Ir para o conteúdo

Melhores práticas de segurança para administradores, construtores de projetos e especialistas em integração usando Jitterbit Harmony

Introdução

Este documento é destinado a administradores, construtores de projetos e especialistas em integração que integram Jitterbit com outros produtos, como Salesforce, NetSuite e outros pontos finais. Ao trabalhar em seus projetos, priorize a segurança.

Nota

Metodologia de projeto de integração contém informações úteis para um PM de projeto de integração.

Antes de implantar projetos, você deve ter concluído uma auditoria recente da infraestrutura e dos procedimentos de segurança da sua empresa. Uma auditoria de segurança é uma avaliação estruturada e validada da segurança do sistema de informações da sua empresa. A auditoria de segurança mede como a segurança da sua empresa se conforma a um conjunto de critérios estabelecidos e padrão da indústria, que incluem políticas, procedimentos e requisitos.

Nota

Informações sobre auditoria de segurança e conformidade:

Esta não é uma lista completa. Outros recursos podem estar disponíveis através do especialista em segurança e conformidade da sua organização.

Se você opera sob quaisquer requisitos regulatórios, como os da FAA ou FDA dos EUA, assegure-se de que sua configuração de segurança esteja em conformidade com esses requisitos.

Regulamentações de segurança e proteção de dados

Existem regulamentações governamentais importantes às quais você pode estar sujeito, dependendo de onde você opera seu negócio ou onde seus clientes vivem e trabalham. Essas regulamentações tratam da privacidade de dados, pela qual você, juntamente com a Jitterbit, é responsável.

Nota

As seguintes regulamentações exigem que a Jitterbit, seus parceiros de tecnologia e você implementem e mantenham salvaguardas administrativas, físicas e técnicas razoáveis ou apropriadas. Essas leis e regulamentações conferem direitos específicos de privacidade que você deve respeitar. Além disso, cada uma possui prazos e requisitos específicos de relatório.

Regulamentações estaduais e federais dos Estados Unidos da América:

Regulamentações da União Europeia e da Zona de Atividade Econômica Europeia:

  • GDPR (Regulamento Geral sobre a Proteção de Dados) confere controle aos indivíduos na UE (União Europeia) e no EEE (Espaço Econômico Europeu). Exige que as empresas garantam que seus processos que lidam com dados pessoais sejam projetados e implementados com salvaguardas para proteger os dados. Essas empresas também devem divulgar suas políticas de coleta, uso e retenção de dados.

Agentes em nuvem e agentes privados

Quando você executa uma integração, a Jitterbit conecta seus dados por meio dos agentes que você configurou. Os agentes podem ser agentes em nuvem ou agentes privados e os agentes existem em grupos. Grupos são conjuntos de agentes no mesmo Ambiente, que fornecem alta disponibilidade. Isso significa que, se um grupo falhar e ficar indisponível, outro pode assumir seu lugar e continuar seu trabalho. O grupo de agentes em nuvem é um conjunto de agentes mantidos e gerenciados pela Jitterbit na nuvem. Os grupos de agentes privados são mantidos e gerenciados por você, usando seus próprios servidores ou instâncias dentro do seu firewall ou hospedados virtualmente em nuvens privadas. Ao executar agentes privados, seus dados comerciais sensíveis permanecerão dentro de suas redes gerenciadas.

Nota

Qual tipo de agente usar?

  • Use grupos de agentes em nuvem quando quiser executar sua integração na nuvem e precisar da escalabilidade que os grupos de agentes em nuvem oferecem.
  • Use grupos de agentes privados quando quiser – ou precisar – executar integrações em suas instalações.

Grupos de agentes em nuvem

Os agentes em nuvem são mantidos e gerenciados pela Jitterbit. Os agentes em nuvem da Jitterbit são multi-inquilinos e estão restritos. Os dados que fluem através deles são transitórios e permanecem no agente apenas para completar o processamento. Você não pode controlar ou configurar o grupo de agentes em nuvem da Jitterbit ou seus agentes como pode fazer com seus grupos de agentes privados.

Quando o grupo de agentes em nuvem da Jitterbit realiza uma integração, ele se conecta diretamente ao aplicativo que requer a integração de dados. Em seguida, lê e publica dados nesses aplicativos. Se você usar armazenamento persistente como parte do seu projeto, ele permanecerá no agente por 24 horas. Os dados que persistem no grupo de agentes em nuvem da Jitterbit são armazenados em buckets do Amazon S3 criptografados que não são acessíveis diretamente pelo usuário. Cada integração armazena dados no bucket do seu ambiente. Para informações detalhadas sobre segurança de rede do Amazon S3 e melhores práticas, consulte Segurança do Amazon S3.

