Guia de segurança do Workspace Enterprise

Introdução

O ONLYOFFICE oferece várias maneiras de garantir que seu portal esteja devidamente protegido. Neste guia, são apresentadas todas as funcionalidades e ferramentas que podem aumentar o nível de segurança de um portal, dados sensíveis e trabalho nos editores em nuvem e desktop.

Certificado SSL

O certificado SSL é um certificado digital que autentica a identidade de um site e permite uma conexão criptografada. Você pode gerar um certificado SSL ou carregar um de terceiros usando o Painel de Controle.

Geração de certificado

O serviço Let's Encrypt é usado para fornecer certificados assinados por CA.

Para gerar um novo certificado,

1. abra a página HTTPS na seção CONFIGURAÇÕES COMUNS na barra lateral esquerda,
2. clique no botão GERAR E APLICAR. Uma caixa de mensagem pop-up aparecerá informando que o certificado e a chave privada foram gerados com sucesso.

O Painel de Controle e o portal serão reiniciados e ficarão indisponíveis durante este processo. Pode levar até 5 minutos. Assim que o processo de instalação do certificado for concluído, seu portal estará disponível via HTTPS.

Carregamento de certificado

Para carregar um certificado de terceiros (por exemplo, Amazon ou GoDaddy),

1. abra a página HTTPS na seção CONFIGURAÇÕES COMUNS na barra lateral esquerda,
2. clique no botão Mais ao lado do campo Certificado CRT e selecione seu certificado .crt para carregá-lo,
3. clique no botão Mais ao lado do campo Chave HTTPS e selecione sua chave privada .key para carregá-la,
   Antes de carregar, certifique-se de que a chave privada não está criptografada. Se você tiver um arquivo .key protegido por senha, será necessário descriptografá-lo primeiro.
4. uma vez que os arquivos .crt e .key forem carregados, clique no botão APLICAR na parte inferior da página.

Depois disso, seu Painel de Controle e portal serão reiniciados e ficarão indisponíveis durante este processo. Pode levar até 5 minutos. Assim que o processo de instalação do certificado for concluído, seu portal estará disponível via HTTPS. O nome de domínio para o qual seu certificado foi emitido agora é exibido na seção Gerado no domínio da página HTTPS no Painel de Controle.

Depois de gerar um certificado ou comprar um e carregá-lo, você pode verificar seu nível de segurança usando o serviço SSL Labs ou outro serviço semelhante. Seu nível de segurança não deve ser inferior a A.

Para saber mais sobre como mudar para HTTPS, leia este artigo.

Backup automático

O backup automático pode ser ativado no Painel de Controle. Também pode ser uma boa decisão fazer cópias do portal usando serviços de terceiros de tempos em tempos.

Para ativar o Backup automático,

1. vá para a página de Backup na seção CONFIGURAÇÕES COMUNS na barra lateral esquerda e encontre a seção Backup automático,
2. clique no interruptor Desativado para habilitar o recurso,
   
3. selecione o Armazenamento necessário para os arquivos de backup (as opções disponíveis são Amazon AWS S3, Google, Rackspace e serviços de armazenamento em nuvem Selectel ou outros serviços WebDAV, exceto o armazenamento Temporário, que está disponível apenas na seção Backup de Dados),
4. especifique o intervalo de tempo em que os backups devem ser criados: Todos os dias, Toda semana ou Todo mês com indicação da parte necessária do período de tempo,
5. defina o Número máximo de cópias de backup a serem armazenadas selecionando o valor necessário (de 1 a 30) na lista suspensa correspondente,
6. marque a caixa Incluir Email no backup se você quiser fazer backup dos dados do Email também,
7. clique no botão SALVAR.

Os backups serão criados automaticamente com a periodicidade especificada.

Para saber mais sobre as opções de backup e restauração, leia este artigo.

Ajuste das configurações de segurança do portal

As regras de acesso ao portal devem ser configuradas antes de adicionar usuários ao portal. Isso pode ser feito através da página Acesso ao Portal do portal. Você pode acessar a página da seguinte forma: Configurações > Segurança > Acesso ao portal.

Você pode restringir o acesso ao portal determinando as configurações de senha: Ajuste do número de caracteres da senha, Exigência de inclusão de letras maiúsculas e Dígitos e caracteres especiais nas senhas dos usuários.

A autenticação de dois fatores está disponível para login no portal. Pode ser configurada para usar um aplicativo - Authy ou Google Authenticator; este último é altamente recomendado. A outra forma é o 2FA via SMS. Para usá-lo, você precisa usar SMC, Clickatell ou Twilio (você pode ativar essas opções na página Serviços de Terceiros da aba Integração, usando a chave API do serviço correspondente).

Como alguns dos domínios de e-mail em massa têm problemas de segurança conhecidos, você pode especificar os domínios de e-mail confiáveis que podem ser usados para registro. Para ativar essa função, nas Configurações de domínio de e-mail confiável, você precisa selecionar a caixa de seleção Domínios personalizados e fornecer os nomes dos domínios confiáveis nos campos que aparecem.

