AYUDA EN LÍNEA
 WINDEVWEBDEV Y WINDEV MOBILE

Este contenido se ha traducido automáticamente.  Haga clic aquí  para ver la versión en inglés.
Ayuda / WLanguage / Administrar bases de datos / HFSQL / Gestión de HFSQL Client/Server
  • Presentación
  • Preámbulo: un contexto fiable y seguro para el equipo
  • Seguridad HFSQL
  • Instalación del servidor HFSQL
  • copias
  • Usuarios y derechos
  • Procedimientos almacenados
  • Cifrado
  • Archivos de más de 2 GB
  • Tracing
  • Pruebas
  • Aislamiento y mantenimiento
  • Asegurar las aplicaciones
  • RGPD: Normativa General de Protección de Datos
  • Impacto de la seguridad en el desempeño
  • Configuración del ordenador
  • Servidores virtuales
  • Más consejos
WINDEV
WindowsLinuxUniversal Windows 10 AppJavaReportes y ConsultasCódigo de Usuario (UMC)
WEBDEV
WindowsLinuxPHPWEBDEV - Código Navegador
WINDEV Mobile
AndroidWidget Android iPhone/iPadIOS WidgetApple WatchMac CatalystUniversal Windows 10 App
Otros
Procedimientos almacenados
Presentación
Esta ayuda Page presenta las principales recomendaciones para optimizar la seguridad y el rendimiento de una base de datos HFSQL Client/Server en función de las restricciones y características deseadas.
Este documento presenta:
Preámbulo: un contexto fiable y seguro para el equipo
Antes de configurar el servidor HFSQL, la elección del contexto en el que se instalará el servidor HFSQL es esencial para la seguridad..
En efecto, una instalación realizada en un ordenador en libre acceso, ejecutando un sistema operativo no actualizado desde sus correcciones de seguridad, sin antivirus y sin cortafuegos, nunca será una instalación segura, independientemente de los parámetros del servidor HFSQL.
Esta Document no presenta la seguridad sobre el entorno instalación del servidor HFSQL.
Existen varias guías sobre la seguridad en función del entorno seleccionado.
Sin embargo, repasemos los principales aspectos sobre el entorno del servidor HFSQL que afectan directamente a la seguridad:
  • Seguridad física de el equipo: Se recomienda comprobar los siguientes puntos para garantizar la seguridad:
    • Limitar los accesos físicos a el equipo.
    • Asegure el suministro de energía (fuente de alimentación redundante, UPS, etc.).
    • Comprueba la temperatura y la higrometría de la habitación, etc.
    • Asegurar los accesos de red del servidor (varias tarjetas de red).
    • Eliminar los dispositivos no utilizados de el equipo.
    • Proteja la BIOS con una contraseña y desactive las funciones y el hardware innecesarios en la bios (por ejemplo, los puertos USB integrados si no se utilizan).
    • Elija un medio físico (disco) seguro y rápido. Este medio físico almacenará el servidor HFSQL y las bases de datos. Se recomienda elegir un hardware equipado con un sistema de redundancia o de copia de seguridad física (RAID, mirroring, etc.) o de almacenamiento SAN.
  • Sistema operativo: El sistema operativo del servidor (Windows/Linux de 64 bits) debe tener todos los parches de seguridad más recientes. Un administrador especializado en el sistema seleccionado se asegura de que el sistema operativo esté configurado correctamente. Hay que desinstalar o desactivar todas las opciones y servicios que no se utilicen (servidor web, servidor FTP, etc.).
    Para un servidor con Windows:
    • Asegúrese de que el servidor no tiene el rol "Directorio Active".. En este caso, las cachés del sistema se desactivan en modo de escritura, lo que reduce enormemente el rendimiento de la actualización de datos.
    • si está disponible, añada una exclusión en la configuración del sistema de recuperación para evitar que se realicen copias de seguridad de los archivos ".NDX".. En este caso, los índices que no están sincronizados con los datos podrían ser restaurados.
  • sistema de archivos: El sistema de archivos (FAT32, NTFS, NFS, Ext3, CodaFS, HFS, etc.) es muy importante, ya que puede determinar las capacidades de gestión de archivos, así como los derechos que se pueden set. Se recomienda utilizar un sistema que admita derechos avanzados (como NTFS), así como archivos de más de 2 GB. Evita los sistemas de archivos "en red" (como NFS).
  • Seguridad de la red: Los siguientes elementos se utilizan para asegurar la seguridad de la red de el equipo:
    • Utilice una VPN o un SSP-800 en caso de acceso externo.
    • Asegure la pila TCP/IP.
    • Configure los enrutadores de red y los cortafuegos.
    • Limitar o impedir el acceso externo (INTERNET), el acceso inalámbrico (WiFi, 4G, etc.).
    • Implementar comprobaciones de direcciones IP y/o direcciones MAC.
  • cortafuegos: La implementación de un cortafuegos local debe realizarse con un acceso entrante abierto sólo al puerto del servidor HFSQL (puerto 4900 en TCP por Default).
  • Antivirus locales: Se recomienda la implementación de un antivirus local. Deben implementarse algunas reglas de exclusión en los archivos ".ndx", ".fic", ".mmo" y ".ftx" que se encuentran en el directorio de bases de datos HFSQL para evitar ralentizar el acceso a los datos.
  • Sistema de respaldo: La implementación de un sistema de copia de seguridad y restauración. Se utiliza una copia de seguridad para recuperar los datos después de un problema de funcionamiento (fallo de hardware, error de funcionamiento, robo...).. La presencia de una copia/copia de seguridad significa que esta copia de seguridad debe estar ubicada en un lugar físico diferente, ¡pero protected como los datos de origen!
  • Administrar las sesiones de usuario: No deje sesiones abiertas en el servidor. Mantener una sesión abierta en el servidor significa posibilidades de acceso y representa un fallo de seguridad.. El servidor no debe ser una estación de trabajo.
  • Acceso remoto: El acceso remoto al sistema (escritorio remoto, VNC, SSH, etc.) debe asegurarse y reducirse en la medida de lo posible.
  • Administrar las acciones: Las acciones inútiles deben ser borradas.. El servidor HFSQL no requiere ninguna parte para funcionar. Por lo tanto, no se debe definir ninguna acción en el servidor (excepto las acciones administrativas).. Lo ideal es detener el servicio de gestión de recursos compartidos ("Servidor" en Windows) para no tener ningún recurso compartido.
Seguridad HFSQL

