Login
    Inhoud x
    Beveiliging
    • 28 Feb 2024
    • 3 Minuten te lezen
    Inhoud

    Beveiliging

    • Bijgewerkt op 28 Feb 2024
    • 3 Minuten te lezen
    Article Summary

    De beveiligings zone is toegankelijk via het snelmenu. Het bevat een reeks beveiligingsinstellingen voor de site, server en gebruikers. Het wordt aanbevolen om alle opties te controleren met je systeem/netwerkbeheerder voordat je je site start en eventuele wijzigingen te bespreken met de relevante belanghebbenden voordat je implementeert.

    Beveiligingsadvies

    Het is moeilijk om expliciet beveiligingsadvies te geven, omdat de vereisten lichtjes zullen variëren afhankelijk van je eigen organisatorische voorkeuren en beleid. In plaats daarvan wordt in onderstaand advies de aanbevolen best practice en overwegingen benadrukt.

    Server setup

    Bij het overwegen van de server setup voor je Totara site moet de focus liggen op balans, het beslissen hoe geblokkeerd je wil dat de server is en hoe dit externe connecties kan beïnvloeden. Dit zal uiteindelijk jouw beslissing zijn, maar we raden het volgende aan: 

    • SSL gebruiken
    • Juiste instelling van dataroot rechten
    • DMZ / secure network setup

    Dataroot rechten

    Als je de aanbeveling volgt voor het juist instellen van dataroot-rechten, zijn er twee hoofdvereisten:

    1. De dataroot mag niet toegankelijk zijn vanaf het internet. We raden aan om de dataroot buiten de webmap (wwwroot) te plaatsen.
    2. Het dataroot-eigendom en de rechten moeten zo worden geconfigureerd dat ze toegankelijk zijn voor het webserverproces. Voor maximale veiligheid mogen de bestanden niet gelezen of geschreven worden aan andere gebruikers.

    Gedemilitarisde zone (DMZ)

    Voor DMZ / secure network setup zal de exacte configuratie afhankelijk zijn van de eisen van je organisatie. Het is echter belangrijk dat interne firewalls zo worden geconfigureerd dat gevoelige interne bronnen niet toegankelijk zijn vanaf de machine die de Totara-site host (als de Totara-site minder strikte toegangscontrole heeft dan de gevoelige interne systemen).

    Het is belangrijk om op te merken dat, zelfs zonder de DMZ, de toegang tot het interne systeem nog steeds beperkt blijft tot gebruikers die een Moodle login hebben. Als je jezelf inschrijft, dan kan dat iedereen zijn. 

    Zoals hierboven opgemerkt, zullen veel van deze aanbevelingen worden beïnvloed door zowel externe vereisten (zoals naleving) en/of intern bedrijfsbeleid. Sommige bedrijven zullen bijvoorbeeld hun database in een DMZ (demilitarised zone) hebben om DMZ te vermijden voor vertrouwde netwerkinteracties. Anderen zullen het op een privé subnetwerk plaatsen en dan de firewall vastpinnen om toegang toe te staan. Sommigen zullen het hele product in een privé subnetwerk plaatsen, met of zonder VPN voor toegang. Andere bedrijven kunnen zelfs een applicatiespecifiek DMZ-datasubnet maken voor de datatoegang van het product, waardoor het beste van twee werelden wordt verkregen, hoewel dit meer typisch is in cloudomgevingen. 

    Voor meer best practice-advies over serverbeveiliging kun je het Open Web Application Security Project (of kortweg OWASP) zien.

    HTTPS gebruiken

    Als je je site nu gebruikt met HTTP, dan wil je misschien overschakelen naar HTTPS om extra veiligheid voor je site te garanderen. Voordat je dit doet, is het belangrijk op te merken dat alle inhoud die je hebt (exclusief links) die momenteel HTTP gebruikt, niet langer kan worden ingebed zodra je overschakelt naar HTTPS. Daarom moet je controleren of de inhoud naar HTTPS verplaatst kan worden of nieuwe inhoud vinden (je kunt ook wijzigen in het gebruik van links voor alle HTTP-inhoud die je nodig hebt). Als je er zeker van bent dat je inhoud de wijziging kan beheren, volg dan deze stappen:

    1. Je moet een SSL-certificaat verkrijgen van een certificaatinstantie, zoals Let's Encrypt, een gratis service (andere services kunnen kosten in rekening brengen). 
    2. Na het behalen van het certificaat moet je SSL inschakelen op je server en het certificaat toepassen. De documentatie voor je server moet dit proces uitleggen, omdat het kan variëren. 
    3. Je kunt de Totara-site nu instellen door de $CFG→wwwroot- waarde in je config.php-bestand te wijzigen van http:// naar https://, bijv.
    $CFG->sslproxy = true;
    $CFG->wwwroot = 'https://example.com';

    Zodra dit is gebeurd, moet je alle bestaande inhoud die HTTP gebruikt bijwerken, omdat dit niet langer werkt (links zijn goed, andere inhoud moet HTTPS ook gebruiken). 

    Site configuratie

    Zodra je zeker bent dat je tevreden bent met de veiligheid van de serverinstallatie, moet je ook je Totara-site configureren om er zeker van te zijn dat deze veilig is. Ook hier zal een groot deel afhangen van het beleid en de einddoelen van je organisatie. Overweeg het volgende zorgvuldig:

    • Controleer de beveiligingsinstellingen om er zeker van te zijn dat ze geschikt zijn voor jouw organisatie
    • Controleer het beveiligingsoverzicht van je site voor advies over specifieke gebieden om te overwegen/beoordelen

    Je kunt deze pagina bereiken via het snelmenu Rapport>age > en beveiligingsoverzicht.

    © Copyright 2024 Totara Learning Solutions. All rights reserved. Some content originally obtained via GPLv3 license and continues to be available under GPLv3. All other content is the sole copyright of Totara Learning Solutions. 

    Was dit artikel nuttig?
    What's Next
    Follow us

    © Copyright 2024 Totara Learning Solutions. All rights reserved. Some content originally obtained via GPLv3 license and continues to be available under GPLv3. All other content is the sole copyright of Totara Learning Solutions.

    Change password!
    Changing your password will log you out immediately. Use the new password to log back in.
    Change profile
    Success!
    First name must have atleast 2 characters. Numbers and special characters are not allowed.
    Last name must have atleast 1 characters. Numbers and special characters are not allowed.
    Enter a valid email
    Enter a valid password
    Your profile has been successfully updated.
    Logout