Изменения документа G03.01. Общее описание настроек безопасности
Редактировал(а) Ирина Сафонова 22.03.2024, 15:16
От версии 73.1
отредактировано Ирина Сафонова
на 07.04.2023, 12:44
на 07.04.2023, 12:44
Изменить комментарий:
К данной версии нет комментариев
К версии 87.1
отредактировано Ирина Сафонова
на 07.04.2023, 13:39
на 07.04.2023, 13:39
Изменить комментарий:
К данной версии нет комментариев
Сводка
-
Свойства страницы (2 изменено, 0 добавлено, 0 удалено)
Подробности
- Свойства страницы
-
- Название
-
... ... @@ -1,1 +1,1 @@ 1 -D 1. Общее описание настроек1 +D2. Общее описание настроек - Содержимое
-
... ... @@ -8,7 +8,7 @@ 8 8 9 9 ---- 10 10 11 -Cloud BI поставляется с стандартным набором ролей, которые обрабатываются самим Cloud BI. 11 +Cloud BI поставляется с стандартным набором ролей, которые обрабатываются самим Cloud BI. Ролевая модель достаточно гибкая, позволяет [[создавать новые роли>>https://wiki.dfcloud.ru/bin/view/%D0%A1%D0%B5%D1%80%D0%B2%D0%B8%D1%81%20Cloud%20BI/2.%20%D0%98%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%86%D0%B8%D1%8F/02.%20%D0%A0%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%BE%20%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD%D0%B8%D1%81%D1%82%D1%80%D0%B0%D1%82%D0%BE%D1%80%D0%B0/D.%20%D0%A0%D0%BE%D0%BB%D0%B8%20%D0%B8%20%D0%BF%D1%80%D0%B0%D0%B2%D0%B0%20%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%B0/%D0%9E%D0%B1%D1%89%D0%B5%D0%B5%20%D0%BE%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5%20%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8/#H42143E43743443043D43843543D43E43243E43944043E43B438]] и настраивать [[существующие>>https://wiki.dfcloud.ru/bin/view/%D0%A1%D0%B5%D1%80%D0%B2%D0%B8%D1%81%20Cloud%20BI/2.%20%D0%98%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%86%D0%B8%D1%8F/02.%20%D0%A0%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%BE%20%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD%D0%B8%D1%81%D1%82%D1%80%D0%B0%D1%82%D0%BE%D1%80%D0%B0/D.%20%D0%A0%D0%BE%D0%BB%D0%B8%20%D0%B8%20%D0%BF%D1%80%D0%B0%D0%B2%D0%B0%20%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%B0/%D0%9E%D0%B1%D1%89%D0%B5%D0%B5%20%D0%BE%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5%20%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8/#H41D43044144244043E43943A43044043043744043544843543D438439]]. 12 12 13 13 {{error}} 14 14 **Не рекомендуется** изменять разрешения, связанные с каждой ролью (например, путем удаления или добавления разрешений для них), несмотря на такую возможность у [[администратора системы>>https://wiki.dfcloud.ru/bin/view/%D0%A1%D0%B5%D1%80%D0%B2%D0%B8%D1%81%20Cloud%20BI/2.%20%D0%98%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%86%D0%B8%D1%8F/02.%20%D0%A0%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%BE%20%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD%D0%B8%D1%81%D1%82%D1%80%D0%B0%D1%82%D0%BE%D1%80%D0%B0/D.%20%D0%A0%D0%BE%D0%BB%D0%B8%20%D0%B8%20%D0%BF%D1%80%D0%B0%D0%B2%D0%B0%20%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%B0/%D0%9E%D0%B1%D1%89%D0%B5%D0%B5%20%D0%BE%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5%20%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8/#H41043443C43843D43844144244043044243E44044143844144243543C44B]]. ... ... @@ -72,13 +72,20 @@ 72 72 Добавление пользователей в группу описано [[здесь>>https://wiki.dfcloud.ru/bin/view/%D0%A1%D0%B5%D1%80%D0%B2%D0%B8%D1%81%20Cloud%20BI/2.%20%D0%98%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%86%D0%B8%D1%8F/02.%20%D0%A0%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%BE%20%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD%D0%B8%D1%81%D1%82%D1%80%D0%B0%D1%82%D0%BE%D1%80%D0%B0/D.