Instalación del servidor HFSQL

La seguridad de un servidor HFSQL comienza desde su instalación.
Al instalar un servidor HFSQL , se instala un servicio en el servidor: HFSQL (Manta). Este servicio es associated de Default con la cuenta del sistema local en Windows.
Para mayor seguridad, le aconsejamos que cambie la cuenta associated con este servicio y que utilice una cuenta específica.
Observación: Durante un instalación en Linux, esta cuenta se puede cambiar desde el HFSQL control Center.
Entonces, los siguientes derechos deben ser concedidos a la cuenta associated con el servicio HFSQL:
  • derechos de "lectura" en los archivos binarios del servidor HFSQL,
  • derechos de "escritura" en el archivo de configuración del servidor (archivo HFConf.INI),
  • " total control" en el directorio de bases de datos.
La cuenta utilizada para ejecutar el servicio debe tener la política de seguridad local "Asignación de derechos de usuario \Realizar tareas de mantenimiento de volumen". Sin esta política, las operaciones que requieren la creación de archivos y la transferencia de registros podrían ralentizarse.
Consejos:
  • Para realizar copias de seguridad con una herramienta externa, también se deben conceder derechos a la cuenta utilizada por esta herramienta externa en el directorio de copias de seguridad HFSQL..
  • Los demás grupos y cuentas no deben tener derechos sobre estos directorios.
Tan pronto como el servidor HFSQL esté instalado:
  • debe cambiar la cuenta de usuario Default ("admin" sin contraseña) y asociarle una contraseña segura (más de 8 caracteres con varias letras y varias cifras).
  • le aconsejamos que bloquee los puertos del administrador de servidores HFSQL (MantaManager) con un firewall (puertos 4999 y 5002 en UDP y TCP). El uso del firewall es opcional.

