de implementar proyectos, debe haber completado una auditoría reciente de la infraestructura y procedimientos de seguridad de su empresa. Una auditoría de seguridad es una evaluación estructurada y validada de la seguridad del sistema de información de su empresa. La auditoría de seguridad mide cómo la seguridad de su empresa se ajusta a un conjunto de criterios establecidos y estándar de la industria, que incluyen políticas, procedimientos y requisitos.

Nota

Información sobre auditoría de seguridad y cumplimiento:

Esta no es una lista completa. Otros recursos pueden estar disponibles a través del especialista en seguridad y cumplimiento de su organización.

Si opera bajo algún requisito regulatorio, como los de la FAA o FDA de EE. UU., asegúrese de que su configuración de seguridad cumpla con estos requisitos.

Regulaciones de seguridad y protección de datos

Existen importantes regulaciones gubernamentales a las que puede estar sujeto, dependiendo de dónde opere su negocio o dónde vivan y trabajen sus clientes. Estas regulaciones tratan sobre la privacidad de los datos, por la cual usted, junto con Jitterbit, son responsables.

Nota

Las siguientes regulaciones requieren que Jitterbit, sus socios tecnológicos y usted implementen y mantengan salvaguardias administrativas, físicas y técnicas razonables o apropiadas. Estas leyes y regulaciones otorgan derechos específicos de privacidad a los que debe adherirse. Además, cada una tiene plazos y requisitos de informes específicos.

Regulaciones estatales y federales de los Estados Unidos de América:

Regulaciones de la Unión Europea y la Zona de Actividad Económica Europea:

  • GDPR (Reglamento General de Protección de Datos) otorga control a los individuos en la UE (Unión Europea) y EEE (Espacio Económico Europeo). Requiere que las empresas aseguren que sus procesos que manejan datos personales deben ser diseñados e implementados con salvaguardias para proteger los datos. Estas empresas también deben divulgar sus políticas de recopilación, uso y retención de datos.

Agentes en la nube y agentes privados

Cuando ejecuta una integración, Jitterbit conecta sus datos a través de los agentes que configuró. Los agentes pueden ser agentes en la nube o agentes privados y los agentes existen en grupos. Los grupos son conjuntos de agentes en el mismo Entorno, que proporcionan alta disponibilidad. Esto significa que si un grupo falla y no está disponible, otro puede ocupar su lugar y continuar con su trabajo. El grupo de agentes en la nube es un conjunto de agentes mantenidos y gestionados por Jitterbit en la nube. Los grupos de agentes privados son mantenidos y gestionados por usted, utilizando sus propios servidores o instancias dentro de su firewall o alojados virtualmente en nubes privadas. Al ejecutar agentes privados, sus datos comerciales sensibles permanecerán dentro de sus redes gestionadas.

Nota

¿Qué tipo de agente utilizar?

  • Utiliza grupos de agentes en la nube cuando desees ejecutar tu integración en la nube y necesites la escalabilidad que ofrecen los grupos de agentes en la nube.
  • Utiliza grupos de agentes privados cuando desees – o debas – ejecutar integraciones en tus instalaciones.

Grupos de agentes en la nube

Los agentes en la nube son mantenidos y gestionados por Jitterbit. Los agentes en la nube de Jitterbit son multi-inquilinos y están restringidos. Los datos que fluyen a través de ellos son transitorios y solo permanecen en el agente para completar el procesamiento. No puedes controlar ni configurar el grupo de agentes en la nube de Jitterbit o sus agentes como lo haces con tus grupos de agentes privados.

Cuando el grupo de agentes en la nube de Jitterbit realiza una integración, se conecta directamente con la aplicación que requiere la integración de datos. Luego lee y publica datos en estas aplicaciones. Si utilizas almacenamiento persistente como parte de tu proyecto, permanecerá en el agente durante 24 horas. Los datos que persisten en el grupo de agentes en la nube de Jitterbit se almacenan en cubos de Amazon S3 encriptados que no son accesibles directamente por los usuarios. Cada integración almacena datos en el cubo de su entorno. Para obtener información detallada sobre la seguridad de la red de Amazon S3 y las mejores prácticas, consulta Amazon S3 Security.

Si tienes un requisito regulatorio que restringe que los datos residan en la nube o fuera de las fronteras geográficas, utiliza un grupo de agentes privados en su lugar.

