{"id":12585,"date":"2021-12-14T13:00:52","date_gmt":"2021-12-14T21:00:52","guid":{"rendered":"https:\/\/www.couchbase.com\/blog\/?p=12585"},"modified":"2025-06-13T23:06:12","modified_gmt":"2025-06-14T06:06:12","slug":"couchbase-server-7-0-2-enforce-tls-hsts-enforce-ip-address-family","status":"publish","type":"post","link":"https:\/\/www.couchbase.com\/blog\/pt\/couchbase-server-7-0-2-enforce-tls-hsts-enforce-ip-address-family\/","title":{"rendered":"Couchbase Server 7.0.2 Aplicar TLS, HSTS e aplicar a fam\u00edlia de endere\u00e7os IP"},"content":{"rendered":"

Nesta postagem do blog, apresentarei tr\u00eas novos recursos do Couchbase Server 7.0.2 (\"Servidor\") para ajudar os administradores a implantar o Couchbase Server de forma segura: Enforce TLS, HSTS e Enforce IP Address Family.\u00a0<\/span><\/em><\/p>\n

Ao implantar um cluster do Couchbase Server, uma pr\u00e1tica recomendada \u00e9 evitar que um n\u00f3 do servidor seja conectado diretamente \u00e0 Internet. Aconselhamos que os clientes implantem um firewall no per\u00edmetro de rede do cluster, bem como um firewall em cada n\u00f3 do servidor. Esses firewalls devem ser configurados para bloquear todas as portas inseguras, portas de servi\u00e7os que n\u00e3o estejam em uso e fam\u00edlias inteiras de endere\u00e7os IP que n\u00e3o estejam em uso.<\/span><\/p>\n

\u00c9 nesse ponto que esses tr\u00eas novos recursos entram em a\u00e7\u00e3o. Os administradores devem implementar firewalls e permitir apenas portas espec\u00edficas, conforme necess\u00e1rio. As novas configura\u00e7\u00f5es fornecem prote\u00e7\u00f5es adicionais que atingem o mesmo objetivo, no que alguns podem chamar de controle compensat\u00f3rio.<\/span><\/p>\n

Aplicar TLS<\/span><\/h4>\n

O primeiro novo recurso \u00e9 o refor\u00e7o da criptografia de rede TLS. No Couchbase Server 6.5.0, introduzimos <\/span>Criptografia de n\u00f3 para n\u00f3<\/span><\/a>. Com a criptografia de n\u00f3 para n\u00f3 ativada, permitimos a configura\u00e7\u00e3o de como os dados s\u00e3o tratados entre os n\u00f3s do Couchbase Server.\u00a0\u00a0<\/span><\/p>\n

Opcionalmente, os dados de controle s\u00e3o configurados para serem criptografados ou todos os dados entre os n\u00f3s s\u00e3o criptografados. Isso garante que o tr\u00e1fego de rede do cluster entre n\u00f3s seja seguro e, se os administradores implantarem aplicativos para se conectarem apenas ao cluster usando conex\u00f5es de rede criptografadas, todos os dados do banco de dados na rede ser\u00e3o criptografados. Nesse ponto, o administrador implantaria um firewall para bloquear as portas de rede que lidam com o tr\u00e1fego de rede n\u00e3o criptografado ou de texto simples.\u00a0<\/span><\/p>\n

Com o novo recurso Enforce TLS, adicionamos uma terceira op\u00e7\u00e3o \u00e0 configura\u00e7\u00e3o de criptografia do cluster, para ser rigoroso. Quando essa op\u00e7\u00e3o est\u00e1 ativada, o \u00fanico tr\u00e1fego de rede permitido no cluster \u00e9 seguro e criptografado. Isso se aplica a tudo, desde a interface do usu\u00e1rio da Web, as ferramentas de linha de comando, o acesso a aplicativos e o tr\u00e1fego de rede entre os n\u00f3s do cluster, mas n\u00e3o se aplica \u00e0s interfaces de loopback locais.<\/span><\/p>\n

O Enforce TLS pode ser facilmente implementado usando o comando CLI:<\/span><\/p>\n

couchbase-cli setting-security -cluster-encryption-level strict<\/span><\/em><\/p>\n

Cabe\u00e7alho de transporte seguro HTTP (HSTS)<\/span><\/h4>\n

Juntamente com a configura\u00e7\u00e3o Enforce TLS, h\u00e1 tamb\u00e9m uma nova configura\u00e7\u00e3o para ativar opcionalmente um cabe\u00e7alho HTTP Secure Transport Header (HSTS). O cabe\u00e7alho HTTP Strict Transport Security informa ao navegador da Web de um usu\u00e1rio que ele nunca deve carregar um site usando HTTP e deve converter automaticamente todas as tentativas de acesso ao site usando HTTP para solicita\u00e7\u00f5es HTTPS. Isso \u00e9 \u00fatil se voc\u00ea quiser que todo o acesso \u00e0 interface do usu\u00e1rio ocorra somente por HTTPS.<\/span><\/p>\n

Quando um navegador sabe que um dom\u00ednio ativou o HSTS, ele faz duas coisas:<\/span><\/p>\n

