Руководство по информационной безопасности Tulip

Перед вами руководство по всем политикам безопасности Tulip.

Эта статья разделена на два раздела. В первом, "Безопасность приложений", рассматриваются вопросы безопасности на уровне приложений, включая администрирование и доступ конечных пользователей, безопасность пользовательских данных и интерфейсы с использованием коннекторов. Во втором разделе, "Безопасность инфраструктуры", рассматривается безопасность инфраструктуры, используемой сотрудниками Tulip для запуска и администрирования приложений Tulip в наших облачных провайдерах.

Безопасность приложений

Доступ к сети

Весь доступ конечных пользователей к приложению Tulip (включая интерфейс администратора, время работы Tulip Player и доступ ко всем устройствам) осуществляется по известным IP-адресам с использованием TLS-шифрования. IP-адреса для наших различных регионов можно найти в статье "Требования к сети".

При шифровании используются самые стойкие шифры, доступные клиенту. Сервисы Tulip, работающие с производственными данными, получили оценку A+ по результатам теста Qualys SSL Labs. Современные браузеры, подключающиеся к Tulip, используют эллиптический кривой Диффи-Хеллмана (ECDHE) для обмена ключами с добавлением совершенной прямой секретности (PFS), RSA для аутентификации, 128-битный AES в режиме Galois/Counter Mode для шифрования и SHA256 для MAC. Устаревшие наборы шифров запрещены; наши серверы откажутся использовать любой набор слабее RSA_WITH_3DES_EDE_CBC_SHA.

Конечные пользователи должны самостоятельно обеспечивать безопасность своих клиентских устройств, сетей, прокси-серверов и т.д.

Управление идентификацией пользователей

В Tulip встроена функция управления пользователями, позволяющая конечному пользователю контролировать доступ и разрешения в приложении Tulip. Пароли должны соответствовать минимальной сложности и хэшируются на стороне клиента с помощью SHA256 перед передачей на сервер (зашифрованный с помощью TLS), после чего пароли солятся и хэшируются с помощью стандартного bcrypt перед записью в постоянное хранилище.

Корпоративные пользователи также могут использовать внешний провайдер идентификации (LDAP или SAML) для управления доступом к приложению Tulip, что позволяет обойти встроенную в Tulip функцию управления пользователями.

Ответственность за безопасность внешнего провайдера идентификации и обеспечение безопасного обмена данными между Tulip и провайдером идентификации лежит на конечном пользователе.

При попытках входа в систему с неверными учетными данными пользователи после 10 попыток будут отключены на 10 минут, после чего будут разрешены дополнительные попытки входа.

Единые логины и аутентификация

Tulip обеспечивает отдельные логины для каждого администратора. Аутентификация для Tulip Player осуществляется на каждом устройстве на основе случайно сгенерированного общего секрета. Как только устройство аутентифицировано в Tulip, оператор может использовать его, войдя в систему с помощью RFID-бейджа или своих учетных данных.

Данные пользователя

Tulip не разрешает прямой доступ к внутренним базам данных и ограничивает доступ в соответствии с разрешениями в приложении Tulip. Все вызовы баз данных параметризованы для предотвращения инъекционных атак. Базы данных ежедневно резервируются.

Пользовательские изображения, видео и другие активы, не относящиеся к базе данных, хранятся в объектном хранилище и шифруются в состоянии покоя. Пользователи получают эти данные с помощью одноразовых подписанных URL-адресов.

Выход данных и внешние соединения

Tulip позволяет пользователям настраивать соединения с внешними сервисами, такими как HTTP API, базы данных SQL, серверы OPC UA, провайдеры SMTP и SMS. Эти соединения находятся в "песочнице" приложения Tulip, чтобы предотвратить появление уязвимостей в системе безопасности Tulip, однако конечные пользователи должны взять на себя ответственность за обеспечение надлежащего обращения с информацией, передаваемой через эти сервисы. Это включает в себя обеспечение надлежащего шифрования соединений API и баз данных, а также обеспечение того, чтобы конфиденциальные или регулируемые данные не отправлялись в нерегулируемый пункт назначения.

