En monday.com, la seguridad es la máxima prioridad. Queremos asegurarnos de que esté seguro cuando cree su flujo de trabajo con nosotros. Este artículo responderá a las preguntas frecuentes sobre la seguridad y la implementación de TI de la integración del servidor y la nube de Jira.

lo basico

¿Quién es el desarrollador de la integración de Jira?

La clave para la integración de Jira (tanto en la nube como en el servidor) es monday.com.

¿Quién inicia la conexión requerida a la red?

Si bien somos nosotros quienes iniciamos la conexión, ambas partes deben participar para crear la conexión con éxito.

identificación

¿Cómo se realiza la identificación en este servicio?

Se trata de una identificación basada en token, en la que el usuario inicia sesión en monday.com con su información de inicio de sesión de JIRA y, a partir de ese momento, la interacción entre las dos partes se gestiona mediante un token de acceso.

¿Monday.com tiene un agente binario para instalar en nuestra red, para administrar los componentes de seguridad automáticamente?

no. La configuración del servidor Jira se basa en la comunicación HTTPS típica y cualquier filtro de seguridad adicional debe implementarse en el firewall de la red del usuario.

¿Utiliza CAL para el registro L o ha implementado su propio sistema de registro?

Implementamos una solución SIEM, a la que transferimos registros de nuestro NIDS, registros de tráfico de ubicaciones externas y registros generales de identificación y autorización, tanto de la propia aplicación como de los recursos de la infraestructura. Un equipo SOC administrado revisa periódicamente los incidentes de seguridad y los maneja según su gravedad.

¿Cómo podemos establecer una integración con Jira cuando nuestra instancia está detrás de un firewall/VPN?

Es necesario que haya algún tipo de acceso a Internet para integrarse con el servidor de Jira o con cualquier tercero.

Además, los siguientes rangos de IP deben estar abiertos en su firewall/VPN para que la integración funcione:

• 82.115.214.0 / 24
• Nuestra salida utiliza este rango (contiene 256 direcciones públicas desde 82.115.214.0 a 82.115.214.255) para enviar datos a los clientes. Este rango debe estar en la lista blanca para aceptar conexiones entrantes desde nuestra infraestructura.
• No es posible registrar las direcciones IP de ingreso , que se utilizan para recibir datos de los clientes (como llamadas a nuestras aplicaciones API) porque usamos Cloudfare como nuestro proveedor de red final y pueden cambiar las direcciones IP en cualquier momento. Esto no debería ser un problema en la mayoría de los casos.

permisos

¿Por qué se requieren privilegios de administrador global?

Usamos la API REST de JIRA para crear Webhooks y para ello las credenciales autorizadas deben ser las de un administrador de JIRA con permisos globales.

¿Qué medidas de seguridad se aplican?

• JIRA en la nube: para monday.com<> En las aplicaciones de terceros, no existe ningún tipo de aplicación sobre los datos salientes y, para los datos entrantes, la información se cifra mediante TLS 1.2.
• Servidor JIRA: para el servidor JIRA, depende del servidor local y de la persona que creará la integración: si el cliente escribe una dirección base que usa http y no https, entonces la comunicación no se cifrará en tránsito. En general, si utilizan https (ssl), con un certificado confiable, los datos se cifrarán en tránsito.

Para el servidor Jira, ¿se puede acceder a la aplicación/API solo internamente o está expuesta directamente a la web?

monday.com es accesible desde cualquier lugar y está expuesto a Internet. Su servidor JIRA no lo es, ya que es una instancia local. Entonces, para que estos dos objetos funcionen juntos, se te solicita que permitas solicitudes provenientes de monday.com (en el mundo exterior) a tu servidor.

Transferencia y almacenamiento de datos.

¿Qué datos se transfieren?

Los datos transferidos se basan en el mapeo definido por el usuario en el momento de la definición de la integración. Los campos son problemas y proyectos del lado de Jira y elementos del nuestro.

¿A qué datos podemos acceder y qué podemos hacer con ellos (leer o escribir)?

La respuesta a esta pregunta depende del alcance del token API:

• La integración de Jira es una integración basada en tokens (no Oauth2), lo que significa que no solicitamos dominios específicos. Ni monday.com ni el usuario pueden controlar los dominios del token API. Esto se basa en la configuración de Jira. Es decir, si algunos permisos cambian después de la detección, no tenemos control sobre ello, ya sea que se trate de agregar nuevas capacidades API o eliminarlas.
  • Documentación: https://support.atlassian.com/atlassian-account/docs/manage-api-tokens-for-your-atlassian-account/
• Teniendo en cuenta lo anterior, monday.com solo accederá a los datos solicitados que aparecen en la receta. Siempre que se active la integración, intentará recuperar solo los datos relevantes necesarios para completar la ejecución. No realizamos llamadas API innecesarias para recuperar los datos no utilizados. datos.