Grupos de agentes privados

Debido a que gestionas y controlas los agentes privados, controlas su seguridad. Cuando utilizas agentes privados, los datos no salen de tus servidores. Si utilizas una nube privada, eliges dónde opera tu entorno de ejecución de integración y controlas en qué red viajan y residen tus datos comerciales.

Los agentes privados se autentican y comunican con Harmony a través de HTTPS. Los agentes privados desplegados detrás de cortafuegos corporativos pueden configurarse para comunicarse a través de un servidor proxy corporativo. No hay requisitos adicionales de red, como abrir puertos dentro de los cortafuegos corporativos. La seguridad es tu responsabilidad al utilizar agentes privados.

Jitterbit proporciona consejos y recomendaciones de mejores prácticas para alojar código de agente privado en Requisitos del sistema para agentes privados.

Nota

Si está utilizando grupos de agentes privados, revise la información bajo Regulaciones de seguridad y protección de datos.

Puntos finales seguros con agentes privados

Existen muchos métodos que puede utilizar para asegurar los puntos finales, incluyendo:

  • Utilizar una VPN (Red Privada Virtual) junto con cifrado.
  • Las listas de permitidos de red pueden controlar quién tiene acceso a su red. Para utilizar listas de permitidos con agentes privados, consulte Información sobre listas de permitidos.
  • Asegúrese de que los controladores y complementos que utilice estén actualizados y probados.

Organizaciones y entornos

Diferentes usuarios y grupos necesitarán diferentes niveles de acceso para acceder a sus Organizaciones y Entornos. Un usuario no necesita el mismo nivel de acceso que un desarrollador o un administrador. Por ejemplo, un desarrollador en su organización puede necesitar permisos de Ejecución y Escritura en el API Manager para crear y editar perfiles de seguridad, crear y editar APIs, y acceder a ciertas funcionalidades en la Consola de Administración. El usuario del día a día no requiere estos permisos elevados. Piense en los usuarios y grupos y en lo que hacen. Limite el acceso para que los usuarios solo puedan utilizar lo que necesitan para realizar sus tareas.

Aplique parches de hardware y software. Para grupos de agentes en la nube, Jitterbit es responsable de los cambios de código. Si está utilizando grupos de agentes privados, supervise las actualizaciones y parches de su sistema operativo y software de aplicación, controladores y complementos, y aplíquelos cuando sea apropiado.

Proporcionar autenticación segura utilizando OAuth y autenticación multifactor, como 2FA (autenticación de dos factores), es fundamental. OAuth se discute en los perfiles de seguridad en el API Manager. 2FA se discute en Controles de contraseña de Jitterbit.

Mantenga las cuentas de desarrollo y prueba separadas de la producción. Esto incluye IDs y contraseñas separadas. Elimine estos IDs y contraseñas de desarrollo y prueba antes de migrar el código a producción. En su lugar, utilice variables de proyecto para almacenar información como IDs y contraseñas. Como mejor práctica, mantenga entornos separados de desarrollo, prueba y producción. También debe asegurarse de que la Información Personalmente Identificable (PII) no se utilice en las pruebas.

Note

Si se encuentra en una industria regulada, como la atención médica, o si está sujeto a regulaciones gubernamentales relacionadas con datos y movimiento de datos, revise esos requisitos como parte de su planificación de seguridad.

Seguridad de la API

Note

Para una discusión en profundidad sobre la seguridad de la API, consulte seguridad del API Manager.

El Jitterbit API Manager admite autenticación OAuth 2.0 con Google, Okta y Salesforce como Proveedores de Identidad. NetSuite ha impuesto la autenticación basada en tokens (TBA) para Administrador, Acceso Completo y otros roles altamente privilegiados desde su lanzamiento 2018.2. Las Claves de API y los Secretos de API se pueden utilizar para autenticar usuarios con la API del API Manager.

Certificados

Jitterbit puede autenticarse con recursos externos mediante certificados SSL client al conectarse a puntos finales HTTP o SOAP en Integration Studio, y con puntos finales HTTP o Servicios web en Design Studio. La configuración de Certificados de Cliente se puede acceder en el portal Harmony en la página Management Console > Customizations > Client Certificates.

