Tulip IT-Sicherheitsleitfaden

Zweck

Dies ist der Leitfaden für alle Sicherheitsrichtlinien von Tulip.

Dieser Artikel ist in zwei Abschnitte unterteilt. Der erste Abschnitt, "Anwendungssicherheit", behandelt Sicherheitsüberlegungen auf Anwendungsebene, einschließlich der Verwaltung und des Zugangs von Endbenutzern, der Sicherheit von Benutzerdaten und der Schnittstellen mit Connectors. Der zweite Abschnitt, "Sicherheit der Infrastruktur", behandelt die Sicherheit der Infrastruktur, die von den Tulip-Mitarbeitern für die Ausführung und Verwaltung der Tulip-Anwendung innerhalb unserer Cloud Providers verwendet wird.

Sicherheit der Anwendung

Netzwerkzugang

Der gesamte Endbenutzerzugriff auf die Tulip-Anwendung (einschließlich der Administrator-Schnittstelle, der Tulip Player-Laufzeit und aller Gerätezugriffe) wird über bekannte IP-Adressen mit TLS-Verschlüsselung abgewickelt. Die IP-Adressen für unsere verschiedenen Regionen finden Sie in unserem Artikel Netzwerkanforderungen

Für die Verschlüsselung werden die stärksten vom Client verfügbaren Chiffren verwendet. Tulip-Dienste, die Produktionsdaten verarbeiten, haben im Qualys SSL Labs-Test ein A+ erhalten. Moderne Browser, die sich mit Tulip verbinden, verwenden Elliptic-Curve Diffie-Hellman Ephemeral (ECDHE) für den Schlüsselaustausch unter Hinzufügung von Perfect Forward Secrecy (PFS), RSA für die Authentifizierung, 128-bit AES im Galois/Counter Mode für die Verschlüsselung und SHA256 für MAC. Veraltete Chiffriersuiten sind verboten; unsere Server weigern sich, eine schwächere Suite als RSA_WITH_3DES_EDE_CBC_SHA zu verwenden.

Es liegt in der Verantwortung der Endbenutzer, die Sicherheit ihrer Client-Geräte, Netzwerke, Proxys usw. zu gewährleisten.

Verwaltung der Benutzeridentität

Tulip verfügt über eine eingebaute Benutzerverwaltungsfunktion, die es dem Endbenutzer ermöglicht, den Zugang zu und die Berechtigungen innerhalb der Tulip-Anwendung zu kontrollieren. Die Passwörter müssen eine Mindestkomplexität aufweisen und werden vor der Übertragung an den Server (verschlüsselt mit TLS) clientseitig mit SHA256 gehasht, wobei die Passwörter mit dem Industriestandard bcrypt gesalzen und gehasht werden, bevor sie in den permanenten Speicher geschrieben werden.

Unternehmensbenutzer können auch einen externen Identitätsprovider (LDAP oder SAML) verwenden, um den Zugang zur Tulip-Anwendung zu regeln, wodurch die eingebaute Benutzerverwaltungsfunktionalität in Tulip umgangen wird.

Es liegt in der Verantwortung des Endbenutzers, die Sicherheit des externen Identitätsanbieters zu gewährleisten und für eine sichere Kommunikation zwischen Tulip und dem Identitätsanbieter zu sorgen.

Bei Anmeldeversuchen mit falschen Anmeldedaten wird der Benutzer nach 10 Versuchen für 10 Minuten in den Timeout versetzt, bevor weitere Anmeldeversuche zugelassen werden.

Einzelne Logins & Authentifizierung

Tulip sorgt für separate Anmeldungen für jeden Administrator. Die Authentifizierung für den Tulip Player erfolgt auf Basis eines zufällig generierten gemeinsamen Geheimnisses pro Gerät. Sobald ein Gerät bei Tulip authentifiziert ist, kann ein Bediener es mit einem RFID-Ausweis oder seinen Anmeldedaten benutzen.

Benutzerdaten

Tulip erlaubt keinen direkten Zugriff auf interne Datenbanken und beschränkt den Zugriff entsprechend den Berechtigungen innerhalb der Tulip-Anwendung. Alle Datenbankaufrufe sind parametrisiert, um Injektionsangriffe zu verhindern. Die Datenbanken werden täglich gesichert.

Benutzerbilder, Videos und andere Nicht-Datenbank-Assets werden im Objektspeicher gespeichert und im Ruhezustand verschlüsselt. Die Benutzer rufen diese Daten über signierte URLs zur einmaligen Verwendung ab.

Datenexport und externe Verbindungen

Tulip ermöglicht es den Benutzern, Verbindungen zu externen Diensten wie HTTP-APIs, SQL-Datenbanken, OPC UA-Servern und SMTP- und SMS-Anbietern zu konfigurieren. Diese Verbindungen sind innerhalb der Tulip-Anwendung in einer Sandbox untergebracht, um zu verhindern, dass Sicherheitslücken in Tulip entstehen. Der Endbenutzer muss jedoch dafür sorgen, dass die über diese Dienste übertragenen Informationen angemessen behandelt werden. Dazu gehört die richtige Verschlüsselung von API- und Datenbankverbindungen und die Sicherstellung, dass sensible oder regulierte Daten nicht an ein unreguliertes Ziel gesendet werden.

