Melhores práticas de segurança para administradores, construtores de projetos e especialistas em integração usando Jitterbit Harmony
Introdução
Este documento é para administradores, construtores de projetos e especialistas em integração que integram o Jitterbit com outros produtos, como Salesforce, NetSuite e outros endpoints. Ao trabalhar com seus projetos, crie com a segurança em primeiro lugar.
Nota
Metodologia de projeto de integração contém informações úteis para um PM de projeto de integração.
Antes de implantar projetos, você deve ter concluído uma auditoria recente da infraestrutura e dos procedimentos de segurança da sua empresa. Uma auditoria de segurança é uma avaliação estruturada e validada da segurança do sistema de informações da sua empresa. A auditoria de segurança mede como a segurança da sua empresa está em conformidade com um conjunto de critérios estabelecidos e padrão do setor, que incluem políticas, procedimentos e requisitos.
Nota
Informações de auditoria de segurança e conformidade:
- Definições de auditoria ISO 19011 traduzidas para o inglês simples
- Orientação de segurança cibernética do HHS.gov
- SOC para Segurança Cibernética da AICPA.org
Esta não é uma lista completa. Outros recursos podem estar disponíveis por meio do especialista em segurança e conformidade da sua organização.
Se você opera sob quaisquer requisitos regulatórios, como US FAA ou FDA, certifique-se de que sua configuração de segurança esteja em conformidade com esses requisitos.
Regulamentações de segurança e proteção de dados
Existem regulamentações governamentais importantes às quais você pode estar sujeito, dependendo de onde você opera seu negócio ou onde seus clientes vivem e trabalham. Essas regulamentações lidam com a privacidade de dados pela qual você, junto com a Jitterbit, é responsável.
Nota
Os seguintes regulamentos exigem que a Jitterbit, seus parceiros de tecnologia e você implementem e mantenham salvaguardas administrativas, físicas e técnicas razoáveis ou apropriadas. Essas leis e regulamentos oferecem direitos de privacidade específicos aos quais você deve aderir. Além disso, cada um tem prazos e requisitos de relatórios específicos.
Regulamentos estaduais e federais dos Estados Unidos da América:
- HIPAA (Lei de Portabilidade e Responsabilidade de Seguro Saúde) e HITECH (Lei de Tecnologia de Seguro Saúde para Saúde Clínica) estabelece requisitos para o uso, divulgação e salvaguarda de PHI (Private Health Information). Essas leis se aplicam a entidades cobertas, como provedores de saúde, bem como serviços de nuvem e provedores de TI.
- CCPA (California Consumer Privacy Act) aprimora os direitos do consumidor e as proteções de privacidade para residentes da Califórnia. Ele lida com qualquer empresa que coleta dados pessoais de consumidores que fazem negócios na Califórnia.
Regulamentos da União Europeia e da Zona Europeia de Atividade Econômica:
- GDPR (Regulamento Geral de Proteção de Dados) dá controle a indivíduos na UE (União Europeia) e EEA (Espaço Econômico Europeu). Exige que as empresas garantam que seus processos que lidam com dados pessoais sejam projetados e implementados com salvaguardas para proteger os dados. Essas empresas também devem divulgar suas políticas de coleta, uso e retenção de dados.
Agentes de nuvem e agentes privados
Quando você executa uma integração, o Jitterbit conecta seus dados por meio dos agentes que você configurou. Os agentes podem ser agentes de nuvem ou agentes privados e agentes existem em grupos. Grupos são conjuntos de agentes no mesmo ambiente, que fornecem alta disponibilidade. Isso significa que se um grupo cair e ficar indisponível, outro pode tomar seu lugar e continuar com seu trabalho. O grupo de agentes de nuvem é um conjunto de agentes mantidos e gerenciados pelo Jitterbit na nuvem. Grupos de agentes privados são mantidos e gerenciados por você, usando seus próprios servidores ou instâncias dentro do seu firewall ou hospedados virtualmente em nuvens privadas. Ao executar agentes privados, seus dados comerciais confidenciais permanecerão dentro de suas redes gerenciadas.
Nota
Qual tipo de agente usar?
- Use grupos de agentes de nuvem quando quiser executar sua integração na nuvem e precisar da escalabilidade que os grupos de agentes de nuvem oferecem.
- Use grupos de agentes privados quando quiser – ou precisar – executar integrações em suas instalações.
Grupos de agentes de nuvem
Os agentes de nuvem são mantidos e gerenciados pelo Jitterbit. Os agentes de nuvem do Jitterbit são multilocatários e são bloqueados. Os dados que fluem são transitórios e permanecem no agente somente para concluir o processamento. Você não pode controlar ou configurar o grupo de agentes de nuvem do Jitterbit ou seus agentes como pode com seus grupos de agentes privados.
