Guida alla Sicurezza Enterprise di Workspace

Introduzione

ONLYOFFICE offre molti modi per garantire che il tuo portale sia adeguatamente protetto. In questa guida, vengono presentate tutte le funzionalità e gli strumenti che possono migliorare il livello di sicurezza di un portale, dei dati sensibili e del lavoro nei cloud e negli editor desktop.

Certificato SSL

Il certificato SSL è un certificato digitale che autentica l'identità di un sito web e consente una connessione crittografata. Puoi generare un certificato SSL o caricarne uno di terze parti utilizzando il Pannello di controllo.

Generazione del Certificato

Il servizio Let's encrypt viene utilizzato per fornire certificati firmati da CA.

Per generare un nuovo certificato,

1. apri la pagina HTTPS nella sezione IMPOSTAZIONI COMUNI nella barra laterale sinistra,
2. clicca sul pulsante GENERA E APPLICA. Apparirà un messaggio popup che informa che il certificato e la chiave privata sono stati generati con successo.

Il Pannello di controllo e il portale verranno riavviati e diventeranno non disponibili durante questo processo. Può richiedere fino a 5 minuti. Una volta terminato il processo di installazione del certificato, il tuo portale sarà disponibile su HTTPS.

Caricamento del Certificato

Per caricare un certificato di terze parti (es., Amazon o GoDaddy),

1. apri la pagina HTTPS nella sezione IMPOSTAZIONI COMUNI nella barra laterale sinistra,
2. clicca sul pulsante Plus accanto al campo Certificato CRT e seleziona il tuo certificato .crt per caricarlo,
3. clicca sul pulsante Plus accanto al campo Chiave HTTPS e seleziona la tua chiave privata .key per caricarla,
   Prima di caricare, assicurati che la chiave privata non sia crittografata. Se hai un file .key protetto da password, dovrai decrittografarlo prima.
4. una volta caricati i file .crt e .key, clicca sul pulsante APPLICA in fondo alla pagina.

Dopo di ciò, il tuo Pannello di controllo e il portale verranno riavviati e diventeranno non disponibili durante questo processo. Può richiedere fino a 5 minuti. Una volta terminato il processo di installazione del certificato, il tuo portale sarà disponibile su HTTPS. Il nome di dominio per cui è stato emesso il tuo certificato verrà ora visualizzato nella sezione Generato su dominio della pagina HTTPS nel Pannello di controllo.

Una volta generato un certificato o acquistato uno e caricato, puoi controllare il tuo livello di sicurezza utilizzando il servizio SSL Labs o un altro servizio simile. Il tuo livello di sicurezza non deve essere inferiore a A.

Per saperne di più sul passaggio a HTTPS, leggi questo articolo.

Backup automatico

Il backup automatico può essere abilitato nel Pannello di controllo. Può anche essere una buona decisione fare copie del portale utilizzando servizi di terze parti di tanto in tanto.

Per attivare il Backup automatico,

1. passa alla pagina Backup nella sezione IMPOSTAZIONI COMUNI nella barra laterale sinistra e trova la sezione Backup automatico,
2. clicca sull'interruttore Disabilitato per abilitare la funzione,
   
3. seleziona l'Archivio necessario per i file di backup (le opzioni disponibili sono Amazon AWS S3, Google, Rackspace e Selectel cloud storage o altri servizi WebDAV, tranne per l'archiviazione Temporanea, che è disponibile solo nella sezione Backup dati),
4. specifica l'intervallo di tempo in cui devono essere creati i backup: Ogni giorno, Ogni settimana o Ogni mese con l'indicazione della parte necessaria del periodo di tempo,
5. imposta Il numero massimo di copie di backup da conservare selezionando il valore necessario (da 1 a 30) dall'elenco a discesa corrispondente,
6. seleziona la casella Includi Mail nel backup se desideri eseguire il backup anche dei dati Mail,
7. clicca sul pulsante SALVA.

I backup verranno creati automaticamente con la periodicità specificata.

Per saperne di più sulle opzioni di backup e ripristino, leggi questo articolo.