Para definir uma lista de permissões para IPs de usuários confiáveis, use o recurso Segurança de IP.

O ONLYOFFICE Workspace também possui o recurso Duração da Sessão. Ao ativá-lo, você pode definir a duração da sessão para cada usuário, após a qual o logout automático será realizado.

Para saber mais sobre como controlar o acesso ao portal, leia este artigo.

LDAP para centralização de acesso

Você pode importar credenciais de usuário do seu servidor LDAP. Isso pode ser feito através do Painel de Controle, na seção Configurações do Portal, na página LDAP.

Ative o interruptor Habilitar Autenticação LDAP, depois forneça os seguintes dados:

• informações do seu servidor, como endereço URL,
• número da porta usada para acessar o servidor LDAP,
• o caminho para o diretório com dados dos usuários (DN do Usuário) que você deseja importar,
• o filtro de usuário, se você precisar importar apenas determinados usuários desse diretório e o valor do atributo de login.
  

A importação de grupos é realizada da mesma forma que você importa usuários do seu servidor LDAP.

Você também pode sincronizar os dados do servidor LDAP com o portal ONLYOFFICE para que sejam corretamente visíveis nos perfis de usuário.

Para saber mais sobre como importar usuários e grupos usando o Servidor LDAP, por favor, leia este artigo.

Uso de servidor SMTP privado

No ONLYOFFICE Workspace, o servidor padrão para notificação de usuários (por exemplo, sobre atualizações do portal ou da comunidade, concessão de acesso a documentos ou mudanças em projetos) é o servidor SMTP do ONLYOFFICE. Para maior segurança, recomendamos usar seu próprio servidor SMTP, para que suas mensagens não passem por serviços de terceiros.

Para fazer isso, siga as instruções abaixo:

1. Abra o módulo Configurações, depois na seção Integração, abra a página Configurações SMTP.
2. Especifique o domínio e a porta do servidor SMTP.
3. Especifique as credenciais de login
4. Especifique o nome do remetente para os destinatários e o endereço de e-mail do remetente para os destinatários.
5. OPCIONAL . Para maior segurança, se o seu servidor suportar, selecione a caixa de seleção Habilitar SSL.
   

Após configurar as definições do servidor SMTP, tente enviar um e-mail de teste clicando no botão Enviar E-mail de Teste. Se a mensagem for entregue com sucesso, clique no botão Salvar.

Para saber mais sobre como configurar o Servidor SMTP, por favor, leia este artigo.

Monitoramento de logins de usuários e outras ações

Usando o ONLYOFFICE Workspace, você pode facilmente rastrear ações e logins de usuários. Você pode ver a lista de ações e logins de usuários usando o Painel de Controle.

As informações de login são mantidas na página Histórico de Login:

Para visualizar as estatísticas detalhadas do último semestre, clique no botão Baixar e abrir relatório. O relatório será aberto em uma planilha .xlsx (LoginHistory_ReportStartDate-EndDate.xlsx).

O relatório de histórico de login inclui os seguintes detalhes: endereço IP do usuário, Navegador e Plataforma usados quando o evento registrado ocorreu, Data e hora do evento, nome do Usuário que tentou fazer login/logout, Página do portal onde a ação foi realizada, Ação específica (por exemplo, Falha no Login. Conta Social Associada Não Encontrada).

O histórico de ações é mantido na página Trilha de Auditoria:

Para visualizar as estatísticas detalhadas do último semestre, clique no botão Baixar e abrir relatório. O relatório será aberto em uma planilha .xlsx (AuditTrail_ReportStartDate-EndDate.xlsx).

O relatório de trilha de auditoria inclui os seguintes detalhes: endereço IP do usuário, Navegador e Plataforma usados quando o evento registrado ocorreu, Data e hora do evento, nome do Usuário que realizou a operação, Página do portal onde a ação foi realizada, tipo de Ação Genérica (por exemplo, download, anexar, acesso atualizado), Ação específica (por exemplo, Projetos [Desenvolvimento e promoção de produtos]. Tarefas [Distribuir cupons]. Status Atualizado: Fechado), Produto e Módulo aos quais a entidade alterada se refere.

Também é possível definir o período de armazenamento tanto para o histórico de login quanto para a trilha de auditoria nas páginas correspondentes.

Desabilitando acesso root

Para evitar vazamento de dados, é melhor desabilitar o login como root, pois o usuário root tem acesso total a todos os dados do sistema. Isso pode ser feito via terminal do servidor, configurando a permissão de login root para Não.

Fechando todas as portas desnecessárias

Você deve manter abertas apenas as portas necessárias para o funcionamento do portal, pois portas abertas extras podem ser a causa de vazamentos de dados. A lista de portas necessárias para o funcionamento do ONLYOFFICE Workspace está aqui.

Ajustando parâmetros para armazenamento de versões de arquivos

Para proteção de dados, se alguns dos usuários tiverem conexão de internet fraca, você pode ajustar o versionamento de arquivos, usando a seção Configurações do Módulo de Documentos. É possível manter todas as versões intermediárias e permitir a criação automática de cópias dos arquivos atualizados ou apenas atualizar os arquivos existentes após aplicar alterações. Você pode ler mais aqui.