Quando o grupo de agentes de nuvem Jitterbit realiza uma integração, ele se conecta diretamente ao aplicativo que requer integração de dados. Em seguida, ele lê e publica dados nesses aplicativos. Se você usar armazenamento persistente como parte do seu projeto, ele permanecerá no agente por 24 horas. Os dados que persistem no grupo de agentes de nuvem Jitterbit são armazenados em buckets criptografados do Amazon S3 que não são diretamente acessíveis ao usuário. Cada integração armazena dados no bucket do seu ambiente. Para obter informações detalhadas sobre a segurança de rede do Amazon S3 e as práticas recomendadas, consulte Segurança do Amazon S3.
Se você tiver um requisito regulatório que restrinja os dados de residirem na nuvem ou fora dos limites geográficos, use um grupo de agentes privados.
Grupos de agentes privados
Como você gerencia e controla agentes privados, você controla a segurança deles. Quando você usa agentes privados, os dados não saem dos seus servidores. Se você usa uma nuvem privada, você escolhe onde seu ambiente de tempo de execução de integração opera e controla em qual rede seus dados comerciais trafegam e residem.
Agentes privados autenticam e se comunicam com o Harmony por HTTPS. Agentes privados implantados atrás de firewalls corporativos podem ser configurados para se comunicar por meio de um servidor proxy corporativo. Não há requisitos de rede adicionais, como abrir portas dentro de firewalls corporativos. A segurança é sua responsabilidade ao usar agentes privados.
O Jitterbit fornece conselhos e recomendações de melhores práticas para hospedar código de agente privado em Requisitos do sistema para agentes privados.
Nota
Se você estiver usando grupos de agentes privados, revise as informações em Regulamentos de segurança e proteção de dados.
Endpoints seguros com agentes privados
Há muitos métodos que você pode usar para proteger endpoints, incluindo:
- Use uma VPN (Rede Privada Virtual) junto com criptografia.
- As listas de permissão de rede podem controlar quem tem permissão para acessar sua rede. Para usar a lista de permissão com agentes privados, consulte Informações da lista de permissão.
- Certifique-se de que todos os drivers e plugins que você usa estejam atualizados e testados.
Organizações e ambientes
Diferentes usuários e grupos precisarão de diferentes níveis de acesso para acessar suas Organizações e Ambientes. Um usuário não precisa do mesmo nível de acesso que um desenvolvedor ou um administrador. Por exemplo, um desenvolvedor em sua organização pode precisar de permissões de Execução e Gravação para o API Manager para criar e editar perfis de segurança, criar e editar APIs e acessar determinada funcionalidade no Management Console. O usuário do dia a dia não precisa dessas permissões elevadas. Pense nos usuários e grupos e no que eles fazem. Limite o acesso para que os usuários possam usar apenas o que precisam para executar suas tarefas.
Aplique patches de hardware e software. Para grupos de agentes de nuvem, o Jitterbit é responsável pelas alterações de código. Se você estiver usando grupos de agentes privados, monitore atualizações e patches para seu SO e software de aplicativo, drivers e plug-ins, e aplique-os quando apropriado.
Fornecendo autenticação segura usando OAuth e autenticação multifator, como 2FA (autenticação de dois fatores) é crítica. OAuth é discutido em perfis de segurança no API Manager. 2FA é discutido em Controles de senha Jitterbit.
Mantenha as contas de desenvolvimento e teste separadas da produção. Isso inclui IDs e senhas separadas. Remova essas IDs e senhas de desenvolvimento e teste antes de migrar o código para a produção. Em vez disso, use variáveis de projeto para armazenar informações como IDs e senhas. Como prática recomendada, mantenha ambientes separados de desenvolvimento, teste e produção. Você também deve garantir que as Informações Pessoais Identificáveis (PII) não sejam usadas em testes.
Nota
Se você estiver em um setor regulamentado, como assistência médica, ou se estiver sujeito a regulamentações governamentais relativas a dados e movimentação de dados, revise esses requisitos como parte do seu planejamento de segurança.
Segurança da API
Nota
Para uma discussão aprofundada sobre segurança de API, consulte Segurança do API Manager.
O Jitterbit API Manager suporta 
autenticação com Google, Okta e Salesforce como Provedores de Identidade. O NetSuite agora impõe autenticação baseada em token (TBA) para Administrador, Acesso Total e outras funções altamente privilegiadas a partir de sua versão 2018.2. Veja Autenticação baseada em token do NetSuite 2018.2 para obter mais informações e instruções. Chaves de API e segredos de API podem ser usados para autenticar usuários com a API do API Manager.