copias

Las bases de datos y el servidor HFSQL deben guardarse regularmente..
Si la copia de seguridad de las bases de datos se realiza mientras el servidor HFSQL está en funcionamiento, debe ser realizada por el servidor HFSQL..
Para realizar una copia de seguridad del Centro HFSQL control:
  1. Seleccione la base de datos de HFSQL Client/Server en el Centro de control.
  2. En la pestaña correspondiente a su base de datos, haga clic en la pestaña vertical "Copias de seguridad"..
  3. En el menú de la pestaña correspondiente a tu base de datos, en el grupo "Copia de seguridad", despliega "Nueva copia de seguridad" y selecciona el tipo de copia de seguridad a realizar:
    • Nueva copia de seguridad en caliente: la copia de seguridad se realizará inmediatamente.
    • "Nueva copia de seguridad programada" (opción recomendada): la copia de seguridad se realizará en la fecha solicitada. El asistente permite definir las opciones de programación de las copias de seguridad.
Una vez realizada esta copia de seguridad, tendrá la posibilidad de utilizar una herramienta externa para comprimirla o realizar cualquier otra acción.
Observación: Los servidores NAS se recomiendan sólo para la copia de seguridad.

Usuarios y derechos

El servidor HFSQL se utiliza para crear usuarios y grupos de usuarios a través de HFSQL control Center (pestaña vertical "Usuarios" y pestaña vertical "Grupos" disponibles en la ficha del servidor HFSQL).
Para cada usuario y para cada grupo, HFSQL control Center se utiliza para conceder derechos de lectura, derechos de escritura, derechos de creación, derechos de eliminación, ... (opción "Gestión de derechos" que se encuentra en el grupo "Derechos" de las pestañas correspondientes al servidor, a la base de datos y a los archivos de la base de datos)..
Gestión de derechos
Para reducir las posibilidades de operaciones accidentales o maliciosas, las aplicaciones que se conectan al servidor HFSQL deben utilizar una cuenta de usuario HFSQL apropiada.. Dos usuarios diferentes no deben usar la misma cuenta de usuario HFSQL.
En HFSQL control Center, defina una política con los derechos mínimos concedidos a cada usuario y a cada grupo de usuarios.

Procedimientos almacenados

El HFSQL almacena los procedimientos usando el WLanguage, dándoles poder y varias posibilidades.
Es importante limitarlos y control los. Todos los procedimientos almacenados deben ser controlados por un administrador de base de datos (DBA) antes de su implementación..
Le aconsejamos que sólo permita a los administradores de la base de datos desplegar nuevos procedimientos almacenados ("Derechos para configurar los procedimientos almacenados" en el HFSQL control Center).

Cifrado

Se pueden realizar varios tipos de encriptación:
  • Cifrado de las conexiones entre los clientes y el servidor:
    Cuando una aplicación cliente se conecta a una base de datos HFSQL, puede utilizar una conexión cifrada. Por lo tanto, los datos que fluyen por la red se encriptan automáticamente.
    Para mayor seguridad, le aconsejamos que utilice esta opción. Le aconsejamos que defina derechos en la base de datos que prohíban las conexiones al servidor sin cifrado ("Derechos de conexión al servidor (sólo conexión cifrada)" en el HFSQL control Center).
  • Cifrado de los archivos de datos:
    Además de la cuenta HFSQL que requiere un usuario y una contraseña para conectarse, cada fichero de datos (tabla) también puede ser protected por encriptación y por una contraseña. El algoritmo de encriptación (128 bits, 12-round RC5, 16-round RC5, etc.) se define en el análisis WINDEV y WEBDEV por el desarrollador. La contraseña puede ser definida por el desarrollador o por una opción de una aplicación cliente para ser definida por un administrador de base de datos..
    Se recomienda un cifrado con contraseña segura para los archivos de datos que contengan datos confidenciales.. Cuando se define la encriptación en el análisis, debe ser definida para el archivo de datos (.fic), para el índice (.ndx, .ftx) y para los memos.
    Para obtener la máxima seguridad de cifrado, marque " Activar alto nivel de seguridad ". Esta opción se utiliza para encriptar los datos sin almacenar la clave de encriptación en el archivo.. Con esta opción y sin la contraseña del archivo, el contenido del archivo de datos no puede ser recuperado.
    Estas opciones se definen en editor de análisis, en la pestaña "Detalles" de la ventana description de los ficheros.
  • Cifrado aplicativo:
    Para los artículos que contienen datos muy sensibles (número de tarjeta bancaria, por ejemplo), le aconsejamos que añada un cifrado/descifrado aplicativo.. Una encriptación aplicativa hace que los datos sean ilegibles sin el aplicativo correspondiente, incluso con una cuenta de usuario para la base de datos y con la contraseña del archivo.