Eine kundenorientierte Diskussion über die Möglichkeit von Sicherheitslücken finden Sie in unserem Artikel über Tulip Connector Hosts

Sicherheit der Infrastruktur

Zugriffsrechte der Tulip-Mitarbeiter

Der Zugang zu den internen und produktiven Systemen von Tulip wird streng kontrolliert und nur den Mitarbeitern bei Bedarf gewährt. Tulip beendet den physischen und logischen Zugang des Personals zu den Tulip-Informationssystemen spätestens am Tag der Trennung.

Authentifizierung zur Infrastruktur

Tulip verlangt die Verwendung von starken Passwörtern und 2-Faktor-Authentifizierung für alle Konten von Tulip-Mitarbeitern, die Zugang zu Kundendaten haben, einschließlich Anforderungen an die Mindestlänge der Passwörter, Sperrung, Ablauffrist, Komplexität, Verschlüsselung, Änderung von Standardpasswörtern und Verwendung von temporären Passwörtern. Die Anmeldedaten der Benutzerkonten (z.B. Login-ID, Passwort) werden niemals weitergegeben.

Cloud-Hosting-Anbieter von Drittanbietern

Tulip nutzt Amazon Web Services (AWS) und Microsoft Azure (AZ), um die notwendige Hardware, Software, Netzwerke, Speicher und damit verbundene Technologie bereitzustellen, die für den Betrieb unserer Dienstleistung erforderlich sind. Einzelne Kundenstandorte sind standardmäßig auf einen einzigen Anbieter nach Wahl von Tulip beschränkt, aber die Kunden können bei Bedarf den Einsatz in der Cloud eines bestimmten Anbieters beantragen.

Die uns zur Verfügung gestellte IT-Infrastruktur wird in Übereinstimmung mit bewährten Sicherheitspraktiken und einer Reihe von IT-Sicherheitsstandards entwickelt und verwaltet, darunter: SOC 1/SSAE 16/ISAE 3402 (früher SAS 70), SOC 2, SOC 3, FISMA, DIACAP und FedRAMP, DOD CSM Levels 1-5, PCI DSS Level 1, ISO 9001 / ISO 27001, ITAR, FIPS 140-2, MTCS Level 3. Tulip evaluiert ständig die Richtlinien unserer Hosting-Provider, um die Einhaltung unserer internen Standards zu gewährleisten.

Zusätzliche Informationen zu den einzelnen Anbietern finden Sie unter den unten stehenden Links:

• AWS
• AWS GovCloud
• Azure

Firewall/IDS/IPS

Alle Tulip-Server befinden sich hinter einer Firewall, die die Verwaltung von außerhalb einer von Tulip kontrollierten IP-Adresse einschränkt. Netzwerkgeräte, einschließlich Firewall und andere Grenzgeräte, werden von unseren Hosting-Providern eingerichtet, um die Kommunikation an der externen Grenze des Netzwerks und an wichtigen internen Grenzen innerhalb des Netzwerks zu überwachen und zu kontrollieren. Diese Grenzgeräte verwenden Regelsätze, Zugangskontrolllisten (ACL) und Konfigurationen, um den Informationsfluss zu bestimmten Informationssystemdiensten zu erzwingen. Tulip verwendet Überwachungswerkzeuge, um ungewöhnliche oder unzulässige Aktivitäten und Bedingungen an den Eingangs- und Ausgangskommunikationspunkten zu erkennen. Diese Tools überwachen die Server- und Netzwerknutzung, Port-Scanning-Aktivitäten, die Anwendungsnutzung und unbefugte Eindringungsversuche. Unsere Cloud-Provider bieten einen erheblichen Schutz gegen herkömmliche Netzwerksicherheitsprobleme wie DDoS-Angriffe (Distributed Denial of Service), MITM-Angriffe (Man in the Middle), IP-Spoofing, Packet Sniffing und Port Scanning. Wir implementieren zusätzliche Sicherheitskontrollen wie IDS- und IPS-Systeme an den Zugangspunkten zu unseren Cloud-Umgebungen.

Sicherheits-Updates

Tulip verwendet automatische Sicherheitsupdates, um alle kritischen Patches oder Sicherheitsupdates innerhalb von dreißig (30) Tagen nach der Veröffentlichung solcher Updates oder Patches auf die Tulip-Anwendung anzuwenden.

Sicherheit der Datenbanken

Die Datenbanken befinden sich bei jedem Cloud Provider und sind nur für den Verkehr innerhalb der Tulip VPC zugänglich. Die Authentifizierungsschlüssel werden zufällig generiert. Parametrisierung wird verwendet, um Injektionsangriffe zu vermeiden. Die Daten werden im Ruhezustand verschlüsselt.

Penetrationstests

Tulip führt in regelmäßigen Abständen Penetrationstests von Drittanbietern durch. Zusätzlich verwenden wir eine statische Analyse unserer Code-Basis, um kontinuierlich nach allgemeinen Schwachstellen zu suchen.