Regolazione delle impostazioni di sicurezza del portale

Le regole di accesso al portale devono essere impostate prima di aggiungere utenti al portale. Può essere fatto tramite la pagina Accesso al portale. Puoi raggiungere la pagina nel seguente modo: Impostazioni > Sicurezza > Accesso al portale.

Puoi limitare l'accesso al portale determinando le impostazioni della password: Regolazione del numero di caratteri della password, Richiesta di inclusione di lettere maiuscole e Cifre e caratteri speciali nelle password degli utenti.

L'autenticazione a due fattori è disponibile per l'accesso al portale. Può essere impostata per utilizzare un'applicazione - Authy o Google Authenticator; quest'ultimo è altamente raccomandato. L'altro modo è il 2FA tramite SMS. Per utilizzarlo, è necessario utilizzare SMC, Clickatell o Twillio (puoi attivare queste opzioni nella pagina Servizi di terze parti della Scheda di integrazione, utilizzando la chiave API del servizio corrispondente).

Poiché alcuni dei domini di posta elettronica di massa presentano problemi di sicurezza noti, puoi specificare i domini di posta elettronica attendibili che possono essere utilizzati per la registrazione. Per attivare questa funzione, nelle Impostazioni dei domini di posta elettronica attendibili, devi selezionare la casella Domini personalizzati e fornire i nomi dei domini attendibili nei campi visualizzati.

Per impostare una whitelist per gli IP degli utenti attendibili, utilizza la funzione Sicurezza IP.

ONLYOFFICE Workspace ha anche la funzione Durata della sessione. Abilitandola, puoi impostare la durata della sessione per ciascun utente dopo la quale verrà effettuato il logout automatico.

Per saperne di più su come controllare l'accesso al portale, leggi questo articolo.

LDAP per la centralizzazione dell'accesso

Puoi importare le credenziali degli utenti dal tuo server LDAP. Può essere fatto tramite il Pannello di controllo, nella sezione Impostazioni del portale, nella pagina LDAP.

Attiva l'interruttore Abilita autenticazione LDAP, quindi fornisci i seguenti dati:

• le informazioni del tuo server, come l'indirizzo URL,
• il numero di porta utilizzato per accedere al server LDAP,
• il percorso alla directory con i dati degli utenti (User DN) che desideri importare,
• il filtro utente, se hai bisogno di importare solo determinati utenti da quella directory e il valore dell'attributo di accesso.
  

L'importazione dei gruppi viene eseguita nello stesso modo in cui importi gli utenti dal tuo server LDAP.

Puoi anche sincronizzare i dati del server LDAP con il portale ONLYOFFICE per renderli correttamente visibili nei profili degli utenti.

Per saperne di più su come importare utenti e gruppi utilizzando il server LDAP, leggi questo articolo.

Utilizzo di un server SMTP privato

Nell'ONLYOFFICE Workspace il server predefinito per le notifiche agli utenti (ad esempio, su aggiornamenti del portale o della comunità, concessione di accesso ai documenti o modifiche ai progetti) è il server SMTP di ONLYOFFICE. Per una maggiore sicurezza, consigliamo di utilizzare il tuo server SMTP, in modo che i tuoi messaggi non passino attraverso servizi di terze parti.

Per farlo, segui le istruzioni seguenti:

1. Apri il modulo Impostazioni, quindi nella sezione Integrazione, apri la pagina Impostazioni SMTP.
2. Specifica il dominio e la porta del server SMTP.
3. Specifica le credenziali di accesso
4. Specifica il nome del mittente per i destinatari e l'indirizzo email del mittente per i destinatari.
5. OPZIONALE . Per una maggiore sicurezza, se il tuo server lo supporta, seleziona la casella di controllo Abilita SSL.
   

Dopo aver configurato le impostazioni del server SMTP, prova a inviare una mail di test cliccando sul pulsante Invia Mail di Test. Se la lettera viene consegnata con successo, clicca sul pulsante Salva.

Per saperne di più su come configurare il Server SMTP, leggi questo articolo.

Monitoraggio accessi utenti e altre azioni

Utilizzando ONLYOFFICE Workspace puoi facilmente tracciare le azioni e gli accessi degli utenti. Puoi vedere l'elenco delle azioni e degli accessi degli utenti utilizzando il Pannello di Controllo.