Archivos de más de 2 GB

Si el tamaño de algunos archivos de datos puede superar los 2 GB, el servidor HFSQL debe estar instalado en un sistema operativo y con un sistema de archivos que permita gestionar este tipo de archivos (como NTFS)..
La opción de gestión de ficheros de más de 2 GB debe estar activada en el análisis WINDEV o WEBDEV correspondiente a las bases de datos (pestaña "Compatibilidad" de la ventana del fichero description).:
Para un archivo registrado, el registro toma la misma opción que el archivo de datos de associated. Por lo tanto, esta opción debe estar activada en un archivo, incluso si sólo su registro puede superar los 2 GB.
También se dispone de una opción para los archivos del sistema del servidor HFSQL para permitir archivos de más de 2 GB. Habilite esta opción si los datos se instalan en un sistema de archivos que admita archivos de más de 2 GB. Para habilitar esta opción en el Centro control de HFSQL:
  1. Mostrar las características de un servidor HFSQL:
  2. En el grupo "Parámetros", haga clic en "Configuración del servidor"..
  3. Haga clic en "Sistema".:

Tracing

Para poder comprobar las operaciones que se han realizado en la base de datos, debe implementarse un mecanismo de rastreo en los archivos de datos sensibles..
Esta operación se puede realizar habilitando el registro Process en estos archivos de datos. El registro Process puede ser definido para cada artículo: por lo tanto, tiene la posibilidad de no incluir algunos elementos en el registro por razones de rendimiento (tamaño del registro) o por razones de seguridad (evite duplicar datos muy sensibles).
Para habilitar el registro Process en los archivos de datos:
  1. En editor de análisis, visualice la ventana description de los ficheros de datos ("description de los ficheros de datos" en el menú contextual de un fichero).
  2. En la pestaña "Registro", elija el tipo de registro que desea utilizar:
    Activar registro
También tiene la capacidad de habilitar la generación de un archivo de registro por parte del servidor HFSQL. El archivo de registro no contiene los datos encontrados en las bases de datos, pero puede ser utilizado para identificar las diferentes peticiones recibidas y procesadas por el servidor.
Para activar esta opción en el Centro de control HFSQL, seleccione la pestaña "Configuración" del servidor description:

Pruebas

  • Prueba de regresión
    Al actualizar el servidor HFSQL, el cliente framework o las aplicaciones cliente que utilizan la base de datos HFSQL, las pruebas de regresión deben haberse realizado previamente en una configuración de prueba antes de ser implementadas en la configuración real..
    De hecho, la implementación de una actualización que incluya la corrección de un fallo de seguridad puede provocar comportamientos inesperados en las aplicaciones cliente y modificaciones no deseadas en las bases de datos.
  • Prueba en condiciones reales
    Para asegurarse de que el servidor está correctamente equilibrado y protegido, las pruebas deben realizarse regularmente en una configuración similar con volúmenes de datos similares y un número similar de conexiones simultáneas al servidor real.

Aislamiento y mantenimiento

  • Aislamiento
    Para un mejor aislamiento entre diferentes bases de datos, le recomendamos que utilice diferentes servidores HFSQL. Estos servidores HFSQL pueden ser instalados en el mismo ordenador en diferentes directorios, con diferentes cuentas de usuario.
  • Maintenance
    Es importante mantener actualizado el servidor HFSQL y la capa HFSQL del cliente (WINDEV framework).. Las actualizaciones pueden incluir correcciones sobre fallos de seguridad.
La reindexación regular de los índices encontrados en las bases de datos se utiliza para asegurar consultas optimizadas (a través de la actualización de las estadísticas) y archivos más potentes.
Tenga cuidado con los diferentes procesos que se pueden habilitar en el servidor (antivirus, comprobación de disco,...): ningún Process que no sea el servidor HFSQL debe acceder a las bases de datos.

