Seguridad

Se puede acceder al área de seguridad a través del menú de acceso rápido. Contiene un rango de ajustes de seguridad para el sitio, el servidor y los usuarios. Se recomienda que revises todas las opciones con tu administrador de sistemas/red antes de lanzar tu sitio y que analices cualquier cambio con las partes interesadas relevantes antes de implementarlo.

Asesoramiento de seguridad

Es difícil ofrecer asesoramiento de seguridad explícito, ya que los requisitos variarán ligeramente según las preferencias y políticas de tu propia organización. En su lugar, el siguiente consejo destaca las mejores prácticas y consideraciones recomendadas.

Configuración del servidor

Al considerar la configuración del servidor para tu sitio de Totara, el enfoque debe estar en torno al equilibrio, decidiendo qué tan bloqueado quieres que esté el servidor y cómo esto podría afectar las conexiones externas. En última instancia, esta será tu decisión, pero te recomendamos lo siguiente: 

• Uso de SSL
• Configuración adecuada de permisos de dataroot
• DMZ/configuración de red segura

Permisos de Dataroot

Si sigues la recomendación de configuración adecuada de los permisos de dataroot, hay dos requisitos principales:

1. La raíz de datos no debe ser accesible a través de la web. Recomendamos que la dataroot esté ubicada fuera del directorio web (wwwroot).
2. La propiedad de dataroot y los permisos deben configurarse para que sean accesibles para el proceso del servidor web. Para máxima seguridad, los archivos no deben ser leídos ni escritos a otros usuarios.

Zona desmilitarizada (DMZ)

Para la configuración de red segura/DMZ, la configuración exacta dependerá de los requisitos de tu organización. Sin embargo, es importante que los firewalls internos estén configurados para que no se pueda acceder a los recursos internos sensibles desde la máquina que aloja el sitio de Totara (si el sitio de Totara tiene un control de acceso menos estricto que los sistemas internos sensibles).

Es importante tener en cuenta que, incluso sin la DMZ, el acceso al sistema interno estará restringido a los usuarios que tengan un inicio de sesión en Totara. Sin embargo, dado que puedes habilitar el autoregistro, eso podría significar cualquiera. 

Como se mencionó anteriormente, muchas de estas recomendaciones se verán afectadas por requisitos externos (como cumplimiento) y/o por la política interna de la empresa. Por ejemplo, algunas empresas tendrán su base de datos en una DMZ (zona desmilitarizada) para evitar que la DMZ tenga interacciones de red confiables. Otros lo colocarán en una subred privada y luego agujerearán el firewall para permitir el acceso. Algunos colocarán todo el producto en una subred privada con o sin una VPN para acceder. Otras empresas incluso pueden crear una subred de datos DMZ específica de la aplicación para el acceso a los datos del producto, lo que da lo mejor de ambos mundos, aunque esto es más típico en entornos de nube. 

Para obtener más consejos sobre las mejores prácticas de seguridad del servidor, puedes ver el Open Web Application Security Project (o OWASP, por sus siglas en inglés).

Uso de HTTPS

Si actualmente estás ejecutando tu sitio utilizando HTTP, es posible que desees hacer la transición a HTTPS para garantizar una seguridad adicional para tu sitio. Antes de hacer esto, es importante tener en cuenta que cualquier contenido que tengas (sin incluir los enlaces) que actualmente utilice HTTP ya no podrá incrustarse una vez que cambies a HTTPS. Por lo tanto, necesitarás verificar que el contenido pueda moverse a HTTPS o encontrar contenido nuevo (también podrías cambiar a usar enlaces para cualquier contenido HTTP que necesites). Una vez que estés contento de que tu contenido pueda gestionar el cambio, sigue estos pasos:

1. Necesitarás obtener un certificado SSL de una autoridad de certificación como Let's Encrypt, que es un servicio gratuito (otros servicios pueden cobrar). 
2. Después de obtener el certificado, tendrás que habilitar SSL en tu servidor y aplicar el certificado. La documentación de su servidor debe explicar este proceso, ya que puede variar. 
3. Ahora puedes configurar el sitio de Totara cambiando el$CFGvalor  →wwwroot en tu archivo config.php de http:// a https://, p. ej.

$CFG->sslproxy = true;

$CFG->wwwroot = 'https://example.com';

Una vez hecho esto, necesitarás actualizar cualquier contenido existente que esté usando HTTP, ya que esto ya no funcionará (los enlaces están bien, otros contenidos también necesitarán usar HTTPS). 

Configuración de Solr

Una vez que te hayas asegurado de que estás satisfecho con la seguridad de la configuración del servidor, también debes configurar tu sitio de Totara para garantizar que sea seguro. Nuevamente, mucho de esto dependerá de las políticas y los objetivos finales de tu organización. Considera cuidadosamente lo siguiente:

• Revisa la configuración de seguridad para asegurarte de que sea adecuada para tu organización
• Consulta el informe de resumen de seguridad de tu sitio para obtener orientación sobre áreas específicas para considerar/revisar

Puedes llegar a esta página a través del menú de acceso rápido > Informes Información general de > seguridad.