Proteger datos usando cifrado

Introducción

La función de Cifrar datos en reposo proporcionada por el Panel de Control te permite asegurar la seguridad de los datos sensibles en tu portal.

El cifrado es una conversión reversible de información para mantener la confidencialidad de los datos almacenados en disco. Así, incluso si los intrusos logran acceder a los datos almacenados en el disco duro, no podrán leerlos ya que están cifrados.

El cifrado se basa en un tipo de cifrado Encrypt-then-MAC (AES-256-CBC + HMAC-SHA256) de todo el cuerpo de datos dentro de la instancia de ONLYOFFICE y cumple con el estándar internacional de cifrado de datos AES-256. Se utiliza el tipo de cifrado AES-256 con el algoritmo simétrico CipherMode.CBC para cifrar los datos en el portal, mientras que la función de hash SHA256 emparejada con el código de autenticación de mensajes HMAC verifica la integridad y autenticidad de los datos cifrados.

Esta función está disponible solo para las versiones de servidor.

Prepararse para el proceso de cifrado

Antes de comenzar el procedimiento de cifrado, debes realizar algunos pasos preliminares.

Detener manualmente los servicios que realizan cambios en los archivos almacenados en disco.
Para Docker (dentro del contenedor CommunityServer):
```
systemctl stop onlyofficeMail* systemctl stop onlyofficeThumbnailBuilder.service
```
Para Linux:
```
sudo service onlyofficeMail* stop sudo service onlyofficeThumbnailBuilder stop
```
Para Windows:

Ve a Panel de Control -> Herramientas Administrativas -> Servicios y detén los siguientes servicios: ONLYOFFICE Mail Watchdog, ONLYOFFICE Mail Imap, ONLYOFFICE Mail Cleaner, ONLYOFFICE Mail Aggregator, ONLYOFFICE Thumbnail Builder. Para hacerlo, haz clic derecho en el servicio y elige Detener.
Inicia sesión en tu portal y haz clic en el icono del Panel de Control en la Página de Inicio. Alternativamente, puedes ir a la Configuración del portal y seleccionar el enlace del Panel de Control en el panel lateral izquierdo.
Cambia a la sección Respaldo y respalda los datos.
Desactiva la función de Respaldo Automático de Datos.
Selecciona la opción de Almacenamiento local tanto para Conectar almacenamiento para datos estáticos como para Conectar almacenamiento como CDN.
La función de Cifrar datos en reposo solo funciona con almacenamiento local.
Asegúrate de que haya suficiente espacio en tu disco duro.

Una vez que las preparaciones preliminares estén listas, puedes proceder al siguiente paso.

Cifrar almacenamiento

Cambia a la sección Almacenamiento en el Panel de Control.
Marca la casilla Notificar a los usuarios que el portal no estará disponible para notificar a todos los usuarios activos por correo electrónico cuando comience el proceso de cifrado.
Al completar con éxito el proceso de cifrado, todos los usuarios activos también recibirán notificaciones por correo electrónico. Si ocurre un error durante el proceso de cifrado, todos los administradores (independientemente de la opción Notificar a los usuarios) recibirán notificaciones por correo electrónico del proceso de cifrado fallido.
Haz clic en el botón Cifrar almacenamiento y luego en OK para iniciar el proceso de cifrado.

El tiempo necesario para completar el procedimiento depende del volumen de datos. Todos los portales estarán no disponibles durante el proceso de cifrado. Tan pronto como termine el cifrado, los datos del portal estarán disponibles para trabajar.

Cuando el cifrado está habilitado, una nueva copia de respaldo del archivo de datos contendrá archivos descifrados. Cuando se restaure dicha copia, los archivos se cifrarán nuevamente en el disco.

También necesitarás iniciar manualmente los servicios que realizan cambios en los archivos almacenados en disco.

Para Docker (dentro del contenedor CommunityServer):

systemctl start onlyofficeMailAggregator.service systemctl start onlyofficeMailCleaner.service systemctl start onlyofficeMailImap.service systemctl start onlyofficeMailWatchdog.service systemctl start onlyofficeThumbnailBuilder.service

Para Linux:

sudo service onlyofficeMailAggregator start sudo service onlyofficeMailCleaner start sudo service onlyofficeMailImap start sudo service onlyofficeMailWatchdog start sudo service onlyofficeThumbnailBuilder start

Para Windows:

Ve a Panel de Control -> Herramientas Administrativas -> Servicios y inicia los siguientes servicios: ONLYOFFICE Mail Watchdog, ONLYOFFICE Mail Imap, ONLYOFFICE Mail Cleaner, ONLYOFFICE Mail Aggregator, ONLYOFFICE Thumbnail Builder. Para hacerlo, haz clic derecho en el servicio y elige Iniciar.

Descifrar almacenamiento

Para descifrar los datos en el portal,

Detener manualmente los servicios que realizan cambios en los archivos almacenados en disco como se describió anteriormente.
Cambia a la sección Almacenamiento en el Panel de Control.
Marca la casilla Notificar a los usuarios que el portal no estará disponible para notificar a todos los usuarios activos por correo electrónico cuando comience el proceso de descifrado.
Al completar con éxito el proceso de descifrado, todos los usuarios activos también recibirán notificaciones por correo electrónico. Si ocurre un error durante el proceso de descifrado, todos los administradores (independientemente de la opción Notificar a los usuarios) recibirán notificaciones por correo electrónico del proceso de descifrado fallido.
Haz clic en el botón Descifrar almacenamiento y luego en OK para iniciar el proceso de descifrado.

El tiempo necesario para completar el procedimiento depende del volumen de datos. Todos los portales estarán no disponibles durante el proceso de cifrado. Tan pronto como termine el cifrado, los datos del portal estarán disponibles para trabajar.

También necesitarás iniciar manualmente los servicios que realizan cambios en los archivos almacenados en disco como se describió anteriormente.