Le informazioni sugli accessi sono conservate nella pagina Storico Accessi:

Per visualizzare le statistiche dettagliate per l'ultimo semestre, clicca sul pulsante Scarica e apri il report. Il report si aprirà in un foglio di calcolo .xlsx (LoginHistory_ReportStartDate-EndDate.xlsx).

Il report dello storico accessi include i seguenti dettagli: indirizzo IP dell'utente, Browser e Piattaforma utilizzati quando si è verificato l'evento registrato, Data e ora dell'evento, nome dell'Utente che ha tentato di accedere/uscire, pagina del Portale dove l'azione è stata eseguita, specifica Azione (ad esempio, Accesso Fallito. Account Sociale Associato Non Trovato).

La cronologia delle azioni è conservata nella pagina Audit Trail:

Per visualizzare le statistiche dettagliate per l'ultimo semestre, clicca sul pulsante Scarica e apri il report. Il report si aprirà in un foglio di calcolo .xlsx (AuditTrail_ReportStartDate-EndDate.xlsx).

Il report dell'audit trail include i seguenti dettagli: indirizzo IP dell'utente, Browser e Piattaforma utilizzati quando si è verificato l'evento registrato, Data e ora dell'evento, nome dell'Utente che ha eseguito l'operazione, pagina del Portale dove l'azione è stata eseguita, tipo generico di Azione (ad esempio, download, allega, accesso aggiornato), specifica Azione (ad esempio, Progetti [Sviluppo e promozione del prodotto]. Compiti [Distribuire coupon]. Stato Aggiornato: Chiuso ), Prodotto e Modulo a cui si riferisce l'entità modificata.

È anche possibile impostare il periodo di conservazione sia per lo storico accessi che per l'audit trail nelle rispettive pagine.

Disabilitare l'accesso root

Per evitare perdite di dati, è meglio disabilitare l'accesso come root poiché l'utente root ha pieno accesso a tutti i dati del sistema. Questo può essere fatto tramite il terminale del server, impostando il permesso di accesso root su No.

Chiudere tutte le porte non necessarie

Dovresti mantenere aperte solo le porte necessarie per il funzionamento del portale, poiché porte aperte in eccesso possono essere la causa di perdite di dati. L'elenco delle porte necessarie per il funzionamento di ONLYOFFICE Workspace è qui.

Regolazione dei parametri per la memorizzazione delle versioni dei file

Per la protezione dei dati, se alcuni utenti hanno una connessione internet scadente, puoi regolare la versioning dei file, utilizzando la sezione Impostazioni del Modulo Documenti. È possibile mantenere tutte le versioni intermedie e consentire di creare automaticamente copie dei file aggiornati o semplicemente aggiornare i file esistenti dopo aver applicato le modifiche. Puoi leggere di più qui.

Impostazione dei permessi sui documenti e dei diritti di accesso al portale

Dovresti fornire accesso ai documenti solo ai membri autorizzati di determinati gruppi di lavoro. Puoi regolare il livello di accesso, cliccando sul pulsante Condividi vicino al documento richiesto. Nella finestra aperta puoi aggiungere utenti e impostare il loro livello di accesso, inclusi:

• Sola Lettura,
• Compilazione Moduli,
• Filtro Personalizzato,
• Commento,
• Revisione,
• Accesso Completo.

Gli sviluppatori possono anche impostare i livelli di permesso sui documenti separatamente e in modo più dettagliato: vietare l'accesso alla cronologia del documento, la copia del contenuto, il download del documento, ecc. Maggiori informazioni sui parametri di accesso ai documenti possono essere trovate qui.

È anche possibile impostare i diritti di accesso al portale. Puoi limitare l'accesso a determinati moduli per diversi utenti e gruppi, utilizzando il modulo Impostazioni. Devi aprire la pagina Diritti di Accesso dalla sezione Sicurezza. Lì puoi regolare gli amministratori e cambiare i loro diritti di accesso. Inoltre, puoi concedere o negare l'accesso a determinati moduli più in basso in quella pagina.