Certificados
Jitterbit pode autenticar com recursos externos com cliente SSL certificados ao conectar-se a HTTP ou SOAP endpoints em Integration Studio, e com endpoints HTTP ou serviços Web no Design Studio. As configurações dos Certificados do Cliente podem ser acessadas no portal Harmony na página Management Console > Personalizações > Certificados de cliente.
Adicionar certificados a um repositório de chaves
Os aplicativos Jitterbit que são instalados localmente incluem um repositório de chaves confiável que contém os certificados necessários para comunicação segura via HTTPS. Por exemplo, você adicionaria um novo certificado ao repositório de chaves Java do Jitterbit se usar um servidor proxy e precisar permitir que o cliente local do Jitterbit se comunique com segurança por meio do servidor proxy. Você pode adicionar novos certificados conforme necessário. Você também precisará substituir ou renovar certificados se eles forem alterados. Informações e instruções sobre como adicionar certificados a um repositório de chaves podem ser encontradas nestas páginas:
- Adicionando certificados ao repositório de chaves para o Cloud Data Loader
- Adicionando certificados ao repositório de chaves para Design Studio
- Adicionando certificados ao repositório de chaves para agentes privados
Segurança do conector
Ao migrar seu projeto para outro ambiente, você quer evitar compartilhar informações privadas. Comece com esses recursos de segurança do conector:
-
Variáveis do Projeto: Ao trabalhar com Conectores, variáveis do projeto pode fornecer segurança adicional. Se você estiver criando scripts ou transformações, use variáveis de projeto para informações privadas, como IDs de login ou de usuário, senhas, chaves de acesso e outras informações que devem ser mantidas seguras. Veja Usando variáveis de projeto em scripts ou transformações para obter informações e procedimentos.
-
Configuração: Nomes de usuário e senhas não criptografados são necessários no tempo de execução. Use keystores e extraia essas informações de um banco de dados armazenado fora do agente e não chamado até o tempo de execução.
-
Vaults de terceiros: Vaults online digitais e seguros são projetados para proteger a privacidade dos seus dados. Usando criptografia de dados, autenticação forte do usuário e armazenamento redundante, esses vaults permitem armazenamento em nuvem com segurança de dados. Os recursos, preços e instruções específicos dependem do provedor que você escolher.
-
Listas de IP Permitidas: Na maioria das situações, você não precisa fazer nenhuma alteração especial de rede ou firewall quando agentes privados ou o Design Studio se comunicam com o Harmony. E se sua rede estiver atrás de um firewall? Nesse caso, configure sua rede para se comunicar com o Harmony e use uma lista de permissões para permitir essa comunicação. O Jitterbit fornece endereços IP permitidos para cada região. Veja Informações da lista de permissões para mais informações.
Segurança de log
Ao pensar em registro e segurança, examine seus requisitos de negócios. Decida qual nível de registro você precisa e quais riscos são aceitáveis para você com base em seus requisitos de segurança. O Jitterbit gera registros para diferentes funções, como registros de operações, Logs de eventos do Windows ou Linux e registros de API. A maioria dos clientes usa o registro em nuvem na nuvem Jitterbit. Os dados de registro são criptografados para segurança. Você pode desabilitar o registro em nuvem, se necessário.
Nota
Se você desabilitar o registro em nuvem, os registros do aplicativo não serão gravados.
Agentes de nuvem
Quando um grupo de agentes de nuvem executa uma operação de integração, ele cria um log de atividades que é armazenado na nuvem. Você visualiza os logs das Operações de tempo de execução página do Management Console. Esses registros e seus detalhes são retidos por 30 dias. O Jitterbit fornece funções de registro e erro para ajudar você a criar e depurar scripts. WriteToOperationLog()pode ser usado para gravar dados sensíveis em logs, mas recomendamos fortemente que não faça isso, pois pode criar um problema de segurança.
Nota
Embora o Jitterbit não forneça suporte nativo para compartilhamento de logs de operação usando ferramentas como ELK, Splunk ou Loggly, muitas ferramentas de monitoramento de log têm agentes que podem ser implantados na mesma máquina que o agente privado. Esses agentes coletam dados com base em regras definidas e ingerem dados para a ferramenta de monitoramento de log.
Agentes privados
Usar um grupo de agentes privados mantém todas as suas informações dentro da sua organização e em seus próprios servidores. Desabilite o registro em nuvem para evitar o envio de registros para o Harmony. No final de cada operação, você pode usar um script para enviar dados de registro localmente. Registros de depuração, registros de transformação, registros de erro, registros de erro de chamada de endpoint e muito mais estão disponíveis e podem ser definidos no jitterbit.conf arquivo. Veja Editando o arquivo de configuração - jitterbit.conf para configurações e valores.