Configurando permissões de documentos e direitos de acesso ao portal

Você deve fornecer acesso aos documentos apenas para membros autorizados de determinados grupos de trabalho. Você pode ajustar o nível de acesso clicando no botão Compartilhar próximo ao documento necessário. Na janela aberta, você pode adicionar usuários e definir seu nível de acesso, incluindo:

• Apenas Leitura,
• Preenchimento de Formulários,
• Filtro Personalizado,
• Comentário,
• Revisão,
• Acesso Completo.

Os desenvolvedores também podem configurar os níveis de permissão de documentos separadamente e de forma mais detalhada: proibir acesso ao histórico do documento, cópia de conteúdo, download de documentos, etc. Mais informações sobre como configurar parâmetros de acesso a documentos podem ser encontradas aqui.

Também é possível definir os direitos de acesso ao portal. Você pode restringir o acesso a determinados módulos para diferentes usuários e grupos, usando o módulo Configurações. Você precisa abrir a página Direitos de Acesso na seção Segurança. Lá, você pode ajustar administradores e alterar seus direitos de acesso. Além disso, você pode conceder ou negar acesso a determinados módulos mais abaixo nessa página.

Salas privadas para trabalho seguro com documentos

No ONLYOFFICE, cada usuário pode usar salas privadas para criar um espaço de trabalho seguro para trabalhar com documentos. A Sala Privada é uma seção em Documentos. Os arquivos de escritório .docx, .xlsx e .pptx em uma sala privada são criptografados com o algoritmo de criptografia AES-256.

Para trabalhar com salas privadas,

1. habilite o recurso no Painel de Controle,
2. baixe o editor de desktop e conecte-o à nuvem na página principal do aplicativo.

Você pode trabalhar dentro da sua sala privada no portal, usando a seção apropriada no módulo Documentos. Você pode compartilhar documentos da sua sala privada da mesma forma que normalmente compartilha documentos no portal.

Proteção de criptografia de dados

O ONLYOFFICE possui um recurso de criptografia de dados, que pode ser gerenciado usando o Painel de Controle na versão do servidor.

A criptografia permite converter dados para armazenamento confidencial e seguro. A criptografia do ONLYOFFICE é baseada em um tipo de criptografia Encrypt-then-MAC (AES-256-CBC + HMAC-SHA256) de todo o corpo de dados. É compatível com o padrão internacional de criptografia de dados AES-256.

Para preparar o portal para criptografia, você precisa:

1. Entrar no seu portal e clicar no ícone Painel de Controle na Página Inicial.
   Alternativamente, você pode ir para as Configurações do portal e selecionar o link Painel de Controle no painel lateral esquerdo.
2. Mudar para a seção Backup e fazer backup dos dados.
3. Desativar o recurso Backup Automático de Dados.
4. Selecionar a opção Armazenamento local tanto para Conectar armazenamento para dados estáticos quanto para Conectar armazenamento como CDN.
5. Certificar-se de que há espaço suficiente no seu disco rígido.

Após as preparações preliminares estarem prontas, você pode prosseguir para o próximo passo.

Para criptografar o armazenamento, você precisa:

1. Mudar para a seção Armazenamento no Painel de Controle.
2. Marcar a caixa de seleção Notificar usuários que o portal ficará indisponível para notificar todos os usuários ativos por e-mail quando o processo de criptografia começar.
   Após a conclusão bem-sucedida do processo de criptografia, todos os usuários ativos também receberão notificações por e-mail. Se ocorrer um erro durante o processo de criptografia, todos os administradores (independentemente da opção Notificar usuários) receberão notificações por e-mail do processo de criptografia malsucedido.
3. Clicar no botão Criptografar armazenamento e depois em OK para iniciar o processo de criptografia.
   Quando a criptografia está habilitada, uma nova cópia de backup do arquivo de dados conterá arquivos descriptografados. Quando tal cópia é restaurada, os arquivos serão criptografados novamente no disco.

O tempo necessário para concluir o procedimento depende do volume de dados. Todos os portais ficarão indisponíveis durante o processo de criptografia. Assim que a criptografia terminar, os dados do portal estarão disponíveis para trabalho.

Para descriptografar o armazenamento, você precisa:

1. Vá para a seção Armazenamento no Painel de Controle.
2. Marque a caixa de seleção Notificar usuários que o portal ficará indisponível para notificar todos os usuários ativos por e-mail quando o processo de descriptografia começar.
   Após a conclusão bem-sucedida do processo de descriptografia, todos os usuários ativos também receberão notificações por e-mail. Se ocorrer um erro durante o processo de descriptografia, todos os administradores (independentemente da opção Notificar Usuários) receberão notificações por e-mail do processo de descriptografia malsucedido.
3. Clique no botão Descriptografar armazenamento e depois em OK para iniciar o processo de descriptografia.

O tempo necessário para concluir o procedimento depende do volume de dados. Todos os portais ficarão indisponíveis durante o processo de criptografia. Assim que a criptografia terminar, os dados do portal estarão disponíveis para uso.