Mantener los datos a salvo
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Proteger sus datos
- Gestionar las credenciales y tokens OAuth
- Crear integraciones de API seguras
Evitar los riesgos para la seguridad más comunes
Independientemente de cómo elija integrar sus aplicaciones o sistemas externos con Marketing Cloud Engagement, hay algunas directrices que debe seguir para mantener sus datos seguros. Las mejores prácticas que describimos en esta unidad le ayudarán a evitar los riesgos para la seguridad más comunes, como las secuencias de comandos de sitio cruzadas, la revelación de datos confidenciales o la inyección de HTML, entre otros. Vamos a examinar más detenidamente estas posibles amenazas.
Falsificación de solicitud entre sitios
Consiste en engañar a un usuario autenticado para que realice una acción no deseada en un servidor vulnerable.
Inyección de HTML
Este ataque introduce HTML en un sitio web vulnerable, como un iframe que muestra una página distinta de la buscada.
Secuencia de comandos de sitio cruzada
Un atacante usa Javascript en un dominio vulnerable y consigue que un usuario haga clic en un vínculo dañino. El navegador ejecuta el Javascript... y no pasa nada bueno.
Redireccionamientos arbitrarios
Este ataque implica que el usuario haga clic en lo que parece ser una URL normal de servidor, pero el vínculo lo lleva a un sitio malintencionado.
Ejecución de código remoto
Este ataque encuentra vulnerabilidades en los servidores de destino y ejecuta los datos de entrada.
Las buenas noticias son que, aunque estas amenazas de seguridad son muy inquietantes, hay medidas que puede aplicar para proteger sus datos. Revisemos algunas mejores prácticas de seguridad de datos.
Mejores prácticas de seguridad de datos
Limitar los permisos
Siempre que cree tokens de acceso OAuth, asegúrese de que sean válidos únicamente para las tareas necesarias. Después de todo, si un vecino necesitara algo de su garaje... ¿le daría las llaves de toda la casa? En pocas palabras: asigne solo los permisos necesarios a los tokens y el paquete instalado.
Proteger sus tokens
Cuando almacene los valores de sus tokens, conserve solo el token de actualización en el servidor externo. Solicite un nuevo token de acceso solo cuando necesite uno, y almacene solo ese valor en la memoria. Estos tokens deben contar con la misma seguridad y prioridad que las credenciales de cuenta de Salesforce.
Usar una TLS actualizada
Asegúrese de que sus servidores web externos usen una configuración de TLS actualizada y aplique la TLS en sus solicitudes a las API de Marketing Cloud Engagement. Su token de acceso solo debería aparecer en el encabezado de autorización.
Revisar los mensajes de error
Por supuesto, los mensajes de error deberían ser un poco más descriptivos que un simple "ERROR: #12345". Pero es importante no ignorar todo lo que indican, tampoco. Asegúrese de no incluir los rastreos de pila y los registros de depuración en su mensaje de error para evitar que los atacantes usen esa información contra usted.
Crear sesiones seguras
Asegúrese de que sus sesiones usan procedimientos seguros para crear, gestionar y finalizar el trabajo para usuarios autorizados. Cambie los Id. de sesión para que los atacantes no pueden conservar y mantener esos valores para acceder. Asegúrese de que su integración también verifica los niveles de permisos y de sesión de usuario antes de dar acceso a los datos o funciones restringidos. Dé a cada función la información que necesite conocer únicamente. Y use extremos específicos de arrendatario siempre que estén disponibles para asegurarse de que sus solicitudes usan las conexiones más seguras posibles.
Almacenar adecuadamente toda la información confidencial
Almacene toda la información confidencial en su propio sistema siguiendo las mejores prácticas de almacenamiento seguro de su plataforma. ¿Por qué se debe almacenar la información confidencial, como las contraseñas, los números de tarjeta de crédito y los números de la seguridad social de forma segura en el propio sistema? Porque esa información nunca debe almacenarse en los servidores de Marketing Cloud Engagement.
Aplicar todos los parches de software y hardware más importantes
Evite problemas de ejecución de código remoto aplicando parches a las vulnerabilidades de los servicios que están a la escucha en los puertos de servidores web, actualizando los paquetes de software y ejecutando con precaución los datos de usuario deserializados.
¿Se siente más seguro ahora? La seguridad es una preocupación continua, y debería evaluar sus necesidades de seguridad de manera periódica. Con esta información podrá dar una base sólida a sus iniciativas de seguridad. ¡Buen trabajo!