%20%D0%A0%D0%BE%D0%BB%D0%B8%20%D0%B8%20%D0%BF%D1%80%D0%B0%D0%B2%D0%B0%20%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%B0/%D0%9E%D0%B1%D1%89%D0%B5%D0%B5%20%D0%BE%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5%20%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8/#H41443E43143043243B43543D43843543F43E43B44C43743E43243044243543B43543943243344044343F43F44343443E44144244343F430]]. 73 73 74 74 == Создание новой роли == 75 -Перейдите в **Настройки** -> **Список ролей**. 76 -Нажмите кнопку **Добавить новую запись**. 77 -В открывшейся экранной форме введите название роли и задайте ей права (доступен множественный выбор) 78 78 76 +---- 79 79 78 +Для создания: 79 + 80 +1. Перейдите в **Настройки** -> **Список ролей**. 81 +1. Нажмите кнопку **Добавить новую запись**. 82 +1. В открывшейся экранной форме введите название роли и задайте ей права (доступен множественный выбор). 83 +1. При необходимости добавьте пользователей на вкладке **Список пользователей**. 84 + 80 80 == Добавление пользователей в группу доступа == 81 81 87 +---- 88 + 82 82 Для добавления: 83 83 84 84 1. Перейдите в **Настройки** -> **Список ролей**. ... ... @@ -96,7 +96,7 @@ 96 96 **Не рекомендуется **изменять базовые роли, поскольку существует набор допущений, на которых построен Cloud BI. Однако вы можете создавать свои собственные роли и объединять их с существующими. 97 97 {{/error}} 98 98 99 -== Разрешения == 106 +=== Разрешения === 100 100 101 101 ---- 102 102 ... ... @@ -135,6 +135,8 @@ 135 135 136 136 == Настройка фильтров безопасности на уровне строк == 137 137 145 +---- 146 + 138 138 Используя фильтры безопасности на уровне строк (в меню пункте меню **Безопасность**), вы можете создавать фильтры, которые назначаются конкретной таблице, а также набору ролей. Если вы хотите, чтобы члены финансовой группы имели доступ только к строкам, в которых {{code language="none"}}department = "finance"{{/code}}, вы можете: 139 139 140 140 ~1. Создать фильтр безопасности на уровне строк с {{code language="none"}}department = "finance"{{/code}}. ... ... @@ -142,59 +142,3 @@ 142 142 3. Поле предложения, которое может содержать произвольный текст, добавить к предложению WHERE сгенерированного оператора SQL. Таким образом, вы даже можете настроить фильтр //За последние 30 дней// и применить его к определенной роли с таким предложением, как {{code language="none"}}date_field > DATE_SUB(NOW(), INTERVAL 30 DAY){{/code}}. Фильтр также может поддерживать несколько условий: {{code language="none"}}client_id = 6{{/code}} И {{code language="none"}}advertiser="foo"{{/code}} и так далее. 143 143 144 144 Все соответствующие фильтры безопасности на уровне строк будут объединены вместе (внутри различные предложения SQL объединяются с помощью операторов AND). Это означает, что можно создать ситуацию, когда две роли конфликтуют таким образом, что подмножество таблиц может быть пустым. Например, фильтры** **{{code language="none"}}client_id=4{{/code}} и {{code language="none"}}client_id=5{{/code}}, примененные к роли, приведут к тому, что пользователи этой роли будут иметь {{code language="none"}}client_id=4{{/code}} и {{code language="none"}}client_id=5{{/code}}, добавленные к их запросу, что никогда не может быть правдой. 145 - 146 -== Политика безопасности контента == 147 - 148 -**Политика безопасности контента** — это дополнительный уровень безопасности, который помогает обнаруживать и смягчать определенные типы атак, включая [[межсайтовые скриптинги>>https://wiki.dfcloud.ru/bin/view/Glossary/%D0%9C%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%D1%8B%D0%B9%20%D1%81%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%B8%D0%BD%D0%B3]] (XSS) и атаки с внедрением данных. 