Entwicklungs- und Testumgebungen

Die Entwicklungs- und Testumgebungen sind physisch und logisch von den Produktionsumgebungen getrennt.

Sicherheitsvorfälle

Sicherheitsvorfälle bei Tulip Information Systems werden protokolliert und sofort behandelt. Diese gesicherten Protokolle werden regelmäßig überprüft und für mindestens zwölf (12) Monate aufbewahrt. Das technische Betriebsteam von Tulip wendet branchenübliche Diagnoseverfahren an, um bei geschäftsrelevanten Ereignissen eine Lösung zu finden. Die Mitarbeiter sind rund um die Uhr (24x7x365) im Einsatz, um Vorfälle zu erkennen und die Auswirkungen und Lösungen zu verwalten. Es wird eine Dokumentation geführt, die das Betriebspersonal bei der Behandlung von Vorfällen und Problemen unterstützt und informiert. Wenn die Lösung eines Problems Zusammenarbeit erfordert, ruft das Betriebsteam zusätzliche Mitarbeiter auf und arbeitet mit Hilfe elektronischer Konferenztechnologie zusammen, die die Kommunikation zur Überprüfung protokolliert. Post-Mortems werden nach jedem bedeutenden betrieblichen Problem einberufen, unabhängig von der externen Auswirkung, und identifizieren die Grundursache und zusätzliche technologische oder verfahrenstechnische Verbesserungen, um zusätzliche Präventivmaßnahmen zu implementieren, um eine Wiederholung zu verhindern. Tulip hat verschiedene Methoden der internen Kommunikation eingeführt, um allen Mitarbeitern zu helfen, ihre individuellen Rollen und Verantwortlichkeiten zu verstehen und wichtige Ereignisse rechtzeitig zu kommunizieren. Zu diesen Methoden gehören Orientierungs- und Schulungsprogramme für neu eingestellte Mitarbeiter, regelmäßige All-Hands-Meetings zur Aktualisierung der Unternehmensleistung und anderer Angelegenheiten sowie elektronische Mittel wie Videokonferenzen, E-Mail-Nachrichten und die Veröffentlichung von Informationen über die internen Kommunikationskanäle von Tulip.

Datenwiederherstellung und Redundanz

Alle Backups von Kundendaten werden in mindestens zwei getrennten Einrichtungen gespeichert und können bei einem Verlust eines einzelnen Rechenzentrums wiederhergestellt werden. Die Backups werden mit AWS S3 oder Azure Storage gespeichert, die alle Backup-Daten redundant in mehreren geografischen Regionen speichern und eine Haltbarkeit von 99,999999999% und eine Verfügbarkeit von 99,99% bieten.

Änderungsmanagement

Tulip implementiert dokumentierte Change Management-Verfahren, die einen konsistenten Ansatz für die Kontrolle, Implementierung und Dokumentation von Änderungen (einschließlich Notfalländerungen) für Tulip Information Systems bieten, der unveränderliche Aufzeichnungen aller Code- und Infrastrukturänderungen und eine systematische Überprüfung der Änderungen umfasst. Aktualisierungen des Codes und der Infrastruktur von Tulip werden so durchgeführt, dass die Auswirkungen auf den Kunden und die Nutzung der Dienste so gering wie möglich gehalten werden, einschließlich der Anwendung von Zero-Downtime-Deployment-Strategien und der Planung von Ausfallzeiten um die Produktionspläne des Kunden herum, um eine Unterbrechung der Dienste während der Arbeitszeit zu vermeiden. Tulip kommuniziert mit den Kunden, wenn ungeplante Ausfallzeiten die Nutzung der Tulip-Dienste durch die Kunden beeinträchtigen können, oder in dem unwahrscheinlichen Fall, dass Ausfallzeiten während der Betriebszeiten auftreten müssen.

Verfügbarkeit

Die Datenzentren unserer Hosting-Provider sind in Clustern in verschiedenen globalen Regionen aufgebaut. Alle Rechenzentren sind online und bedienen Kunden; kein Rechenzentrum ist "kalt". Im Falle eines Ausfalls wird der Datenverkehr der Kunden durch automatisierte Prozesse aus dem betroffenen Bereich umgeleitet. Die Kernanwendungen werden in einer N+1-Konfiguration bereitgestellt, so dass bei einem Ausfall eines Rechenzentrums genügend Kapazität vorhanden ist, um den Datenverkehr auf die verbleibenden Standorte zu verteilen. Die Stromversorgungssysteme des Rechenzentrums sind so konzipiert, dass sie vollständig redundant sind und ohne Beeinträchtigung des Betriebs 24 Stunden am Tag, 7 Tage die Woche und 365 Tage die Woche gewartet werden können. Unterbrechungsfreie Stromversorgungseinheiten (USV) liefern im Falle eines Stromausfalls Notstrom für kritische und wichtige Verbraucher in der Einrichtung. Rechenzentren verwenden Generatoren, um die gesamte Einrichtung mit Notstrom zu versorgen.