Stanze private per il lavoro sicuro con i documenti

In ONLYOFFICE ogni utente può utilizzare stanze private per creare uno spazio di lavoro sicuro per lavorare con i documenti. La Stanza Privata è una sezione in Documenti. I file office .docx, .xlsx e .pptx in una stanza privata sono crittografati con l'algoritmo di crittografia AES-256.

Per lavorare con le stanze private,

1. abilita la funzione nel Pannello di Controllo,
2. scarica l'editor desktop e connettilo al cloud nella pagina principale dell'applicazione.

Puoi lavorare all'interno della tua stanza privata sul portale, utilizzando la sezione appropriata nel modulo Documenti. Puoi condividere documenti dalla tua stanza privata nello stesso modo in cui condividi solitamente documenti sul portale.

Protezione della crittografia dei dati

ONLYOFFICE ha una funzione di crittografia dei dati, che può essere gestita utilizzando il Pannello di Controllo nella versione server.

La crittografia consente di convertire i dati per l'archiviazione confidenziale e sicura. La crittografia di ONLYOFFICE si basa su un tipo di crittografia Encrypt-then-MAC (AES-256-CBC + HMAC-SHA256) dell'intero corpo dei dati. È conforme allo standard internazionale di crittografia dei dati AES-256.

Per preparare il portale alla crittografia, è necessario:

1. Accedi al tuo portale e clicca sull'icona Pannello di Controllo sulla Pagina Iniziale.
   In alternativa, puoi andare alle Impostazioni del portale e selezionare il link Pannello di Controllo sul pannello laterale sinistro.
2. Passa alla sezione Backup e esegui il backup dei dati.
3. Disabilita la funzione Backup Automatico dei Dati.
4. Seleziona l'opzione Archiviazione locale sia per Connetti archiviazione per dati statici sia per Connetti archiviazione come CDN.
5. Assicurati che ci sia abbastanza spazio sul tuo disco rigido.

Dopo che le preparazioni preliminari sono pronte, puoi procedere al passaggio successivo.

Per crittografare l'archiviazione, è necessario:

1. Passa alla sezione Archiviazione nel Pannello di Controllo.
2. Seleziona la casella di controllo Notifica agli utenti che il portale sarà non disponibile per notificare a tutti gli utenti attivi via email quando il processo di crittografia inizia.
   Al termine con successo del processo di crittografia, tutti gli utenti attivi riceveranno anche notifiche email. Se si verifica un errore durante il processo di crittografia, tutti gli amministratori (indipendentemente dall'opzione Notifica agli utenti) riceveranno notifiche email del processo di crittografia non riuscito.
3. Clicca sul pulsante Crittografa archiviazione e poi OK per avviare il processo di crittografia.
   Quando la crittografia è abilitata, una nuova copia di backup dell'archivio dati conterrà file decrittografati. Quando tale copia viene ripristinata, i file saranno nuovamente crittografati sul disco.

Il tempo necessario per completare la procedura dipende dal volume dei dati. Tutti i portali saranno non disponibili durante il processo di crittografia. Non appena la crittografia sarà terminata, i dati del portale saranno disponibili per il lavoro.

Per decrittografare l'archiviazione, è necessario:

1. Passa alla sezione Archiviazione nel Pannello di controllo.
2. Seleziona la casella Notifica agli utenti che il portale non sarà disponibile per avvisare tutti gli utenti attivi via email quando inizia il processo di decrittazione.
   Al termine con successo del processo di decrittazione, tutti gli utenti attivi riceveranno anche notifiche via email. Se si verifica un errore durante il processo di decrittazione, tutti gli amministratori (indipendentemente dall'opzione Notifica agli utenti) riceveranno notifiche via email del processo di decrittazione non riuscito.
3. Fai clic sul pulsante Decripta archiviazione e poi su OK per avviare il processo di decrittazione.

Il tempo necessario per completare la procedura dipende dal volume dei dati. Tutti i portali saranno non disponibili durante il processo di crittografia. Non appena la crittografia sarà terminata, i dati del portale saranno disponibili per il lavoro.