Чеклист: безопасность ONLYOFFICE Enterprise Edition

Опубликовано
Nadya

Итак, вы установили ONLYOFFICE Enterprise Edition, а значит для вас важна безопасность. В этом посте мы расскажем, какие меры вы можете предпринять, чтобы обеспечить сохранность своих данных. В основном мы будем говорить о возможностях веб-интерфейса ONLYOFFICE, однако коснемся и некоторых общих моментов.


#1. SSL-сертификат

Если вы хотите дать пользователям портала не только локальный, но и внешний доступ, вам потребуется надежный SSL-сертификат. Сгенерируйте подписанный сертификат одним щелчком мышки в Панели управления ONLYOFFICE (для создания сертификатов будет использован сертификационный центр Let’s encrypt). Вы также можете приобрести сторонний сертификат, например, у Amazon или GoDaddy.

После установки сертификата проверьте уровень безопасности с помощью SSL Labs или другого подобного сервиса. Уровень безопасности должен быть не ниже А.

#2. Автоматический бэкап 

Включите резервное копирование данных в Панели управления. Мы рекомендуем также подключить сторонние средства и время от времени делать полный бэкап сервера, на котором развернуто решение.

Инструкции в нашем Справочном центре.

#3. Параметры безопасности в настройках портала

Перед добавлением пользователей стоит задать некоторые правила для обеспечения большей безопасности. Для этого перейдите в раздел Настройки -> Безопасность -> Доступ к порталу. В нём вы можете:

  • Ограничить доступ к порталу по IP-адресам, разрешив подключаться к нему только из доверенных сетей;
  • Выбрать доверенные почтовые домены, которые пользователи смогут использовать для регистрации;
  • Задать параметры надежности пользовательских паролей.

Подробная информация в Справочном центре.

Кроме того, можно включить двухфакторную аутентификацию c помощью сервисов Clickatell и SMSC. Инструкции по подключению сервисов здесь.

#4. Централизация доступа с помощью LDAP

В Панели управления ONLYOFFICE есть функция LDAP. Она позволяет за несколько минут импортировать в онлайн-офис нужных пользователей и группы с сервера LDAP (например, OpenLDAP Server или Microsoft Active Directory).

Плюсы:

  • Не нужно вручную добавлять всех пользователей с новыми логинами и паролями;
  • Никаких учетных записей “со стороны”. Регистрация будет доступна только для пользователей, которые есть на сервере LDAP;
  • Новым пользователям не придется запоминать новые логины и пароли – они смогут заходить на портал под своими учетными данными с сервера LDAP.

Больше информации о LDAP здесь.

Для более удобной авторизации вы также можете использовать SSO. ONLYOFFICE поддерживает сервисы Shibboleth, OneLogin и AD FS.

#5 Подключите собственный SMTP-сервер

По умолчанию для рассылок уведомлений пользователям (например, о том, что им был расшарен документ) используется дефолтный ONLYOFFICE SMTP-сервер. Чтобы повысить безопасность, мы рекомендуем настроить свой собственный SMTP-сервер. Таким образом ваши уведомления не будут проходить через сторонний сервер.

Инструкции здесь.

#6 Защита от несанкционированного доступа к документам

Защита от несанкционированного доступа с помощью JWT включена по умолчанию. Эта технология защищает трафик портала и гарантирует, что пользователи не смогут получить доступ к большему количеству данных, чем им разрешено.

Принцип работы описан в документации к API ONLYOFFICE.

#7. Никакого root-доступа

Если вы ещё этого не сделали, то заблокируйте доступ для пользователя root, который имеет права на выполнение любых команд, даже критических для системы. 

#8. Закройте ненужные порты

Список нужных портов вы найдете тут.

Дополнительные платные возможности

Если вы переживаете за отказоустойчивость конкретного узла, у нас есть возможность кластеризации. Кроме того, мы будем рады помочь вам с подключением решения к уже существующей локальной базе данных. Если вы хотите воспользоваться этими услугами, пожалуйста, свяжитесь с нашим отделом продаж.

Если вам необходима техническая поддержка, пишите сюда.

Опубликовано
Nadya

This website uses cookies. By continuing to browse the website you agree to our privacy policy.

our privacy policy