Cifrado

A continuación se indican algunos puntos importantes que se deben tener en cuenta al habilitar el cifrado en Sterling B2B Integrator.

Cifrar datos en tránsito

  • Asegúrese de que los datos en tránsito siempre estén protegidos.
  • Inhabilite todos los adaptadores e interfaces no seguros (HTTP/FTP) y utilice los adaptadores y las interfaces seguros (TLS/SSH y HTTPS/FTPS/SFTP).
  • Utilice la modalidad NIST.

Cifrar datos en reposo

  • Los datos en almacenamiento no se cifran de forma predeterminada durante la instalación. Debe habilitarse antes de que el sistema se ponga en marcha.
  • Cuando los documentos están dentro de la aplicación, el cifrado de documentos se puede configurar para manejar esto automáticamente dentro de la base de datos o el sistema de archivos.
  • Al exportar documentos, por ejemplo, guardarlos en el sistema de archivos externo y fuera de control de la aplicación, se puede implementar la integración con herramientas de cifrado tales como PGP.
  • El archivo security.properties contiene la configuración para el cifrado de documentos. El certificado del sistema configurado en Sterling B2B Integrator es CERT_NAME=doccrypto2. Esto puede ser un certificado HSM.

    Cifrado de datos en la base de datos:

    Nombre del certificado que se va a utilizar: dbcrypt.default.cert=DefDBCrypt

    Número de veces que una clave se puede utilizar antes de descartarse y volver a crearse: dbcrypt.default.maxkeyuse=10000

    Número de segundos que la clave permanecerá en uso: dbcrypt.default.maxlifespan=10800

    Algoritmo que se va a utilizar para el cifrado: dbcrypt.default.algorithm=AES-128

    Puede cambiar la configuración anterior copiándola en el archivo customer_overrides.properties y utilizando el prefijo security. en los parámetros. Por ejemplo, security.dbcrypt.default.maxkeyuse=10000

Cifrar contraseñas de base de datos

  • Las contraseñas de la base de datos se cifran mediante uno de los dos métodos siguientes: OBSCURED o ENCRYPTED. Sustituya contraseñas de texto simple dentro de los archivos de propiedades utilizando el método ENCRYPTED.
  • El método de cifrado lo decide el valor de encryptionPrefix en el archivo propertyEncryption.properties o propertyEncryption.properties_platform_security_ext.

Cifrar contraseñas LDAP

  • Oculte contraseñas relacionadas con LDAP en archivos de propiedades cifrándolas en el archivo customer_overrides.property.
  • Documentación relacionada:Cifrar contraseñas LDAP

Inhabilitar cifrados débiles

  • Utilice las siguientes propiedades para inhabilitar los cifrados débiles: 
    StrongTLS1.2OnlyCipherSuite=TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA256
    NISTCompliantCipherSuite=TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA,
TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

Habilitar TLS en agrupaciones de conexión JDBC

  • TLS entre Sterling B2B Integrator y la base de datos se consigue utilizando las prestaciones del controlador JDBC de base de datos y el servidor de base de datos.
  • El archivo jdbc.properties o customer_overrides.properties debe incluir: 
    oraclePool.url=jdbc:oracle:thin:@(DESCRIPTION=
(ADDRESS=(PROTOCOL=tcps)(HOST=<host BD>)
(PORT=<puerto TCPS>))
(CONNECT_DATA=(SERVICE_NAME=<nombre de servicio>)))
  • En customer_overrides.properties, el parámetro debe tener el prefijo jdbcService..

Almacenes de confianza y almacenes de claves JDBC seguros

  • Cuando JDBC TLS está habilitado, se añaden las siguientes propiedades adicionales al archivo customer_overrides.properties. Los archivos del almacén de claves deben protegerse de modo que solo la aplicación o el usuario root tenga acceso a estos archivos. 
    jdbcService.oraclePool.prop_javax.net.ssl.trustStore=
$$PATH$$/ClientTrustStore.jks
jdbcService.oraclePool.prop_javax.net.ssl.keyStore=
$$PATH$$/ClientKeyStore.jks

Utilice HSM para almacenar todos los certificados privados y del sistema

Codificación de documentos

  • Utilice el cifrado de documentos para cifrar los datos de carga útil almacenados en la base de datos y/o el sistema de archivos.
  • El cifrado de documentos está inhabilitado de forma predeterminada. Puede habilitar el cifrado de documentos añadiendo la siguiente propiedad al archivo customer_overrides.properties:
    • security.ENC_DECR_DOCS=ENC_ALL: habilitar el cifrado de documentos para el sistema de archivos y los documentos de base de datos. (Recomendado)
    • security.ENC_DECR_DOCS=ENC_DB: habilitar el cifrado de documentos para los documentos de base de datos.
    • security.ENC_DECR_DOCS=ENC_FS: habilitar el cifrado de documentos para los documentos del sistema de archivos.

Longitud de clave SSH

  • La longitud de clave de todas las claves de identidad de usuario SSH deben ser 2048 bit o superior.
Tema principal: Directrices de seguridad de Sterling B2B Integrator