149 - 150 -Политика безопасности контента позволяет администраторам серверов уменьшить или устранить векторы, по которым может происходить XSS, указав домены, которые браузер должен рассматривать как допустимые источники исполняемых скриптов. В этом случае браузер, совместимый с политикой, будет выполнять только сценарии, загруженные в исходные файлы и полученные из этих разрешенных доменов, игнорируя все остальные сценарии (включая встроенные сценарии и HTML-атрибуты обработки событий). 151 - 152 -Политика описывается с помощью ряда директив, каждая из которых описывает политику для определенного типа ресурса или области политики. Описание директив доступно по ссылке. 153 - 154 -Важно коррректно настроить политику безопасности контента при развертывании Cloud BI, чтобы предотвратить многие типы атак. Cloud BI предоставляет две переменные в config.py для развертывания: 155 - 156 -* {{code language="none"}}TALISMAN_ENABLED{{/code}} по умолчанию имеет значение //False//. Установите для этого параметра значение //True// 157 -* {{code language="none"}}TALISMAN_CONFIG{{/code}} содержит фактическое определение политики 158 - 159 -При работе в продуктивном режиме Cloud BI при запуске проверяет наличие настройки политики. Если она не будет найдена, то система выдаст предупреждение, что есть угроза безопасности. Для сред, в которых политики безопасности определены вне Cloud BI с помощью другого программного обеспечения, администраторы могут отключить это предупреждение с помощью ключа {{code language="none"}}CONTENT_SECURITY_POLICY_WARNING{{/code}} в {{code language="none"}}config.py{{/code}}. 160 - 161 -=== Требования к политике безопасности контента === 162 - 163 -Требования следующие: 164 - 165 -* Укажите ключевые слова {{code language="none"}}'unsafe-eval'{{/code}} и {{code language="none"}}'unsafe-inline'{{/code}}: 166 - 167 -{{code language="none"}} 168 -default-src 'self' 'unsafe-eval' 'unsafe-inline' 169 -{{/code}} 170 - 171 -* Некоторые дашборды загружают изображения с использованием URI данных: 172 - 173 -{{code language="none"}} 174 -img-src 'self' data: 175 -{{/code}} 176 - 177 -* Диаграммы MapBox используют воркеры и должны подключаться к серверам MapBox: 178 - 179 -{{code language="none"}} 180 -worker-src 'self' blob: 181 -connect-src 'self' https://api.mapbox.com https://events.mapbox.com 182 -{{/code}} 183 - 184 -Ниже пример {{code language="none"}}TALISMAN_CONFIG{{/code}}, который реализует вышеуказанные требования, использует {{code language="none"}}'self'{{/code}} для ограничения содержимого тем же источником, что и сервер Cloud BI, и запрещает устаревшие элементы HTML, устанавливая для {{code language="none"}}object-src{{/code}} значение {{code language="none"}}'none'{{/code}}. 185 - 186 -{{code language="none"}} 187 -TALISMAN_CONFIG = { 188 - "content_security_policy": { 189 - "default-src": ["'self'", "'unsafe-inline'", "'unsafe-eval'"], 190 - "img-src": ["'self'", "data:"], 191 - "worker-src": ["'self'", "blob:"], 192 - "connect-src": ["'self'", "https://api.mapbox.com", "https://events.mapbox.com"], 193 - "object-src": "'none'", 194 - } 195 -} 196 -{{/code}} 197 - 198 -== Сообщение об уязвимостях == 199 - 200 -Если у вас есть опасения относительно безопасности Cloud BI или вы обнаружите уязвимость или потенциальную угрозу, свяжитесь с технической поддержкой Cloud BI. В письме настоятельно рекомендуется указать способ воспроизведения проблемы и показать пример. Техническая поддержка обязательно с вами свяжется после оценки и анализа результатов возникшей уязвимости.