Lista de comprobación para reforzar la seguridad del sitio
Para reforzar la seguridad del sitio de HCL Commerce, puede habilitar y configurar varias características de seguridad. Además, las personalizaciones de sitio deben realizarse siempre de modo que sigan los procedimientos recomendados tal como se describe en este documento.
No se trata de una lista completa de medidas de seguridad para el sitio. Esta lista se ha diseñado principalmente para facilitar la navegación de la sección de seguridad de HCL Commerce de la documentación de HCL Commerce y para resaltar las consideraciones de seguridad para las personalizaciones de HCL Commerce y la configuración segura de otros productos de la empresa. Es posible que sea necesario un refuerzo adicional de la seguridad para garantizar la seguridad del sitio. Para obtener más información sobre los estándares de seguridad, consulte Estándares de seguridad.
Desarrollo
Esta lista se proporciona para fines de desarrollo. Asegúrese de que las personalizaciones del sitio siguen los procedimientos recomendados indicados en los siguientes temas:: configuración
- Proteja las claves del comerciante y de pago utilizando KLF (Key Locator Framework).
- Asegúrese de que los tiempos de espera de inicio de sesión están habilitados para las sesiones de usuario. Para habilitar los tiempos de espera de sesión, consulte Tiempo de espera de sesión. Esto es incluso más crítico si ha habilitado el soporte de varios inicios de sesión.
- Habilite la validación de datos de lista blanda para las llamadas REST y URL de tienda para no permitir parámetros no conformes. Para obtener información sobre el filtro de lista blanca, consulte Habilitación de la validación de datos de lista blanca.
- Asegúrese de que la protección de scripts entre sitios permanece habilitada. Para asegurarse de que esta característica está habilitada, consulte Habilitación de la protección contra la vulnerabilidad Cross Site Scripting.
- Actualice el cifrado de base de datos a un estándar más fuerte para reducir las posibilidades de que se produzca un ataque agresivo satisfactorio. Para obtener instrucciones sobre cómo actualizar el cifrado de base de datos, consulte Actualización de datos cifrados en la base de datos utilizando MigrateEncyrptedInfo.
- Implemente umbrales de objetos de negocio para reducir la amenaza de un ataque de denegación de servicio. Para obtener instrucciones sobre cómo implementar umbrales de objetos de negocio, consulte Umbrales de objetos de negocio.
- Utilice el programa de utilidad updateua para asignar y restringir los permisos de la base de datos solamente para un control esencial. Para obtener más información sobre el programa de utilidad updateua, consulte Programa de utilidad para actualizar autorizaciones de usuarios.
- Asegúrese de que existan reglas de complejidad de contraseñas y políticas de bloqueo de cuentas. Consulte Configurar una política de contraseñas y Configurar una política de bloqueo de cuentas.
- Asegúrese de que a los usuarios privilegiados, tales como representantes del servicio al cliente y administradores de sitios, se les impida iniciar la sesión en el sitio desde redes externas. Para obtener más información sobre cómo controlar el acceso de usuarios privilegiados, consulte Impedir que usuarios privilegiados se registren externamente.
- Asegúrese de que la tabla STORECONF solo se rellene con datos de configuración de la tienda que no sean confidenciales. Esto se debe al hecho de que se debe poder acceder a ella mediante un código de cliente de tienda no autenticado.
Despliegue
- Asegúrese de que sus entornos de producción utilicen Kubernetes y no cualquier otro método de orquestación de contenedores Docker. Debe dedicar mucho tiempo y esfuerzo a diseñar el despliegue de Kubernetes con en cuenta un refuerzo de la seguridad, el equilibrio de carga, el direccionamiento de entrada y el ajuste de rendimiento.. Para obtener más información, consulte Desplegar HCL Commerce versión 9.1 en Kubernetes.
- Asegúrese de haber especificado su propia clave de comerciante, clave de cifrado de claves, clave de sesión y contraseña de spiuser.Para obtener más información, consulte:
- Para limitar los privilegios del sistema, ejecute su despliegue como usuario no raíz. Para obtener más información, consulte HCL Commerce : usuarios y privilegios de contenedores.
- Habilite vaultLoadDataWithSecret para mejorar la seguridad de los datos de Vault. Para obtener más información, consulte Desplegar el almacén de Vault para HCL Commerce en Kubernetes.
Mantenimiento y operaciones
Esta lista se proporciona para fines de administración del sitio de forma continuada. Si los parches de seguridad y mantenimiento se revisan y aplican de forma oportuna se asegurará de que conoce los problemas de seguridad en curso y que el sitio está actualizado y reforzado contra ataques que de otro modo se producirían:- Suscríbase a los boletines de seguridad de HCL Commerce y revise todos los boletines de seguridad publicados. Para obtener más información, consulte Security bulletins.
- Asegúrese de mantener el producto actualizado con los últimos paquetes de mantenimiento. Preste especial atención a los boletines relacionados con la seguridad.
- Pruebe el sitio completamente y regularmente. Preste especial atención a todas las personalizaciones del sitio. Recuerde: La seguridad es un proceso, no un producto, o una tarea que nunca se completa.
- Implemente una planificación de rotación de claves de cifrado y asegúrese de que el proceso es seguro. Este proceso reduce la posibilidad de un ataque agresivo y mitiga los resultados potenciales de una clave que se ha puesto en peligro. Para obtener información sobre cómo cambiar la clave de cifrado, consulte Programa de utilidad MigrateEncryptedInfo.
- Utilice el parámetro -passwordFile para todos los programas de utilidad en línea de mandatos que tienen dicho parámetro para limitar la exposición de las contraseñas de texto sin formato.
Otro software
- Busque flashes, alerta y boletines, y descargue los arreglos para todos los productos IBM en el IBM Support Portal. Consulte IBM Support Portal.
- Suscríbase para recibir las actualizaciones de producto críticas para cualquier producto IBM a través de correo electrónico o RSS. Consulte Critical IBM software support updates.
Revise la siguiente documentación para cada parte de software que utiliza para obtener más recomendaciones de seguridad: