Guía de Seguridad de DocSpace

Introducción

ONLYOFFICE ofrece una amplia gama de herramientas de seguridad para mantener tus datos seguros y garantizar una colaboración en línea segura. Esta guía describe todas las funciones que te permiten aumentar el nivel de seguridad de tu DocSpace.

Además, puedes explorar algunas tecnologías de seguridad comunes, principios y ciertos servicios para asegurar la máxima seguridad de tu servidor.

Seguridad general de DocSpace

Algunas características de DocSpace son reconocidas como estándares de la industria en el campo de la seguridad: HTTPS, copias de seguridad, servidor SMTP propio, LDAP.

Protocolo HTTPS seguro

ONLYOFFICE te permite cifrar tu tráfico utilizando el protocolo HTTPS. Puedes crear fácilmente un certificado firmado por CA en letsencrypt.org y cambiar tu DocSpace a HTTPS con un solo comando o aplicar tus propios certificados.

Lee las instrucciones correspondientes para Docker, Linux, Windows.

Copias de seguridad regulares

Puedes respaldar tus datos tanto manual como automáticamente para evitar la pérdida de datos. Las funciones de Copia de Seguridad/Restauración están disponibles en la Configuración de DocSpace.

Para obtener más información sobre las opciones de copia de seguridad y restauración, por favor lee este artículo.

Servidor SMTP propio

En ONLYOFFICE DocSpace, el servidor predeterminado para notificaciones de usuario es el servidor SMTP de ONLYOFFICE. Para mayor seguridad, recomendamos usar tu propio servidor SMTP, para que tus mensajes no pasen por servicios de terceros.

Para obtener más información sobre cómo configurar el Servidor SMTP, por favor lee este artículo.

LDAP para centralización de acceso

Puedes importar fácilmente los usuarios y grupos necesarios desde tu servidor LDAP (por ejemplo, OpenLDAP Server o Microsoft Active Directory) a tu DocSpace.  Los usuarios recién creados, a su vez, no necesitan memorizar nuevas contraseñas e inicios de sesión porque iniciarán sesión en DocSpace utilizando sus credenciales almacenadas en tu Servidor LDAP.

Para más detalles, por favor lee este artículo.

Acceso seguro

La sección Seguridad de la Configuración de DocSpace te permite controlar el acceso a tu DocSpace y monitorear la actividad de todos los usuarios.

Fortaleza de la contraseña

Las contraseñas fuertes pueden ayudar a prevenir el acceso no autorizado a tus datos. En DocSpace, puedes establecer requisitos para la longitud de la contraseña y determinar el conjunto de caracteres que debe usarse en la contraseña: letras mayúsculas, números, caracteres especiales.

Aprende más sobre las configuraciones de fortaleza de la contraseña.

Autenticación de dos factores

La autenticación de dos factores asegura un acceso más seguro a DocSpace. Cuando la autenticación de dos factores está habilitada, un usuario puede acceder a los datos de DocSpace después de ingresar su correo electrónico y contraseña habituales o iniciar sesión a través de una cuenta de redes sociales y escribir un código generado por la aplicación de autenticación.

Para obtener más información sobre cómo usar la autenticación de dos factores, lee el siguiente artículo.

Otras configuraciones de acceso

• Especifica los dominios de correo de confianza que pueden usarse para el auto-registro de usuarios en tu DocSpace. Aprende más.
• Las configuraciones de seguridad IP te permiten restringir el acceso a tu DocSpace basándote en las direcciones IP, permitiendo el acceso al DocSpace solo desde redes de confianza. Aprende más.
• Protege tu DocSpace contra ataques de fuerza bruta configurando el límite de intentos de inicio de sesión fallidos por parte del usuario. Aprende más.
• Usa la función de Duración de Sesión para establecer un límite de tiempo durante el cual los usuarios de DocSpace necesitarán ingresar nuevamente sus credenciales de DocSpace para acceder al DocSpace. Aprende más.
• También puedes cerrar sesión manualmente de todas las sesiones activas en cualquier dispositivo usando la función correspondiente en tu perfil. Aprende más.

Monitoreo de inicio de sesión y acciones

Rastrea fácilmente la actividad de inicio de sesión más reciente de los usuarios, incluidos los inicios de sesión exitosos e intentos fallidos, utilizando la sección Historial de Inicios de Sesión de Configuración. La Auditoría te permite navegar por la lista de los últimos cambios (creación, modificación, eliminación, etc.) realizados por los usuarios en los archivos y carpetas de tu DocSpace. Aprende más.

Almacenamiento seguro

Contraseña para enlaces externos

Al crear enlaces externos a salas públicas, personalizadas o de llenado de formularios, puedes protegerlos con una contraseña. Para la sala pública o personalizada compartida a través de un enlace, también puedes habilitar la opción Restringir copia de contenido de archivo, descarga de archivo e impresión para desactivar las descargas de archivos y carpetas. Los enlaces adicionales pueden limitarse por período de tiempo.

