Итак, вы установили ONLYOFFICE Enterprise Edition, а значит для вас важна безопасность. В этом посте мы расскажем, какие меры вы можете предпринять, чтобы обеспечить сохранность своих данных. В основном мы будем говорить о возможностях веб-интерфейса ONLYOFFICE, однако коснемся и некоторых общих моментов.
#1. SSL-сертификат
Если вы хотите дать пользователям портала не только локальный, но и внешний доступ, вам потребуется надежный SSL-сертификат. Сгенерируйте подписанный сертификат одним щелчком мышки в Панели управления ONLYOFFICE (для создания сертификатов будет использован сертификационный центр Let’s encrypt). Вы также можете приобрести сторонний сертификат, например, у Amazon или GoDaddy.
После установки сертификата проверьте уровень безопасности с помощью SSL Labs или другого подобного сервиса. Уровень безопасности должен быть не ниже А.
#2. Автоматический бэкап
Включите резервное копирование данных в Панели управления. Мы рекомендуем также подключить сторонние средства и время от времени делать полный бэкап сервера, на котором развернуто решение.
Инструкции в нашем Справочном центре.
#3. Параметры безопасности в настройках портала
Перед добавлением пользователей стоит задать некоторые правила для обеспечения большей безопасности. Для этого перейдите в раздел Настройки -> Безопасность -> Доступ к порталу. В нём вы можете:
- Ограничить доступ к порталу по IP-адресам, разрешив подключаться к нему только из доверенных сетей;
- Выбрать доверенные почтовые домены, которые пользователи смогут использовать для регистрации;
- Задать параметры надежности пользовательских паролей.
Подробная информация в Справочном центре.
Кроме того, можно включить двухфакторную аутентификацию c помощью сервисов Clickatell и SMSC. Инструкции по подключению сервисов здесь.
#4. Централизация доступа с помощью LDAP
В Панели управления ONLYOFFICE есть функция LDAP. Она позволяет за несколько минут импортировать в онлайн-офис нужных пользователей и группы с сервера LDAP (например, OpenLDAP Server или Microsoft Active Directory).
Плюсы:
- Не нужно вручную добавлять всех пользователей с новыми логинами и паролями;
- Никаких учетных записей “со стороны”. Регистрация будет доступна только для пользователей, которые есть на сервере LDAP;
- Новым пользователям не придется запоминать новые логины и пароли – они смогут заходить на портал под своими учетными данными с сервера LDAP.
Больше информации о LDAP здесь.
Для более удобной авторизации вы также можете использовать SSO. ONLYOFFICE поддерживает сервисы Shibboleth, OneLogin и AD FS.
#5 Подключите собственный SMTP-сервер
По умолчанию для рассылок уведомлений пользователям (например, о том, что им был расшарен документ) используется дефолтный ONLYOFFICE SMTP-сервер. Чтобы повысить безопасность, мы рекомендуем настроить свой собственный SMTP-сервер. Таким образом ваши уведомления не будут проходить через сторонний сервер.
Инструкции здесь.
#6 Защита от несанкционированного доступа к документам
Защита от несанкционированного доступа с помощью JWT включена по умолчанию. Эта технология защищает трафик портала и гарантирует, что пользователи не смогут получить доступ к большему количеству данных, чем им разрешено.
Принцип работы описан в документации к API ONLYOFFICE.
#7. Никакого root-доступа
Если вы ещё этого не сделали, то заблокируйте доступ для пользователя root, который имеет права на выполнение любых команд, даже критических для системы.
#8. Закройте ненужные порты
Список нужных портов вы найдете тут.
Дополнительные платные возможности
Если вы переживаете за отказоустойчивость конкретного узла, у нас есть возможность кластеризации. Кроме того, мы будем рады помочь вам с подключением решения к уже существующей локальной базе данных. Если вы хотите воспользоваться этими услугами, пожалуйста, свяжитесь с нашим отделом продаж.
Если вам необходима техническая поддержка, пишите сюда.
