Seguridad

Se puede acceder al área de seguridad a través del menú de acceso rápido. Contiene una gama de configuraciones de seguridad para el sitio, el servidor y los usuarios. Se recomienda que revise todas las opciones con su administrador de sistemas/red antes de iniciar su sitio y analice cualquier cambio con las partes interesadas relevantes antes de implementarlo.

Consejo de seguridad

Es difícil ofrecer asesoramiento de seguridad explícito, ya que los requisitos variarán ligeramente en función de sus propias preferencias y políticas organizativas. En cambio, el siguiente consejo destaca las mejores prácticas y consideraciones recomendadas.

Configuración del servidor

Al considerar la configuración del servidor para su sitio de Totara, el enfoque debe estar en el equilibrio, decidir qué tan bloqueado desea que esté el servidor y cómo esto podría afectar las conexiones externas. En última instancia, esta será su decisión, pero le recomendamos lo siguiente: 

• Uso de SSL
• Configuración adecuada de permisos de dataroot
• DMZ/configuración segura de la red

Permisos de Dataroot

Si sigue la recomendación para la configuración adecuada de los permisos de dataroot, existen dos requisitos principales:

1. No se debe acceder al dataroot a través de la web. Recomendamos que el dataroot se encuentre fuera del directorio web (wwwroot).
2. La propiedad y los permisos de dataroot deben configurarse para que sean accesibles para el proceso del servidor web. Para una máxima seguridad, los archivos no deben leerse ni escribirse a otros usuarios.

Zona desmilitarizada (DMZ)

Para la configuración de DMZ/red segura, la configuración exacta dependerá de los requisitos de su organización. Sin embargo, es importante que los cortafuegos internos estén configurados para que no se pueda acceder a los recursos internos confidenciales desde la máquina que aloja el sitio de Totara (si el sitio de Totara tiene un control de acceso menos estricto que los sistemas internos confidenciales).

Es importante tener en cuenta que, incluso sin la DMZ, el acceso al sistema interno aún estará restringido a los usuarios que tengan un inicio de sesión en Totara. Sin importar cómo pueda habilitar el autoregistro, eso podría significar cualquier persona. 

Como se indicó anteriormente, muchas de estas recomendaciones se verán afectadas tanto por los requisitos externos (como el cumplimiento) como por la política interna de la compañía. Por ejemplo, algunas empresas tendrán su base de datos en una zona desmilitarizada (DMZ) para evitar que la DMZ interactúe con la red de confianza. Otros lo colocarán en una subred privada y luego perforarán el cortafuegos para permitir el acceso. Algunos pondrán todo el producto en una subred privada con o sin una VPN para acceder. Otras empresas incluso pueden crear una subred de datos DMZ específica de la aplicación para el acceso a los datos del producto, lo que da lo mejor de ambos mundos, aunque esto es más típico en entornos de nube. 

Para obtener más información sobre las mejores prácticas de seguridad del servidor, puede ver el proyecto Open Web Application Security Project (o OWASP para abreviar).

Uso de HTTPS

Si actualmente está ejecutando su sitio utilizando HTTP, es posible que desee hacer la transición a HTTPS para garantizar una seguridad adicional para su sitio. Antes de hacer esto, es importante tener en cuenta que cualquier contenido que tenga (excluidos los enlaces) que actualmente utilice HTTP ya no podrá integrarse una vez que cambie a HTTPS. Por lo tanto, deberá verificar que el contenido se pueda mover a HTTPS o encontrar contenido nuevo (también podría cambiar a usar enlaces para cualquier contenido HTTP que necesite). Una vez que esté satisfecho de que su contenido pueda gestionar el cambio, siga estos pasos:

1. Deberá obtener un certificado SSL de una autoridad de certificación como Let's Encrypt, que es un servicio gratuito (otros servicios pueden cobrar). 
2. Después de obtener el certificado, deberá habilitar SSL en su servidor y aplicar el certificado. La documentación de su servidor debe explicar este proceso, ya que puede variar. 
3. Ahora puede configurar el sitio de Totara cambiando el$CFGvalor  →wwwroot en su archivo config.php de http:// a https://, por ejemplo,

$CFG->sslproxy = true;

$CFG->wwwroot = 'https://example.com';

Una vez hecho esto, deberá actualizar cualquier contenido existente que esté utilizando HTTP, ya que esto ya no funcionará (los enlaces están bien, otros contenidos también deberán utilizar HTTPS). 

Configuración del sitio

Una vez que se haya asegurado de estar satisfecho con la seguridad de la configuración del servidor, también debe configurar su sitio de Totara para asegurarse de que sea seguro. Nuevamente, gran parte de esto dependerá de las políticas y los objetivos finales de su organización. Considere lo siguiente cuidadosamente:

• Revise la configuración de seguridad para asegurarse de que sea adecuada para su organización
• Consulte el informe de descripción general de seguridad de su sitio para obtener orientación sobre áreas específicas a considerar/revisar

Puede acceder a esta página a través del menú de acceso rápido Resumen de > seguridad de > informes.