Recomendaciones de seguridad Portal Bizagi

Las siguientes recomendaciones estn orientadas a fortalecer la seguridad del Portal de Bizagi y
sus servicios:
1. Configuracin del firewall
Se recomienda enfticamente asignar reglas en el cortafuego corporativo (firewall) para que se
limite el acceso a Bizagi a las direcciones IPs no autorizadas. Para ello, se deben autorizar las
IPs y los puertos relevantes.
Al emplear una zona desmiliarizada (DMZ), asegrese que tanto el firewall interno como el
firewall externo no permitan el acceso indiscriminado en su configuracin.
Puede tambin considerar polticas corporativas de seguridad especialmente cuando Bizagi se
publica para acceso mediante internet.

2. Configuracin HTTPS
Se recomienda enfticamente configurar el Portal de trabajo bajo el protocolo HTTPS.
Para hacerlo, asegrese de contar con un certificado vlido para su servidor, y que registre su
dominio.
Una vez que cuente con el certicado de su servidor, regstrelo para el uso del Portal de Bizagi
utilizando la opcin de certificados del servidor (Server certificates) que presenta el IIS:


Al registrarlo, asegrese de especificar los bindings en el sitio web (por defecto para Default
Web site):

Ntese que para estos bindings, deber especificar el uso explcito deHTTPS, con su puerto
asignado, y seleccionar el certificado.
De clic en Ok para guardar la configuracin.

3. Configuracin de los servicios Web

Por defecto Bizagi incluye sus servicios Web preconstruidos en la
carpeta.\WebApplication\WebServices\ (por defecto, la ruta
es C:\Bizagi\[Bizagi_edition]\Projects\[su_proyecto]\).
Esto servicios Web se despliegan automticamente para permitir una fcil integracin con
cualquier aplicacin externa, y para proveer cierta funcionalidad que es utilizada internamente
por Bizagi.

Adems de configurar el uso de HTTPS (como se indic anteriormente) que ya provee una
seguridad adicional, se recomienda enfticamente configurar de manera explcita los servicios
Web y su acceso, con medidas de seguridad complementarias.
Estas medidas incluyen:

Autenticacin bsica para aquellos servicios Web que van a ser invocados por aplicaciones
externas (en escenarios de integracin con otros sistemas).
Definir una lista autorizada de direcciones IP (IP whitelist) las cuales autoricen nicamente a
los servidores BPM de Bizagi, de manera que se tenga el acesso restringido a aquellos servicios
Web que slo utiliza Bizagi en su manejo interno.

Para llevar a cabo lo anterior, siga estos pasos:




3.1 Separar los servicios Web
Primero deber separar aquellos servicios internos usados por Bizagi, de los que proveen
capacidades de integracin.
Los servicios Web que se usan por Bizagi son: Cache.asmx yWFAsynch.asmx.

Para separalos, cree una nueva carpeta en la estructura de la aplicacin Web del Portal de
trabajo (por defecto en C:\Bizagi\[Bizagi_edition]\Projects\[su_proyecto]\WebApplication\).
Podr nombrar esta carpeta como SOAPservices (o un nombre de su eleccin):



Mueva todoss los archivos ubicados en .\WebApplication\WebServices\, excepto los 2
archivos: Cache.asmx y WFAsynch.asmx.
Muvalos hacia la nueva carpeta que ha creado en el paso anterior:



Una vez que haya movido los archivos, podr verificar que solo Cache.asmx y WFAsynch.asmx,
se encuentren en la carpeta original.\WebApplication\WebServices\.
3.2 Asignar autenticacin bsica para los servicios Web de integracin
Configure en el IIS la autenticacin bsica para la carpeta
.\WebApplication\SOAPservices\ que contiene los servicios Web que otras aplicaciones
podrn invocar (p.e, los servicios de WorkflowEngineSOA, EntityManagerSOA, QuerySOA,
RenderSOA).
A travs de esta configuracin, los aplicativos externos que utilicen estos servicios debern
proporcionar credenciales vlidas para la autenticacin bsica (usuario, contrasea).

Para hacerlo, habilite la opcin Basic Authentication y deshabilite la opcin que permite
autenticacin annima (Anonymous authentication) para esa carpeta:


Seguidamente, asegrese que los usuarios autorizados tengan privilegios sobre la carpeta fsica
y su contenido (de acuerdo a los usuarios permitidos de su dominio).
Para este escenario, se deben otorgar permisos a la carpeta SOAPservices:





De clic en Ok para guardar la configuracin.
3.3 Definir una lista autorizada de IP para los servicios Web internos
Asegrese de configurar a nivel del IIS, que la carpeta .\WebApplication\WebServices\ que
contiene los servicios provistos por Cache.asmx yWFAsynch.asmx, sea accesible solo por
direcciones IP permitidas.
Estas direccions IP deben corresponder a las asignadas a los Servidores BPM de Bizagi (implica
al servidor local, adems de cualquir otro nodo asignado al clster BPM cuando se cuente con
balanceo de cargas).

Para hacerlo, incluya de manera explcita las direcciones IP que pueden acceder a la carpeta
(ntese que podr especificar un dominio tambin):


Para que la lista autorizada funcione, asegrese de configurar que el manejo por defecto a las
direcciones no-incluidas sea de carcter de negacin de servicio (en edit feature settings,
especifique Deny para el acceso no especficado):