Seguridad
CLARITY está diseñado con la seguridad como principio fundamental. Esta guía cubre las medidas de seguridad integradas en la plataforma y las recomendaciones para entornos de producción.
Cifrado de Credenciales
Todas las credenciales de proveedores de nube (claves de acceso de AWS, secretos de Service Principal de Azure, claves de cuentas de servicio de GCP) se cifran en reposo utilizando cifrado AES-256. Las credenciales son:
- Cifradas antes de almacenarse en la base de datos
- Descifradas solo en memoria cuando se necesitan para llamadas a API
- Nunca registradas en logs, almacenadas en texto plano en caché ni expuestas en respuestas de API
- Nunca transmitidas a terceros
Gestión de Sesiones
CLARITY utiliza gestión de sesiones del lado del servidor:
- Las sesiones se almacenan del lado del servidor (no en cookies del navegador)
- Los tokens de sesión son criptográficamente aleatorios
- Las sesiones expiran automáticamente después de un período configurable de inactividad
- Cerrar sesión invalida la sesión de inmediato
- Los datos de cada usuario están aislados por sesión — sin filtración de datos entre cuentas
Control de Acceso Basado en Roles
Cada operación de API aplica permisos basados en roles:
- Todos los endpoints requieren autenticación
- Cada endpoint verifica el rol del usuario antes de ejecutarse
- Las solicitudes no autorizadas devuelven un error sin filtrar datos
- Las verificaciones de rol se realizan del lado del servidor y no pueden ser evitadas por el cliente
Consulte Roles y Permisos para ver la matriz completa de permisos.
Registro de Auditoría
CLARITY mantiene un registro de auditoría completo de todas las acciones significativas:
| Categoría | Eventos Registrados |
|---|---|
| Autenticación | Intentos de inicio de sesión (exitosos y fallidos), cierres de sesión |
| Gestión de Cuentas | Adiciones, actualizaciones y eliminaciones de credenciales |
| Operaciones de Datos | Activaciones de sincronización, generación de reportes |
| Gestión de Usuarios | Creación de usuarios, cambios de rol, desactivaciones |
| Eventos del Sistema | Cambios de configuración, operaciones programadas |
Los registros de auditoría incluyen marcas de tiempo, el usuario que realizó la acción, la acción ejecutada y el contexto relevante. Los registros son visibles para todos los usuarios autenticados y no pueden ser modificados ni eliminados.
Integraciones de Seguridad Opcionales
Cloudflare Access (SSO)
CLARITY puede colocarse detrás de Cloudflare Access para agregar autenticación basada en proveedores de identidad:
- Aplique inicio de sesión a través de su proveedor de identidad corporativo (Okta, Azure AD, Google Workspace, etc.)
- Agregue una segunda capa de autenticación antes de que los usuarios accedan a CLARITY
- Gestione las políticas de acceso de forma centralizada a través del panel de Cloudflare
Cloudflare Turnstile (CAPTCHA)
Habilite Cloudflare Turnstile en la página de inicio de sesión para proteger contra intentos de inicio de sesión automatizados y ataques de credential stuffing.
Recomendaciones de Seguridad de Red
Para implementaciones en producción, recomendamos:
- Ejecutar detrás de una VPN o Cloudflare Access — No exponga CLARITY directamente a la internet pública
- Restringir el acceso a puertos — Solo el puerto de la interfaz web necesita ser accesible para los usuarios
- Usar HTTPS — Termine TLS en su proxy reverso o balanceador de carga
- Aislar la base de datos — Asegúrese de que la base de datos no sea accesible desde fuera de la red de la aplicación
- Rotar credenciales regularmente — Rote periódicamente las credenciales de proveedores de nube almacenadas en CLARITY
WARNING
Nunca exponga los puertos de la base de datos o servicios internos a la internet pública. Solo la interfaz web de CLARITY debe ser accesible para los usuarios finales.
Próximos Pasos
- Configure Usuarios y Roles
- Conecte sus cuentas de nube a través de la Guía de Inicio Rápido