Agregar certificados a un almacén de claves

Las aplicaciones de Jitterbit que están instaladas localmente incluyen un almacén de claves de confianza que contiene los certificados necesarios para la comunicación segura a través de HTTPS. Por ejemplo, se debe agregar un nuevo certificado al almacén de claves de Java de Jitterbit si se utiliza un servidor proxy y se necesita permitir que el cliente local de Jitterbit se comunique de manera segura a través del servidor proxy. Se pueden agregar nuevos certificados según sea necesario. También será necesario reemplazar o renovar los certificados si se cambian. La información e instrucciones sobre cómo agregar certificados a un almacén de claves se pueden encontrar en estas páginas:

Seguridad del conector

Al migrar su proyecto a otro entorno, se desea evitar compartir información privada. Comience con estas características de seguridad del conector:

  • Variables del proyecto: Al trabajar con conectores, las variables del proyecto pueden proporcionar seguridad adicional. Si está creando scripts o transformaciones, utilice variables del proyecto para información privada como inicios de sesión o IDs de usuario, contraseñas, claves de acceso y otra información que debe mantenerse segura. Consulte Uso de variables del proyecto en scripts o transformaciones para obtener información y procedimientos.

  • Configuración: Se requieren nombres de usuario y contraseñas sin cifrar en tiempo de ejecución. Utilice almacenes de claves y obtenga esta información de una base de datos almacenada fuera del agente y que no se llame hasta el tiempo de ejecución.

  • Cámaras de seguridad de terceros: Las cámaras de seguridad digitales en línea están diseñadas para proteger la privacidad de sus datos. Utilizando cifrado de datos, autenticación de usuario fuerte y almacenamiento redundante, estas cámaras permiten almacenamiento en la nube con seguridad de datos. Las características específicas, precios e instrucciones dependen del proveedor que elija.

  • Listas de Permisos de IP: En la mayoría de las situaciones, no es necesario realizar cambios especiales en la red o el firewall cuando los agentes privados o el Design Studio se comunican con Harmony. ¿Qué sucede si tu red está detrás de un firewall? En ese caso, configura tu red para comunicarte con Harmony y utiliza una lista de permisos para permitir esta comunicación. Jitterbit proporciona direcciones IP en la lista de permisos para cada región. Consulta la información sobre la lista de permisos para más información.

Seguridad de Registros

Al pensar en el registro y la seguridad, examina los requisitos de tu negocio. Decide qué nivel de registro necesitas y qué riesgos son aceptables para ti según tus requisitos de seguridad. Jitterbit genera registros para diferentes funciones, como registros de operaciones, registros de eventos de Windows o Linux, y registros de API. La mayoría de los clientes utilizan el registro en la nube en la nube de Jitterbit. Los datos de registro están cifrados por seguridad. Puedes desactivar el registro en la nube si es necesario.

Nota

Si desactivas el registro en la nube, los registros de la aplicación no se escriben.

Agentes en la Nube

Cuando un grupo de agentes en la nube ejecuta una operación de integración, crea un registro de actividad que se almacena en la nube. Puedes ver los registros desde la página de Operaciones en Tiempo de Ejecución de la Consola de Administración. Estos registros y sus detalles se retienen durante 30 días. Jitterbit proporciona herramientas y funciones de registro y error para ayudarte a crear y depurar operaciones. La herramienta Invocar Operación (Beta) (cuando Generar error si la operación falla está habilitado) y WriteToOperationLog() se pueden usar para escribir datos sensibles en los registros, pero recomendamos encarecidamente no hacerlo, ya que puede crear un problema de seguridad.

Nota

Aunque Jitterbit no proporciona soporte nativo para compartir registros de operaciones utilizando herramientas como ELK, Splunk o Loggly, muchas herramientas de monitoreo de registros tienen agentes que se pueden implementar en la misma máquina que el agente privado. Estos agentes luego recopilan datos según reglas definidas e ingresan datos a la herramienta de monitoreo de registros.

Agentes privados

Usar un grupo de agentes privados mantiene toda tu información dentro de tu organización y en tus propios servidores. Desactiva el registro en la nube para evitar enviar registros a Harmony. Al final de cada operación, puedes usar un script para enviar los datos de registro localmente. Los registros de depuración, los registros de transformación, los registros de errores, los registros de errores de llamadas a puntos finales y más están disponibles, y se pueden configurar en el archivo jitterbit.conf. Consulta Editar el archivo de configuración - jitterbit.conf para obtener configuraciones y valores.