Lista de comprobación para reforzar la seguridad del sitio

Para reforzar la seguridad del sitio de HCL Commerce, puede habilitar y configurar varias características de seguridad. Además, las personalizaciones de sitio deben realizarse siempre de modo que sigan los procedimientos recomendados tal como se describe en este documento.

No se trata de una lista completa de medidas de seguridad para el sitio. Esta lista se ha diseñado principalmente para facilitar la navegación de la sección de seguridad de HCL Commerce de la documentación de HCL Commerce y para resaltar las consideraciones de seguridad para las personalizaciones de HCL Commerce y la configuración segura de otros productos de la empresa. Es posible que sea necesario un refuerzo adicional de la seguridad para garantizar la seguridad del sitio. Para obtener más información sobre los estándares de seguridad, consulte Estándares de seguridad.

Desarrollo

Esta lista se proporciona para fines de desarrollo. Asegúrese de que las personalizaciones del sitio siguen los procedimientos recomendados indicados en los siguientes temas:

Revise las secciones de seguridad y desarrollo de la documentación de HCL Commerce. Asegúrese de que conoce todas las características de seguridad y que existen procedimientos recomendados de desarrollo antes de desarrollar adiciones o personalizaciones.
Asegúrese de que se utiliza el control de acceso adecuado en todas las personalizaciones y adiciones. Consulte Implementación del control de acceso. Para ver un análisis detallado de cómo evitar dificultades con el control de acceso y para los ejemplos de implementación correcta, consulte:
- Seguridad de DB2, parte 8: Doce mejores prácticas de seguridad DB2.
- Refuerzo de la seguridad del sitio: implementación de control de acceso con mandatos.
Reduzca la amenaza de ataques de script entre sitios seguro de que toda la salida se codifica mediante la etiqueta wcf:out. Para obtener más información sobre la etiqueta out, consulte Etiqueta: out. Como alternativa, también se puede utilizar la etiqueta c:out estándar.
Habilite la protección contra falsificación de petición Cross-Site. Para obtener más información sobre cómo habilitar la protección contra la falsificación de petición Cross-Site, consulte Habilitar la protección contra la falsificación de petición Cross-Site en Struts, Habilitación de la protección contra la falsificación de peticiones entre sitios en REST y Habilitar la falsificación de solicitudes en la primavera.

: configuración

Esta lista se proporciona para fines de administración del sitio. Asegúrese de que el sitio se ha configurado de modo que se haya reforzado contra vectores de ataque comunes:

Proteja las claves del comerciante y de pago utilizando KLF (Key Locator Framework).
Asegúrese de que los tiempos de espera de inicio de sesión están habilitados para las sesiones de usuario. Para habilitar los tiempos de espera de sesión, consulte Tiempo de espera de sesión. Esto es incluso más crítico si ha habilitado el soporte de varios inicios de sesión.
Habilite la validación de datos de lista blanda para las llamadas REST y URL de tienda para no permitir parámetros no conformes. Para obtener información sobre el filtro de lista blanca, consulte Habilitación de la validación de datos de lista blanca.
Asegúrese de que la protección de scripts entre sitios permanece habilitada. Para asegurarse de que esta característica está habilitada, consulte Habilitación de la protección contra la vulnerabilidad Cross Site Scripting.
Actualice el cifrado de base de datos a un estándar más fuerte para reducir las posibilidades de que se produzca un ataque agresivo satisfactorio. Para obtener instrucciones sobre cómo actualizar el cifrado de base de datos, consulte Actualización de datos cifrados en la base de datos utilizando MigrateEncyrptedInfo.
Implemente umbrales de objetos de negocio para reducir la amenaza de un ataque de denegación de servicio. Para obtener instrucciones sobre cómo implementar umbrales de objetos de negocio, consulte Umbrales de objetos de negocio.
Utilice el programa de utilidad updateua para asignar y restringir los permisos de la base de datos solamente para un control esencial. Para obtener más información sobre el programa de utilidad updateua, consulte Programa de utilidad para actualizar autorizaciones de usuarios.
Asegúrese de que existan reglas de complejidad de contraseñas y políticas de bloqueo de cuentas. Consulte Configurar una política de contraseñas y Configurar una política de bloqueo de cuentas.
Asegúrese de que a los usuarios privilegiados, tales como representantes del servicio al cliente y administradores de sitios, se les impida iniciar la sesión en el sitio desde redes externas. Para obtener más información sobre cómo controlar el acceso de usuarios privilegiados, consulte Impedir que usuarios privilegiados se registren externamente.
Asegúrese de que la tabla STORECONF solo se rellene con datos de configuración de la tienda que no sean confidenciales. Esto se debe al hecho de que se debe poder acceder a ella mediante un código de cliente de tienda no autenticado.

