Na monday.com, a segurança é uma prioridade máxima. É importante garantir que você esteja confiante ao construir seu fluxo de trabalho. Este artigo responderá às perguntas frequentes sobre a segurança e a implementação de TI da integração com o Jira na nuvem e no servidor.

O básico

Quem é o desenvolvedor da Integração com o Jira?

O desenvolvedor da Integração com o Jira (tanto na nuvem quanto no servidor) é a monday.com.

Qual parte origina a conexão de rede necessária?

Embora sejamos nós que originamos a conexão, ambas as partes precisam participar para que a conexão seja criada com sucesso.

Autenticação

Como a autenticação é tratada neste serviço?

É uma autenticação baseada em token, onde o usuário insere suas credenciais do JIRA na monday.com, e a partir desse momento a interação entre as duas partes é gerenciada usando um token de acesso.

Para o Jira Server, a monday.com possui um agente binário para instalar em nossa rede que gerenciará os componentes de segurança automaticamente?

Não. A configuração do Jira Server é baseada em comunicações HTTPS típicas e qualquer filtragem de segurança adicional precisa ser implementada no firewall da rede do usuário.

Vocês usam CAL para registro ou implementaram seu próprio sistema de registro?

Implementamos uma solução SIEM, para a qual transmitimos logs do nosso NIDS, logs de tráfego de locais de borda e logs gerais de autenticação e autorização, tanto da aplicação em si quanto de recursos de infraestrutura. Eventos de segurança são revisados regularmente por uma equipe de SOC gerenciada e são tratados de acordo com sua gravidade.

Para o Jira Server, como podemos configurar a integração com o Jira quando nossa instância do Jira está atrás de um firewall/VPN?

É necessário algum tipo de acesso à internet para integrar com o Jira Server ou qualquer terceiro.

Além disso, os seguintes intervalos de IP precisam ser desbloqueados em seu firewall/VPN para que a integração funcione:

• 82.115.214.0 / 24
• Esse intervalo (contendo 256 endereços públicos de 82.115.214.0 a 82.115.214.255) é usado pela nossa egress (saída) para enviar dados aos clientes. Esse intervalo deve ser incluído na lista de permissões para aceitar conexões de entrada de nossa infraestrutura.
• Não há como incluir na lista de permissões nossos ingress (entrada) IPs, usados para receber dados dos clientes (como chamadas para nossas APIs), pois estamos usando o Cloudflare como nosso provedor de rede de borda, e eles podem mudar os IPs a qualquer momento. Isso não deve ser um problema na maioria dos casos.

Permissões

Por que são necessárias permissões de administrador global?

Usamos a API REST do JIRA para criar Webhooks e, para isso, as credenciais autorizadas precisam ser as de um administrador do JIRA com permissões globais.

Quais controles de segurança se aplicam? 

• JIRA Cloud: Para a integração da monday.com com aplicativos de terceiros, para saída não temos nenhuma imposição, e para entrada os dados são criptografados usando TLS 1.2.
• JIRA Server:  Para o JIRA Server, depende do servidor local e da pessoa que criará a integração – se o cliente digitar uma URL base que usa http, e não https, a comunicação não será criptografada durante a transmissão. Em geral, se eles usarem https (ssl), com um certificado confiável válido – os dados serão criptografados durante a transmissão.

Para o Jira Server, a aplicação/API é acessível apenas internamente ou estaria diretamente exposta à internet?

A monday.com é acessível de qualquer lugar e exposta à internet. Seu Jira Server não é, pois é uma instância local. Portanto, para que esses dois objetos funcionem juntos, é solicitado que você permita solicitações vindas da monday.com (no mundo externo) para o seu servidor.

Transferência e armazenamento de dados

Quais dados são transferidos?

Os dados que estão sendo transferidos são baseados no mapeamento definido pelo usuário no momento da configuração da integração. Os escopos são problemas e projetos do lado do Jira, e itens do nosso lado.

Quais dados podemos acessar e o que podemos fazer com eles (ler vs escrever)?

A resposta para isso depende dos escopos do token da API:

• A integração com o JIRA é uma integração baseada em token (não Oauth2), o que significa que não pedimos escopos específicos. Nem a monday.com nem o usuário podem controlar os escopos do token da API. Isso é baseado nas configurações do Jira. Ou seja, se algumas das permissões forem alteradas após a autenticação, não temos controle sobre isso – seja para adicionar novas capacidades da API ou removê-las.
  • Documentação: https://support.atlassian.com/atlassian-account/docs/manage-api-tokens-for-your-atlassian-account/
• Com o que foi mencionado acima, a monday.com acessará apenas os dados solicitados conforme preenchido na receita. Toda vez que a integração for acionada, tentará buscar APENAS os dados relevantes que são obrigatórios para a conclusão da execução. Não fazemos chamadas de API desnecessárias para buscar dados não utilizados. 

Ficou com alguma dúvida? Acione o suporte oficial a qualquer momento.

Para soluções completas de implantação, treinamento e estruturação de workflows no Brasil, conte com a Audatia, parceira oficial da monday.com. Descubra como podemos ajudar →