    \n
  1. Ele sempre usa um <\/span>https:\/\/<\/span> mesmo ao clicar em uma conex\u00e3o <\/span>https:\/\/<\/span> ou ap\u00f3s digitar um dom\u00ednio na barra de localiza\u00e7\u00e3o sem especificar um protocolo.\u00a0\u00a0<\/span><\/li>\n
  2. Ele remove a capacidade de os usu\u00e1rios clicarem nos avisos sobre certificados inv\u00e1lidos.<\/span><\/li>\n<\/ol>\n

    Um aspecto a ser lembrado sobre o Couchbase Server: por padr\u00e3o, a porta n\u00e3o TLS da interface do usu\u00e1rio \u00e9 <\/span>8091<\/span><\/em> enquanto a porta TLS \u00e9 <\/span>18091<\/span><\/em>. Com o HSTS ativado, todas as solicita\u00e7\u00f5es de <\/span>https:\/\/cluster:8091<\/span><\/em> tentar\u00e1 acessar automaticamente o <\/span>https:\/\/cluster:8091<\/span><\/em>e n\u00e3o o correto <\/span>18091<\/span><\/em> porto.<\/span><\/p>\n

    O HSTS pode ser ativado com o comando CLI:<\/span><\/p>\n

    \u00a0<\/span>couchbase-cli setting-security -hsts-max-age\u00a0\u00a0\u00a0\u00a0<\/span><\/em><\/p>\n

    Configurar o <\/span>Idade m\u00e1xima<\/span> para a quantidade de tempo, em segundos, que o navegador deve lembrar para acessar a interface do usu\u00e1rio do Couchbase somente usando HTTPS.<\/span><\/p>\n

    Voc\u00ea tamb\u00e9m pode optar por ativar\/desativar o HSTS <\/span>pr\u00e9-carga<\/span><\/em> e <\/span>includeSubDomains<\/span><\/em> diretivas.<\/span><\/p>\n

    Aplicar a fam\u00edlia de endere\u00e7os IP<\/span><\/h4>\n

    Tamb\u00e9m aconselhamos os clientes a usar um firewall e bloquear todo o tr\u00e1fego de rede para portas e protocolos que n\u00e3o sejam necess\u00e1rios, incluindo fam\u00edlias inteiras de endere\u00e7os IP. Por exemplo, se a sua organiza\u00e7\u00e3o usa somente endere\u00e7os IPv4, voc\u00ea deve bloquear no n\u00edvel do firewall todo o acesso a endere\u00e7os IPv6 nos n\u00f3s do Couchbase Server. Para adicionar alguns controles de compensa\u00e7\u00e3o, adicionamos op\u00e7\u00f5es \u00e0s configura\u00e7\u00f5es de Fam\u00edlia de endere\u00e7os IP.\u00a0<\/span><\/p>\n

    No exemplo anterior, se uma organiza\u00e7\u00e3o s\u00f3 usa endere\u00e7os IPv4 e usou o comando CLI:<\/span><\/p>\n

    couchbase-cli ip-family -set -ipv4<\/span><\/em><\/p>\n

    ...o cluster usaria o IPv4 para a comunica\u00e7\u00e3o entre os n\u00f3s, mas ainda seria poss\u00edvel que o tr\u00e1fego passasse pelo IPv6 dos clientes, a menos que houvesse um firewall para impedir isso. Se o endere\u00e7o IPv4 n\u00e3o pudesse ser vinculado, o n\u00f3 sofreria uma falha autom\u00e1tica. O novo <\/span>-ipv4only<\/span><\/em> instruir\u00e1 o cluster a sempre tentar vincular-se a interfaces IPv4 e nunca permitir comunica\u00e7\u00f5es de rede IPv6.\u00a0<\/span><\/p>\n

    Como alternativa, h\u00e1 tamb\u00e9m <\/span>-ipv6 <\/span><\/em>e <\/span>-ipv6only<\/span><\/em> que alcan\u00e7am o mesmo resultado, mas para a fam\u00edlia de endere\u00e7os IPv6 em vez da fam\u00edlia de endere\u00e7os IPv4. Se <\/span>-ipv4<\/span><\/em> e <\/span>-ipv6<\/span><\/em> estiverem definidas, ambas as interfaces dever\u00e3o ser vinculadas e, se uma delas estiver dispon\u00edvel, o sistema dever\u00e1 us\u00e1-la e iniciar.\u00a0\u00a0\u00a0<\/span><\/p>\n

    Conclus\u00e3o<\/span><\/h4>\n

    Neste artigo, mostrei a voc\u00ea o Enforce TLS, o HSTS e o Enforce IP Address Family. Todos esses recursos de seguran\u00e7a t\u00eam como objetivo criar uma barreira robusta para os invasores que tentam comprometer seus sistemas. Se a seguran\u00e7a for importante para voc\u00ea, recomendo a leitura de algumas publica\u00e7\u00f5es adicionais no blog sobre nossos recursos de seguran\u00e7a que ajudam a manter seus dados do Couchbase protegidos.\u00a0<\/span><\/p>\n