Tempo aproximado para leitura: 00:15:00 min
DÚVIDA:
Como criar regras de firewall (fluxo de entrada) para restringir o acesso ao ambiente hospedado na TOTVS CLOUD?
AMBIENTE:
T-Cloud (https://tcloud.totvs.com.br/)
SOLUÇÃO:
VÍDEO EXPLICATIVO: A explicação sobre essa pergunta também está disponível no formato de vídeo treinamento. Clique na imagem abaixo para acessar:
As regras de firewall definem quais tipos de tráfego são permitidos ou bloqueados com base em vários critérios, como por exemplo endereço IP de origem e destino. Devemos nos atentar ao sentido da conexão.
REGRAS DE FIREWALL ENTRADA (INBOUND)
Existem as regras de firewall do fluxo de entrada (Inbound), responsáveis pela publicação de serviços para a Internet. Ex: Publicação de um serviço web na porta tcp/443. Observe o desenho abaixo:
REGRAS DE FIREWALL SAÍDA (OUTBOUND)
E também existem as regras de firewall do fluxo de saída (Outbound), responsáveis por liberar o consumo de serviços na Internet. Ex: Consumir na Internet websites na porta tcp/443. Observe o desenho abaixo:
A restrição de conexões é considerada uma medida básica de segurança, e está disponível por padrão para todos os clientes da TOTVS CLOUD configurarem em seus respectivos ambientes.
Por padrão, todo ambiente de cliente provisionado na TOTVS é criado com restrição de origem apenas para os países BRASIL e ESTADOS UNIDOS.
Essa medida melhora a segurança do ambiente, aumentando a restrição de exposição do ambiente de nossos clientes na Internet, dificultando ataques mal intencionados.
Nessa funcionalidade lançada pela TOTVS Cloud, existem 3 opções de configuração para restrição de acesso:
- Restrição por países / geolocalização;
- Restrição por Endereço IP de origem (necessário que o cliente possua IP fixo em sua origem);
- Restrição por VPN (contratação adicional - procure o seu gerente de contas);
Dessa forma, o cliente pode definir quais países (Geolocation) e/ou endereços de origem que podem se conectar em seus produtos e serviços hospedados na nuvem da TOTVS e assim, bloquear a conexão para indivíduos não autorizados.
PASSO A PASSO:
Acesse o T-Cloud e selecione o seu ambiente contratado e em seguida navegue conforme o menu abaixo:
(1) PaaS > (2) Segurança > (3) Aplicação
Você encontrará o módulo Regras de Firewall de entrada.
É permitida a configuração das regras de firewall de entrada de duas maneiras:
- Configuração em Massa: Realiza a mesma configuração de restrição (Geolocation / IP de origem / VPN) para todas as portas TCP relacionadas ao ambiente contratado.
- Configuração Individual: Realiza a configuração de restrição (Geolocation / IP de origem / VPN) para uma porta TCP específica do ambiente contratado.
No print abaixo, podemos visualizar o acesso desses dois métodos:
Ao clicar no ícone da engrenagem, temos as seguintes opções:
IMPORTANTE:
À seguir, serão apresentados 3 cenários para que o cliente possa definir qual se ajusta ao seu perfil e sua realidade e assim, seguir com as configurações:
Cenário A - Acesso mais restritivo;
Cenário B - Acesso geolocation liberado apenas Brasil;
Cenário C - Acesso híbrido: Geolocation e IP de Origem;
CENÁRIO A - ACESSO MAIS RESTRITIVO:
Este é o cenário de melhor prática e recomendado pela TOTVS CLOUD, dado a sua maior restrição
Obs1: Neste cenário o cliente precisa ter IPs de origem fixos em seus escritórios;
Obs2: Os usuários remotos se conectam na VPN do escritório para acessar o ambiente hospedado na TOTVS CLOUD;
O print abaixo ilustra como devem ser realizadas as configurações:
Passo 01 - No item A, remova todos os países;
Passo 02 - No item B coloque todos os endereços IPs que poderão acessar o ambiente do cliente hospedado na TOTVS Cloud;
Passo 03 - Clique no botão verde Aplicar a configuração para todos os serviços para salvar no sistema.
Obs3: Esses itens são somatórios para produzir o resultado final, ou seja, as configurações do item A são somadas com as configurações do item B. Por isso, para esse exemplo é fundamental remover todos os países do item A.
CENÁRIO B - ACESSO GEOLOCATION LIBERADO APENAS BRASIL:
Neste cenário o cliente não dispõe de IPs de origem fixo em seu escritório, tampouco acesso via VPN para usuários remotos. Se não houver nenhum relacionamento com os Estados Unidos (ex: filial, parceiros de negócios, etc), recomenda-se a liberação apenas para o Brasil.
O print abaixo ilustra como devem ser realizadas as configurações:
Passo 01 - Para configurar esse cenário basta remover os Estados Unidos do item A;
Passo 02 - Clique no botão verde Aplicar a configuração para todos os serviços para salvar no sistema.
CENÁRIO C - ACESSO HÍBRIDO: GEOLOCATION + IP DE ORIGEM:
Neste cenário o cliente poder liberar apenas os endereços IPs oriundos do Brasil, e também, caso possua algum parceiro de negócios, filial, etc em outro país (Ex: Estados Unidos), pode fazer a liberação por IP de origem fixo.
O print abaixo ilustra como devem ser realizadas as configurações:
Passo01 - No item A, libere apenas o Brasil;
Passo02 - No item B coloque os endereços IP de origem localizados em outro(s) país(es);
Passo 03 - Clique no botão verde Aplicar a configuração para todos os serviços para salvar no sistema.
SAIBA MAIS:
- No menu de ajuda “Entenda as regras de acesso” você encontra esse detalhamento de uso dentro do T-Cloud:
Agora, o administrador pode liberar esse módulo Regras de Firewall para outros colaboradores! Incrível, não é?
Basta o adm seguir o passo a passo abaixo:
- No Menu à esquerda, acesse a “Gestão de Usuários”;
- A direita você encontrará o campo “novo usuário (email)”, insira o contato e confirme em “adicionar";
- Abaixo aparecerá a lista de todos os usuários cadastrados. Clicando no ícone de edição em um desses usuários, você acessará todas as permissões do mesmo.
- Clique em próximo para localizar a opção de permitir o gerenciamento das regras de firewall, basta colocar como “SIM” e salvar logo em seguida.
Uma vez com o acesso liberado, será possível ter a seguinte visão no T-Cloud:
PESQUISA DE AVALIAÇÃO
Na busca contínua por aprimorar nossos serviços e produtos e garantir a sua satisfação, estamos conduzindo uma pesquisa de satisfação do cliente e valorizamos sinceramente a sua opinião.
A sua experiência como cliente é fundamental para nós, e a sua participação nesta pesquisa nos fornecerá informações valiosas para aprimorarmos nossos produtos/serviços e oferecermos um atendimento ainda mais personalizado.
Gostaríamos de pedir alguns minutos do seu tempo para preencher a pesquisa de satisfação, que pode ser acessada através do seguinte link [Feedback: T-Cloud - Central de Segurança - Regras de Firewall de Entrada].
A sua colaboração é crucial para o nosso constante aprimoramento. Agradecemos antecipadamente por compartilhar a sua opinião conosco.
0 Comentários