Sicherheit

Der Sicherheits bereich kann über das Schnellzugriffsmenü aufgerufen werden. Es enthält eine Reihe von Sicherheitseinstellungen für die Website, den Server und die Nutzer. Es wird empfohlen, dass Sie alle Optionen mit Ihrem System-/Netzwerkadministrator durchgehen, bevor Sie Ihre Website starten, und alle Änderungen mit den relevanten Stakeholdern besprechen, bevor Sie sie implementieren.

Sicherheitshinweise

Es ist schwierig, eine explizite Sicherheitsberatung anzubieten, da die Anforderungen je nach Ihren eigenen organisatorischen Präferenzen und Richtlinien leicht variieren. Stattdessen werden in den folgenden Ratschlägen empfohlene bewährte Verfahren und Überlegungen hervorgehoben.

Server-Setup

Wenn Sie die Server-Einrichtung für Ihre Totara-Website in Betracht ziehen, sollte der Schwerpunkt auf dem Gleichgewicht liegen, und es sollte entschieden werden, wie gesperrt der Server sein soll und wie sich dies auf externe Verbindungen auswirken könnte. Dies wird letztendlich Ihre Entscheidung sein, aber wir empfehlen Folgendes: 

• Verwenden von SSL
• Ordnungsgemäße Einrichtung von Dataroot-Berechtigungen
• DMZ / sichere Netzwerkeinrichtung

Dataroot-Berechtigungen

Wenn Sie die Empfehlung für die ordnungsgemäße Einrichtung von Dataroot-Berechtigungen befolgen, gibt es zwei Hauptanforderungen:

1. Die Datenbasis sollte nicht über das Internet zugänglich sein. Wir empfehlen, dass sich die dataroot außerhalb des Webverzeichnisses (wwwroot) befinden.
2. Die Eigentümerschaft und die Berechtigungen von dataroot sollten so konfiguriert werden, dass sie für den Webserver-Prozess zugänglich sind. Für maximale Sicherheit sollten die Dateien nicht für andere Nutzer gelesen oder beschreibbar sein.

Demilitarisierte Zone (DMZ)

Für die Einrichtung von DMZ/sicheren Netzwerken hängt die genaue Konfiguration von den Anforderungen Ihres Unternehmens ab. Es ist jedoch wichtig, dass interne Firewalls so konfiguriert sind, dass sensible interne Ressourcen nicht von dem Computer, der die Totara-Website hostet, abgerufen werden können (wenn die Totara-Website weniger strenge Zugriffskontrolle hat als die sensiblen internen Systeme).

Es ist wichtig zu beachten, dass der Zugriff auf das interne System auch ohne die DMZ auf Nutzer beschränkt ist, die über eine Totara-Anmeldung verfügen. Sie können jedoch die Selbstregistrierung aktivieren, das könnte für jeden bedeuten. 

Wie oben erwähnt, werden viele dieser Empfehlungen sowohl von externen Anforderungen (wie Compliance) als auch von internen Unternehmensrichtlinien beeinflusst. Einige Unternehmen haben beispielsweise ihre Datenbank in einer DMZ (demilitarisierte Zone), um DMZ auf vertrauenswürdige Netzwerkinteraktionen zu vermeiden. Andere werden es in ein privates Subnetzwerk einfügen und dann die Firewall anheften, um den Zugriff zu ermöglichen. Einige werden das gesamte Produkt in ein privates Subnetzwerk mit oder ohne VPN für den Zugriff einfügen. Andere Unternehmen können sogar ein anwendungsspezifisches DMZ-Datensubnetz für den Datenzugriff des Produkts erstellen und so das Beste aus beiden Welten bieten, obwohl dies in Cloud-Umgebungen typischer ist. 

Weitere Best Practices zur Serversicherheit finden Sie im Open Web Application Security Project (oder kurz OWASP).

Verwendung von HTTPS

Wenn Sie Ihre Website derzeit mit HTTP betreiben, sollten Sie möglicherweise zu HTTPS wechseln, um zusätzliche Sicherheit für Ihre Website zu gewährleisten. Bevor Sie dies tun, ist es wichtig zu beachten, dass alle Inhalte, die Sie haben (mit Ausnahme von Links), die derzeit HTTP verwenden, nicht mehr eingebettet werden können, sobald Sie zu HTTPS wechseln. Daher müssen Sie überprüfen, ob der Inhalt in HTTPS verschoben werden kann oder ob Sie neue Inhalte finden können (Sie können auch dazu wechseln, Links für alle benötigten HTTP-Inhalte zu verwenden). Wenn Sie zufrieden sind, dass Ihre Inhalte die Änderung verwalten können, befolgen Sie diese Schritte:

1. Sie benötigen ein SSL-Zertifikat von einer Zertifizierungsstelle wie Let's Encrypt, einem kostenlosen Dienst (andere Dienste können kostenpflichtig sein). 
2. Nachdem Sie das Zertifikat erhalten haben, müssen Sie SSL auf Ihrem Server aktivieren und das Zertifikat anwenden. Die Dokumentation für Ihren Server sollte diesen Prozess erklären, da er variieren kann. 
3. Sie können jetzt die Totara-Website einrichten, indem Sie den $CFG→wwwroot- Wert in Ihrer config.php-Datei von http:// auf https:// ändern, z. B.

$CFG->sslproxy = true;

$CFG->wwwroot = 'https://example.com';

Danach müssen Sie alle vorhandenen Inhalte aktualisieren, die HTTP verwenden, da dies nicht mehr funktioniert (Links sind in Ordnung, andere Inhalte müssen auch HTTPS verwenden). 

Website-Konfiguration

Sobald Sie mit der Sicherheit des Server-Setups zufrieden sind, sollten Sie auch Ihre Totara Website so konfigurieren, dass sie sicher ist. Vieles davon hängt von den Richtlinien und Endzielen Ihres Unternehmens ab. Berücksichtigen Sie Folgendes sorgfältig:

• Überprüfen Sie die Sicherheitseinstellungen, um sicherzustellen, dass sie für Ihr Unternehmen geeignet sind
• Überprüfen Sie den Sicherheitsübersichtsbericht Ihrer Website auf Hinweise zu bestimmten Bereichen, die berücksichtigt/überprüft werden müssen

Sie können diese Seite über das Schnellzugriffsmenü > Reports > Security Overview aufrufen.