La seguretat a Tryton
La seguretat a Tryton
1/El projecte
● Millors pràctiques en el desenvolupament de software● Revisió de tot el que es fa● Tractament específic de
les incidències deseguretat
1.1/Els processos
● Per bo que sigui el pilot sempre és millor portar el cinturó de seguretat, i tenir airbags, i ABS, i ...
● Tryton protegeix contra SQL Injection:En 396 apps web analitzades per Netsparker*, es van detectar 269 vulnerabilitats. De les quals 55 eren SQL Injection.
1.2/Mesures de seguretat per als pilots
Altres vulnerabilitatsSQL Injection
*Font: https://www.netsparker.com/blog/news/infographic-open-source-web-applications-vulnerability-statistics-2016/
● L'aplicació de millors pràctiques de desenvolupament de software
● Utilitant peer-reviewing● Creant eines innovadores per eliminar riscos innecessaris
Definir bons processos és clau per l'èxit de la seguretat. Tant a Tryton com a les empreses.
1.3/Resumint: Tryton vetlla per la seguretat amb
2/Abans d'entrar
● Tryton t'ajuda mitjançant el recordatori a l'usuari de que ha de renovar la contrasenya si fa massa temps que no ho fa.
● Configurable per senyir-se a la política de seguretat* de l'empresa.
● També permet als reponsables enviar un correu a l'usuari amb una contrasenya temporal.
2.1/Cal renovar la contrasenya freqüentment
*El Genís us pot ajudar amb això ;-) http://centralip.net/
● Tryton t'adjuda garantint que no pots utilitzar una contrasenya massa senzilla
● Configurable per senyir-se a la política de seguretat* de l'empresa, incloent la integració amb LDAP/Active Directory
2.2/però no es pot utilitzar qualsevol contrasenya
*El Genís us pot ajudar amb això ;-) http://centralip.net/
2.3/Ah! I reintentar-ho no serà fàcil!
11 2 4 8 16
32 64 128 256
512 Massa temps!
2.4/i si a més, preguntem dues vegades?
Contrasenya SMSUsuari
Quelcom que saps
Quelcom que tens
● Informació xifrada amb la mateixa seguretat que la banca electrònica
2.5/I amb les comunicacions xifrades
● A partir de la versió 4.2 es poden crear Apps que tinguin accés a una part molt limitada de l'ERP
2.6/Hi ha alguna cosa més segura que no haver d'entrar?
● Chronos és una App per Chrome o Firefox que només té accés a informació de fulls de treball de l'usuari
2.7/Apps externes: Chronos
● Renovació freqüent de les contrasenyes● Contrasenyes complexes, ● Integració amb LDAP/Active Directory● Penalització en intents fallits d'autenticació● Autenticació multi-factor● Xifratge com el dels bancs● Apps específiques per no haver ni d'entrar
2.8/Resumint: abans d'entrar Tryton ens ajuda amb
3/Un cop dins
● Cada usuari pot pertànyer a més d'un grup d'usuaris● L'aplicació disposa de més de 30 grups d'usuari
predefinits
3.1/Grups d'usuari
3.2/A quina informació podem restringir l'accés?
Taula Camp Fila/registre
3.3/Què podem limitar sobre aquesta informació?
Lectura Crear EliminarModificar
3.4/I què més?
Els butons i accions
No és senzill:
● +250 taules x 4 = +1.000● +3.000 camps x 4 = +12.000● + butons...
Així que mirem de cenyir-nos als grups estàndard i...
3.5/però compte!
● Els mòduls Audit* creats per NaN-tic permeten l'anàlisi detallat a posteriori i sense penalització de rendiment.
Demo
3.6/...auditem!
● Grups d'usuari predefinits● Restricció d'accés a taules, camps i registres● Restricció d'accions● Auditories
3.7/Resumint: un cop dins Tryton ens ajuda amb
http://www.NaN-tic.com
Albert Cervera i [email protected]@albertnanlinkedin.com/in/albertca