Asegurar las aplicaciones

Asegurar una base de datos significa asegurar las aplicaciones que utilizan la base de datos.. De hecho, las aplicaciones que acceden a la base de datos contienen la información necesaria para acceder a la base de datos. Representan un punto crítico para acceder a la base de datos.
Por lo tanto, las aplicaciones que acceden a una base de datos deben ser protected como mínimo:
  • Una autenticación de los usuarios
  • Un bloqueo automatic de la aplicación o de la sesión en caso de largo tiempo de inactividad
  • La información de autenticación no debe almacenarse
  • Las capacidades para exportar datos deben estar deshabilitadas siempre que no sean estrictamente necesarias en la aplicación.
  • Las diferentes opciones de la aplicación deben ser accesibles según el usuario (User Groupware)
  • La instalación de la solicitud debe estar asegurada y accesible sólo para las personas autorizadas
Observación: Tiene la capacidad de firmar el ejecutable y la instalación si sólo las aplicaciones firmadas están autorizadas por el sistema.

RGPD: Normativa General de Protección de Datos

El GDPR (Reglamento General de Protección de Datos) sustituirá a la "Directiva de Protección de Datos" el 25 de mayo de 2018.
Una auditoría GDPR está disponible para identificar y controlar fácilmente los datos personales en una aplicación WINDEV, WEBDEV o WINDEV Mobile..
Para obtener más información, consulte:
Impacto de la seguridad en el desempeño
Algunas características de seguridad a menudo reducen el rendimiento. A la inversa, los cambios realizados para mejorar el rendimiento pueden afectar a la seguridad.
Ejemplos: Encriptación de la conexión, encriptación de archivos, registro...
A continuación se presentan algunos recordatorios para mejorar el rendimiento al acceder a una base de datos HFSQL (aparte de optimizar el código fuente de las aplicaciones, crear nuevos índices, etc.) sin afectar a la seguridad.

Configuración del ordenador

Las características físicas recomendadas de el equipo:
  • Multiprocesadores, multi-cores, para que las peticiones sean procesadas en paralelo por el servidor HFSQL
  • Tecnología de 64 bits: Para que el servidor HFSQL pueda utilizar más de 2 GB de RAM, debe estar instalado en su versión de 64 bits, en un sistema de 64 bits y en un ordenador de 64 bits.
  • Una gran cantidad de RAM. Una gran cantidad de RAM permite que el sistema operativo y el servidor HFSQL generen más caché durante la lectura de archivos, aumentando la velocidad de los procesos.. Además, parte de la memoria RAM instalada es utilizada por el sistema operativo y por los demás servicios instalados en el equipo. Para una base de datos grande, recomendamos 16 GB de memoria (o más).
  • Discos duros rápidos: El servidor HFSQL realiza un número importante de accesos a los discos (operaciones de lectura y escritura), por lo que la presencia de discos rápidos puede aumentar significativamente la velocidad de algunas operaciones.
  • INCURSIÓN: La implementación de un sistema RAID se utiliza para mejorar la seguridad de get y para distribuir las operaciones de lectura en varios discos. El rendimiento de lectura ha mejorado.
  • Actualización regular de las estadísticas de los índices de las bases de datos (por ejemplo, a través de una tarea programada del servidor).. El rendimiento de las consultas se optimiza cuando estas estadísticas están actualizadas.

Servidores virtuales

Cuando se utiliza un servidor virtual, los recursos del mismo ordenador físico se comparten entre varios servidores virtuales. Por lo tanto, el modo de funcionamiento de un servidor virtual puede afectar el rendimiento de los otros servidores.
Por ejemplo, un Process que realiza operaciones intensivas de lectura en un disco físico en un servidor virtual utilizará todo el acceso al disco. Todos los servidores virtuales que accedan a este disco físico para leer o escribir datos se verán ralentizados.
Para alojar el servidor HFSQL con un servidor virtual y mantener un buen rendimiento, evite usar un disco físico compartido o un disco virtual de tipo "imagen". Siempre que sea posible, utilice una Red de Área de Almacenamiento o un disco de paso.

Más consejos

  • No hay ningún salvapantallas que no sea una pantalla Black en el servidor porque algunos salvapantallas pueden consumir muchos recursos.
  • Posibilidad de habilitar la compresión de frames en las comunicaciones HFSQL. Esta opción es useful sólo si el rendimiento de la red de comunicación entre el servidor y el cliente es bajo (GPRS, 3G...).
  • Optimización del equilibrio de carga del servidor. Para obtener más información, consulte Gestión del balanceo de carga (balanceo de carga dinámico en el servidor).
Versión mínima requerida
  • Versión 16
Esta página también está disponible para…
Comentarios
Haga clic en [Agregar] para publicar un comentario

Última modificación: 30/03/2023

Señalar un error o enviar una sugerencia | Ayuda local