Для обсуждения возможности уязвимостей в системе безопасности, ориентированной на клиента, ознакомьтесь с нашей статьей о хостах коннекторов Tulip.

Безопасность инфраструктуры

Права доступа сотрудников Tulip

Доступ к внутренним и производственным системам Tulip строго контролируется и предоставляется только сотрудникам по мере необходимости. Tulip прекращает физический и логический доступ персонала к информационным системам Tulip не позднее даты увольнения.

Аутентификация в инфраструктуре

Tulip требует использования надежных паролей и двухфакторной аутентификации для всех учетных записей сотрудников Tulip, имеющих доступ к данным клиентов, включая требования к минимальной длине пароля, блокировке, сроку действия, сложности, шифрованию, смене паролей по умолчанию и использованию временных паролей. Учетные данные пользователей (например, идентификатор входа, пароль) никогда не предоставляются в общий доступ.

Сторонние поставщики облачного хостинга

Tulip использует Amazon Web Services (AWS) и Microsoft Azure (AZ) для предоставления необходимого оборудования, программного обеспечения, сетей, хранилищ и сопутствующих технологий, необходимых для работы нашего сервиса. Индивидуальные сайты клиентов по умолчанию ограничены одним провайдером по выбору Tulip, однако клиенты могут запросить развертывание в облаке конкретного провайдера, если возникнет такая необходимость.

Предоставляемая нам ИТ-инфраструктура разработана и управляется в соответствии с лучшими практиками безопасности и различными стандартами ИТ-безопасности, включая: SOC 1/SSAE 16/ISAE 3402 (ранее SAS 70), SOC 2, SOC 3, FISMA, DIACAP и FedRAMP, DOD CSM Levels 1-5, PCI DSS Level 1, ISO 9001 / ISO 27001, ITAR, FIPS 140-2, MTCS Level 3. Tulip постоянно оценивает политику наших хостинг-провайдеров на предмет соответствия нашим внутренним стандартам.

Дополнительная информация по каждому провайдеру доступна по ссылкам ниже:

• AWS
• AWS GovCloud
• Azure

Брандмауэр/СПИД/IPS

Все серверы Tulip находятся за брандмауэром, который ограничивает администрирование за пределами IP-адреса, контролируемого Tulip. Сетевые устройства, включая брандмауэры и другие пограничные устройства, устанавливаются нашими хостинг-провайдерами для мониторинга и контроля коммуникаций на внешней границе сети и на ключевых внутренних границах внутри сети. Эти пограничные устройства используют наборы правил, списки контроля доступа (ACL) и конфигурации для обеспечения потока информации к определенным службам информационной системы. Tulip использует средства мониторинга, предназначенные для обнаружения необычных или несанкционированных действий и условий в точках входа и выхода коммуникаций. Эти инструменты отслеживают использование серверов и сети, действия по сканированию портов, использование приложений и попытки несанкционированного вторжения. Наши облачные провайдеры обеспечивают значительную защиту от традиционных проблем сетевой безопасности, таких как распределенные атаки типа "отказ в обслуживании" (DDoS), атаки типа "человек посередине" (MITM), подмена IP-адресов, сниффинг пакетов и сканирование портов. Мы применяем дополнительные средства контроля безопасности, такие как системы IDS и IPS, в точках входа в наши облачные среды.

Обновления системы безопасности

Tulip добросовестно старается исправлять все критические и высокобезопасные проблемы сразу после выхода патча. Мы используем автоматизированное тестирование для управления уязвимостями, что позволяет обнаруживать их на ранних стадиях.

Безопасность баз данных

Базы данных находятся в каждом облачном провайдере и открыты только для трафика из Tulip VPC. Ключи аутентификации генерируются случайным образом. Параметризация используется для предотвращения инъекционных атак. Данные шифруются в состоянии покоя.