Despliegue

Esta lista se proporciona para fines de despliegue del sitio. Asegúrese de que el sitio se ha configurado de modo que se haya reforzado contra vectores de ataque comunes:

Asegúrese de que sus entornos de producción utilicen Kubernetes y no cualquier otro método de orquestación de contenedores Docker. Debe dedicar mucho tiempo y esfuerzo a diseñar el despliegue de Kubernetes con en cuenta un refuerzo de la seguridad, el equilibrio de carga, el direccionamiento de entrada y el ajuste de rendimiento.. Para obtener más información, consulte Desplegar HCL Commerce versión 9.1 en Kubernetes.
Asegúrese de haber especificado su propia clave de comerciante, clave de cifrado de claves, clave de sesión y contraseña de spiuser.
Para obtener más información, consulte:
- Datos de entorno en Vault.
- Establecimiento de la contraseña de spiuser en las imágenes de Docker.
Para limitar los privilegios del sistema, ejecute su despliegue como usuario no raíz. Para obtener más información, consulte HCL Commerce : usuarios y privilegios de contenedores.
Habilite vaultLoadDataWithSecret para mejorar la seguridad de los datos de Vault. Para obtener más información, consulte Desplegar el almacén de Vault para HCL Commerce en Kubernetes.

Mantenimiento y operaciones

Esta lista se proporciona para fines de administración del sitio de forma continuada. Si los parches de seguridad y mantenimiento se revisan y aplican de forma oportuna se asegurará de que conoce los problemas de seguridad en curso y que el sitio está actualizado y reforzado contra ataques que de otro modo se producirían:

Suscríbase a los boletines de seguridad de HCL Commerce y revise todos los boletines de seguridad publicados. Para obtener más información, consulte Security bulletins.
Asegúrese de mantener el producto actualizado con los últimos paquetes de mantenimiento. Preste especial atención a los boletines relacionados con la seguridad.
Pruebe el sitio completamente y regularmente. Preste especial atención a todas las personalizaciones del sitio. Recuerde: La seguridad es un proceso, no un producto, o una tarea que nunca se completa.
Implemente una planificación de rotación de claves de cifrado y asegúrese de que el proceso es seguro. Este proceso reduce la posibilidad de un ataque agresivo y mitiga los resultados potenciales de una clave que se ha puesto en peligro. Para obtener información sobre cómo cambiar la clave de cifrado, consulte Programa de utilidad MigrateEncryptedInfo.
Utilice el parámetro -passwordFile para todos los programas de utilidad en línea de mandatos que tienen dicho parámetro para limitar la exposición de las contraseñas de texto sin formato.

Otro software

HCL Commerce es solo una pieza de un grupo más amplio de software que es necesario para ejecutar el sitio. Asegúrese de configurar y reforzar correctamente todo el software que forma parte de la instalación. Asegúrese de que se le soliciten todos los releases de mantenimiento y seguridad. Todas las personalizaciones realizadas en estos productos también deben ajustarse a los respectivos procedimientos recomendados documentados.

Busque flashes, alerta y boletines, y descargue los arreglos para todos los productos IBM en el IBM Support Portal. Consulte IBM Support Portal.
Suscríbase para recibir las actualizaciones de producto críticas para cualquier producto IBM a través de correo electrónico o RSS. Consulte Critical IBM software support updates.

Revise la siguiente documentación para cada parte de software que utiliza para obtener más recomendaciones de seguridad:

Note: La lista no es exhaustiva y está limitada a productos IBM.

IBM Sterling Order Management
IBM HTTP Server
- Revise e implemente todas las consideraciones de seguridad del servidor web estándares. Para los factores a tener en cuenta sobre la seguridad de servidor web, consulte Consideraciones sobre la seguridad del servidor web.
- Reduzca la amenaza de clickjacking habilitando la cabecera X-Frame-Options. Para obtener instrucciones sobre cómo habilitar la cabecera X-Frame-Options, consulte Habilitar la cabecera X-Frame-Options.
IBM Db2 Database
- Revise Db2 security, Part 8: Twelve Db2 security best practices.