Aprende más sobre enlaces externos.

Salas de Datos Virtuales para datos sensibles

Las Salas de Datos Virtuales proporcionan seguridad avanzada de archivos para el almacenamiento y compartición de información empresarial confidencial. Las siguientes características de seguridad para trabajar con datos están disponibles en una Sala de Datos Virtual: establecer la duración de los archivos, prohibición de copiar y descargar archivos, establecer marcas de agua.

• Duración de archivo - Establece la duración del archivo para eliminar automáticamente los archivos en esta sala después de un período definido.
• Restringir copia y descarga - Habilita esta configuración para desactivar las descargas y la copia de contenido para los usuarios con el rol de "Visualizador".
• Agregar marcas de agua a los documentos - Protege todos los documentos en esta sala con marcas de agua.

Aprende más sobre Salas de Datos Virtuales.

Cifrado

La función Cifrar datos en reposo proporcionada por DocSpace te permite asegurar la seguridad de los datos sensibles en tu DocSpace.

El cifrado se basa en el tipo de cifrado Encrypt-then-MAC (AES-256-CBC + HMAC-SHA256) de todo el cuerpo de datos. Cumple con el estándar internacional de cifrado de datos AES-256.

Aprende más sobre la función Cifrar datos en reposo.

Gestión de permisos

Puedes asignar diferentes niveles de permisos que definen qué acciones con los archivos están disponibles para el usuario dentro de una sala. Por ejemplo, los visualizadores solo pueden ver documentos, los editores pueden realizar todas las operaciones de edición con los archivos existentes, los creadores de contenido pueden crear y subir nuevos archivos y carpetas. Aprende más.

Trabajo seguro con documentos

Al coeditar documentos, aplica una serie de características de seguridad para restringir el acceso o las habilidades de edición para otros usuarios y prevenir cambios no deseados en los datos.

Versiones de documentos

Ve el historial de versiones para saber exactamente qué cambios se han realizado. Restaura una de las versiones anteriores del documento si es necesario. Aprende más.

Protección de documentos con contraseña

Protege los documentos con contraseñas para asegurarte de que nadie pueda acceder a tus archivos sin recibir una contraseña de tu parte. Aprende más.

Proteger libros, hojas, rangos

Al trabajar con hojas de cálculo, puedes proteger todo el libro, ciertas hojas o rangos de celdas, así como ocultar fórmulas u objetos. Aprende más.

Protección JWT

Para proteger los documentos del acceso no autorizado, los editores de ONLYOFFICE utilizan el JSON Web Token (JWT). El token se añade en la configuración cuando se inicializa el Editor de Documentos y durante el intercambio de comandos entre los servicios internos de ONLYOFFICE Docs. La clave secreta se utiliza para firmar el token web JSON y validar el token al solicitarlo a ONLYOFFICE Docs.

Principios básicos de seguridad

También puedes considerar usar algunos principios generales de seguridad del servidor, así como servicios y herramientas de terceros no relacionados con los productos de ONLYOFFICE. A continuación, puedes ver algunos ejemplos comunes y consejos que pueden ser útiles.

Deshabilitar el acceso root

Para evitar fugas de datos, es mejor deshabilitar el inicio de sesión como root, ya que el usuario root tiene acceso completo a todos los datos del sistema. Esto se puede hacer a través del terminal del servidor, configurando el permiso de inicio de sesión root en No.

Cerrar todos los puertos innecesarios

Debes mantener abiertos solo los puertos que necesitas para el funcionamiento del portal, ya que los puertos abiertos adicionales pueden ser la causa de fugas de datos. Usa la utilidad netstat para ver todos los puertos abiertos y su software asociado.

Configurar un firewall

Un firewall permite o bloquea el tráfico de red entrante y saliente basado en un conjunto de reglas predefinidas. En Linux, el firewall es parte del kernel (netfilter), pero necesitas instalar una utilidad para gestionarlo, por ejemplo, UFW para Debian o firewalld para RHEL.

Seguir el principio de menor privilegio

Asigna solo los permisos que sean mínimamente necesarios para realizar tareas específicas, evitando que los usuarios accedan a áreas sensibles que no necesitan.

Uso de SSH para la administración remota del sistema operativo

Al administrar el servidor de forma remota, utiliza el protocolo seguro SSH. Aunque este protocolo es confiable, puedes fortalecer aún más la protección utilizando claves SSH en lugar de una contraseña.

Uso de Fail2ban para proteger tu inicio de sesión

Fail2ban se puede utilizar para proteger tu servidor de ataques de fuerza bruta. Monitorea los archivos de registro y bloquea las conexiones si hay demasiados intentos fallidos de inicio de sesión.

Habilitar SELinux o App Armor

Habilita módulos de seguridad que protegen tu servidor contra programas mal configurados o comprometidos. En sistemas basados en RHEL, se utiliza SELinux. En sistemas basados en Debian, puedes usar AppArmor.