Se você tiver um requisito regulatório que restrinja dados de residir na nuvem ou fora de limites geográficos, use um grupo de agentes privados em vez disso.

Grupos de agentes privados

Como você gerencia e controla agentes privados, você controla sua segurança. Quando você usa agentes privados, os dados não saem de seus servidores. Se você usar uma nuvem privada, você escolhe onde seu ambiente de execução de integração opera e controla em qual rede seus dados comerciais viajam e residem.

Os agentes privados se autenticam e se comunicam com o Harmony via HTTPS. Agentes privados implantados atrás de firewalls corporativos podem ser configurados para se comunicar através de um servidor proxy corporativo. Não há requisitos adicionais de rede, como abrir portas dentro de firewalls corporativos. A segurança é sua responsabilidade ao usar agentes privados.

Jitterbit fornece conselhos e recomendações de melhores práticas para hospedar código de agente privado em Requisitos do sistema para agentes privados.

Nota

Se você estiver usando grupos de agentes privados, revise as informações em Regulamentações de segurança e proteção de dados.

Endpoints seguros com agentes privados

Existem muitos métodos que você pode usar para proteger endpoints, incluindo:

  • Usar uma VPN (Rede Privada Virtual) juntamente com criptografia.
  • Listas de permissão de rede podem controlar quem tem acesso à sua rede. Para usar listas de permissão com agentes privados, consulte Informações sobre listas de permissão.
  • Certifique-se de que todos os drivers e plugins que você usa estão atualizados e testados.

Organizações e ambientes

Diferentes usuários e grupos precisarão de diferentes níveis de acesso para acessar suas Organizações e Ambientes. Um usuário não precisa ter o mesmo nível de acesso que um desenvolvedor ou um administrador. Por exemplo, um desenvolvedor em sua organização pode precisar de permissões de Execução e Escrita no Gerenciador de API para criar e editar perfis de segurança, criar e editar APIs e acessar certas funcionalidades no Console de Gerenciamento. O usuário do dia a dia não requer essas permissões elevadas. Pense sobre os usuários e grupos e o que eles fazem. Limite o acesso para que os usuários possam usar apenas o que precisam para realizar suas tarefas.

Aplique patches de hardware e software. Para grupos de agentes em nuvem, a Jitterbit é responsável por alterações de código. Se você estiver usando grupos de agentes privados, monitore atualizações e patches para seu sistema operacional e software de aplicativo, drivers e plug-ins, e aplique-os quando apropriado.

Fornecer autenticação segura usando OAuth e autenticação multifatorial, como 2FA (autenticação de dois fatores), é crítico. OAuth é discutido em perfis de segurança no Gerenciador de API. 2FA é discutido em controles de senha Jitterbit.

Mantenha contas de desenvolvimento e teste separadas da produção. Isso inclui IDs e senhas separados. Remova esses IDs e senhas de desenvolvimento e teste antes de migrar o código para a produção. Em vez disso, use variáveis de projeto para armazenar informações como IDs e senhas. Como uma boa prática, mantenha ambientes separados de desenvolvimento, teste e produção. Você também deve garantir que Informações Pessoais Identificáveis (PII) não sejam usadas em testes.

Nota

Se você estiver em uma indústria regulamentada, como saúde, ou se estiver sujeito a regulamentações governamentais relacionadas a dados e movimentação de dados, revise esses requisitos como parte do seu planejamento de segurança.

Segurança da API

Nota

Para uma discussão aprofundada sobre segurança da API, veja segurança do API Manager.

O Jitterbit API Manager suporta autenticação OAuth 2.0 com Google, Okta e Salesforce como Provedores de Identidade. O NetSuite impôs autenticação baseada em token (TBA) para Administrador, Acesso Total e outros papéis altamente privilegiados desde seu lançamento 2018.2. Chaves de API e Segredos de API podem ser usados para autenticar usuários com a API do API Manager.

Certificados

O Jitterbit pode se autenticar com recursos externos com certificados SSL client ao se conectar a endpoints HTTP ou SOAP no Integration Studio, e com endpoints HTTP ou Serviços Web no Design Studio. As configurações de Certificados de Cliente podem ser acessadas no portal Harmony na página Management Console > Customizations > Client Certificates.