Тестирование на проникновение

Tulip периодически проводит тесты на проникновение сторонних производителей. Кроме того, мы используем статический анализ нашей кодовой базы для постоянной проверки на наличие общих уязвимостей.

Среды разработки и тестирования

Среды разработки и тестирования физически и логически отделены от производственных сред.

Инциденты безопасности

Инциденты безопасности в информационных системах Tulip регистрируются и немедленно устраняются. Эти защищенные журналы регулярно просматриваются и хранятся не менее двенадцати (12) месяцев. Команда технических специалистов Tulip использует стандартные для отрасли диагностические процедуры для решения проблем во время событий, влияющих на бизнес. Штатные операторы обеспечивают круглосуточное обслуживание в режиме 24x7x365 для обнаружения инцидентов, управления их последствиями и разрешения. Ведется документация для помощи и информирования оперативного персонала при решении инцидентов и проблем. Если для решения проблемы требуется совместная работа, операционная группа привлекает дополнительных сотрудников и проводит совместную работу с использованием технологии электронных конференций, которая регистрирует общение для проверки. После любой значительной операционной проблемы, независимо от внешнего воздействия, проводятся вскрытия, на которых выявляются первопричины и дополнительные технологические или процедурные усовершенствования для реализации дополнительных превентивных мер по предотвращению повторения. Tulip внедрил различные методы внутренней коммуникации, чтобы помочь всем сотрудникам понять свои роли и обязанности и своевременно сообщать о значимых событиях. Эти методы включают в себя программы ориентации и обучения для вновь принятых сотрудников; регулярные общие собрания, на которых обсуждаются результаты деятельности и другие вопросы; а также электронные средства, такие как видеоконференции, электронные почтовые сообщения и размещение информации на внутренних каналах связи Tulip.

Восстановление данных и резервирование

Все резервные копии данных клиентов хранятся как минимум в двух отдельных центрах и могут быть восстановлены в случае потери любого отдельного центра обработки данных. Резервные копии хранятся с помощью AWS S3 или Azure Storage, которые хранят все резервные данные с избыточностью в нескольких географических регионах и обеспечивают 99,999999999% долговечности и 99,99% доступности.

Управление изменениями

Tulip внедряет документированные процедуры управления изменениями, которые обеспечивают последовательный подход к контролю, внедрению и документированию изменений (включая экстренные изменения) для информационных систем Tulip, который включает в себя неизменяемые записи всех изменений кода и инфраструктуры и систематический обзор изменений. Обновления кода и инфраструктуры Tulip производятся с целью минимизации любого воздействия на клиента и использование им услуг, включая использование стратегий развертывания с нулевым временем простоя и планирование времени простоя в соответствии с производственным графиком клиента для предотвращения прерывания обслуживания в рабочее время. Tulip будет сообщать клиентам, когда незапланированные простои могут повлиять на использование ими услуг Tulip, или в маловероятном случае, когда простои должны произойти в рабочее время.

Доступность

Центры обработки данных наших хостинг-провайдеров построены в виде кластеров в различных регионах мира. Все центры обработки данных работают в режиме онлайн и обслуживают клиентов; ни один центр обработки данных не является "холодным". В случае сбоя автоматические процессы перемещают трафик данных клиентов из зоны поражения. Основные приложения развернуты в конфигурации N+1, чтобы в случае отказа центра обработки данных хватило мощности для балансировки нагрузки на оставшиеся сайты. Системы электропитания центров обработки данных спроектированы таким образом, чтобы обеспечить полное резервирование и возможность обслуживания без ущерба для операций в режиме 24x7x365. Источники бесперебойного питания (ИБП) обеспечивают резервное питание в случае сбоя в электросети для критически важных и необходимых нагрузок в центре. В центрах обработки данных используются генераторы для обеспечения резервного питания всего объекта.