Adicionar certificados a um keystore

As aplicações Jitterbit instaladas localmente incluem um keystore confiável que contém os certificados necessários para comunicação segura via HTTPS. Por exemplo, você adicionaria um novo certificado ao keystore Java do Jitterbit se estiver usando um servidor proxy e precisar permitir que o cliente local do Jitterbit se comunique de forma segura através do servidor proxy. Você pode adicionar novos certificados conforme necessário. Também será necessário substituir ou renovar certificados se eles forem alterados. Informações e instruções sobre como adicionar certificados a um keystore podem ser encontradas nessas páginas:

Segurança do conector

Ao migrar seu projeto para outro ambiente, você deve evitar compartilhar informações privadas. Comece com esses recursos de segurança do conector:

  • Variáveis de Projeto: Ao trabalhar com Conectores, variáveis de projeto podem fornecer segurança adicional. Se você estiver criando scripts ou transformações, use variáveis de projeto para informações privadas, como login ou IDs de usuário, senhas, chaves de acesso e outras informações que devem ser mantidas seguras. Consulte Usando variáveis de projeto em scripts ou transformações para informações e procedimentos.

  • Configuração: Nomes de usuário e senhas não criptografados são necessários em tempo de execução. Use keystores e extraia essas informações de um banco de dados armazenado fora do agente e que não seja chamado até o tempo de execução.

  • Cofres de terceiros: Cofres digitais online seguros são projetados para proteger a privacidade dos seus dados. Usando criptografia de dados, autenticação forte de usuários e armazenamento redundante, esses cofres permitem armazenamento em nuvem com segurança de dados. Os recursos específicos, preços e instruções dependem do provedor que você escolher.

  • Listas de Permissão de IP: Na maioria das situações, você não precisa fazer alterações especiais na rede ou no firewall quando agentes privados ou o Design Studio se comunicam com o Harmony. E se sua rede estiver atrás de um firewall? Nesse caso, configure sua rede para se comunicar com o Harmony e use uma lista de permissão para permitir essa comunicação. O Jitterbit fornece endereços IP em lista de permissão para cada região. Veja Informações sobre listas de permissão para mais informações.

Segurança de Logs

Ao pensar sobre logging e segurança, examine os requisitos do seu negócio. Decida qual nível de logging você precisa e quais riscos são aceitáveis para você com base em seus requisitos de segurança. O Jitterbit gera logs para diferentes funções, como logs de operações, logs de eventos do Windows ou Linux e logs de API. A maioria dos clientes utiliza logging em nuvem no Jitterbit cloud. Os dados de log são criptografados para segurança. Você pode desativar o logging em nuvem, se necessário.

Nota

Se você desativar o logging em nuvem, os logs de aplicação não serão gravados.

Agentes em Nuvem

Quando um grupo de agentes em nuvem executa uma operação de integração, ele cria um log de atividade que é armazenado na nuvem. Você visualiza os logs na página Operações em Tempo de Execução do Console de Gerenciamento. Esses registros e seus detalhes são mantidos por 30 dias. O Jitterbit fornece ferramentas e funções de logging e erro para ajudá-lo a criar e depurar operações. A ferramenta Invocar Operação (Beta) (quando Gerar erro se a operação falhar estiver habilitado) e WriteToOperationLog() podem ser usadas para gravar dados sensíveis nos logs, mas recomendamos fortemente que isso não seja feito, pois pode criar um problema de segurança.

Nota

Embora o Jitterbit não forneça suporte nativo para compartilhar logs de operações usando ferramentas como ELK, Splunk ou Loggly, muitas ferramentas de monitoramento de logs têm agentes que podem ser implantados na mesma máquina que o agente privado. Esses agentes então coletam dados com base em regras definidas e enviam dados para a ferramenta de monitoramento de logs.

Agentes privados

Usar um grupo de agentes privados mantém todas as suas informações dentro da sua organização e em seus próprios servidores. Desative o registro em nuvem para evitar o envio de logs para o Harmony. Ao final de cada operação, você pode usar um script para enviar os dados de log localmente. Logs de depuração, logs de transformação, logs de erro, logs de erro de chamada de endpoint e mais estão disponíveis e podem ser configurados no arquivo jitterbit.conf. Consulte Edição do Arquivo de Configuração - jitterbit.conf para configurações e valores.