Przewodnik po bezpieczeństwie IT Tulip
  • 13 May 2024
  • 7 Minuty do przeczytania
  • Współtwórcy

Przewodnik po bezpieczeństwie IT Tulip


Streszczenie artykułu

Oto przewodnik po wszystkich zasadach bezpieczeństwa Tulip.

Ten artykuł jest podzielony na dwie sekcje. Pierwsza, "Bezpieczeństwo aplikacji", omawia kwestie bezpieczeństwa na poziomie aplikacji, w tym administrację i dostęp użytkowników końcowych, bezpieczeństwo danych użytkowników i interfejsy wykorzystujące konektory. Druga sekcja, "Bezpieczeństwo infrastruktury", omawia bezpieczeństwo infrastruktury używanej przez pracowników Tulip do uruchamiania i administrowania aplikacją Tulip w ramach naszych dostawców usług w chmurze.

Bezpieczeństwo aplikacji

Dostęp do sieci

Cały dostęp użytkownika końcowego do aplikacji Tulip (w tym interfejsu administratora, środowiska wykonawczego Tulip Player i całego dostępu do urządzenia) jest realizowany na znanych adresach IP przy użyciu szyfrowania TLS. Adresy IP dla różnych regionów są dostępne w naszym artykule Wymagania sieciowe

Szyfrowanie wykorzystuje najsilniejsze szyfry dostępne dla klienta. Usługi Tulip obsługujące dane produkcyjne otrzymują ocenę A+ w teście Qualys SSL Labs. Nowoczesne przeglądarki łączące się z Tulip będą używać Elliptic-Curve Diffie-Hellman Ephemeral (ECDHE) do wymiany kluczy, dodając doskonałą poufność przekazywania (PFS), RSA do uwierzytelniania, 128-bitowy AES w trybie Galois / Counter Mode do szyfrowania i SHA256 do MAC. Przestarzałe zestawy szyfrów są zabronione; nasze serwery odmówią użycia jakiegokolwiek zestawu słabszego niż RSA_WITH_3DES_EDE_CBC_SHA.

Użytkownicy końcowi są odpowiedzialni za zapewnienie bezpieczeństwa swoich urządzeń klienckich, sieci, serwerów proxy itp.

Zarządzanie tożsamością użytkownika

Tulip posiada wbudowaną funkcję zarządzania użytkownikami, która pozwala użytkownikowi końcowemu kontrolować dostęp i uprawnienia w aplikacji Tulip. Hasła muszą spełniać minimalną złożoność i są hashowane po stronie klienta za pomocą SHA256 przed przesłaniem na serwer (szyfrowane za pomocą TLS), w którym to momencie hasła są solone i hashowane za pomocą standardowego bcrypt przed zapisaniem w pamięci trwałej.

Użytkownicy korporacyjni mogą również korzystać z zewnętrznego dostawcy tożsamości (LDAP lub SAML) w celu zarządzania dostępem do aplikacji Tulip, co omija wbudowaną funkcjonalność zarządzania użytkownikami w aplikacji Tulip.

Obowiązkiem użytkownika końcowego jest zapewnienie bezpieczeństwa zewnętrznego dostawcy tożsamości i zapewnienie bezpiecznej komunikacji między aplikacją Tulip a dostawcą tożsamości.

Próby logowania z nieprawidłowymi danymi uwierzytelniającymi spowodują przekroczenie limitu czasu użytkowników po 10 próbach przez 10 minut przed zezwoleniem na dodatkowe próby logowania.

Pojedyncze logowanie i uwierzytelnianie

Tulip zapewnia oddzielne logowanie dla każdego administratora. Uwierzytelnianie dla Tulip Player odbywa się na podstawie każdego urządzenia w oparciu o losowo wygenerowany wspólny sekret. Po uwierzytelnieniu urządzenia za pomocą Tulip, operator może z niego korzystać, wprowadzając identyfikator RFID lub swoje dane uwierzytelniające.

Dane użytkownika

Tulip nie zezwala na bezpośredni dostęp do wewnętrznych baz danych i ogranicza dostęp zgodnie z uprawnieniami w aplikacji Tulip. Wszystkie wywołania baz danych są parametryzowane, aby zapobiec atakom typu injection. Bazy danych są codziennie archiwizowane.

Obrazy użytkowników, filmy i inne zasoby niebędące bazami danych są przechowywane w obiektowej pamięci masowej i są szyfrowane w stanie spoczynku. Użytkownicy pobierają te dane za pomocą jednorazowych podpisanych adresów URL.

Wyjście danych i połączenia zewnętrzne

Tulip umożliwia użytkownikom konfigurowanie połączeń z usługami zewnętrznymi, takimi jak interfejsy API HTTP, bazy danych SQL, serwery OPC UA oraz dostawcy SMTP i SMS. Połączenia te są sandboxowane w aplikacji Tulip, aby zapobiec wprowadzaniu luk w zabezpieczeniach do Tulip, jednak użytkownicy końcowi muszą wziąć odpowiedzialność za zapewnienie, że informacje przesyłane za pośrednictwem tych usług są odpowiednio traktowane. Obejmuje to zapewnienie odpowiedniego szyfrowania połączeń API i baz danych oraz upewnienie się, że dane wrażliwe lub podlegające regulacjom nie są wysyłane do nieuregulowanego miejsca docelowego.

Aby zapoznać się z ukierunkowaną na klienta dyskusją na temat możliwości wystąpienia luk w zabezpieczeniach, zapoznaj się z naszym artykułem na temat Tulip Connector Hosts.

Bezpieczeństwo infrastruktury

Prawa dostępu pracowników Tulip

Dostęp do wewnętrznych i produkcyjnych systemów Tulip jest ściśle kontrolowany i zapewniany tylko pracownikom w razie potrzeby. Tulip kończy fizyczny i logiczny dostęp personelu do systemów informatycznych Tulip nie później niż w dniu zwolnienia.

Uwierzytelnianie w infrastrukturze

Tulip wymaga stosowania silnych haseł i uwierzytelniania dwuskładnikowego dla wszystkich kont pracowników Tulip mających dostęp do danych klientów, w tym wymagań dotyczących minimalnej długości hasła, blokady, okresu wygaśnięcia, złożoności, szyfrowania, zmiany haseł domyślnych i korzystania z haseł tymczasowych. Poświadczenia konta użytkownika (np. identyfikator logowania, hasło) nigdy nie są udostępniane.

Zewnętrzni dostawcy hostingu w chmurze

Tulip korzysta z usług Amazon Web Services (AWS) i Microsoft Azure (AZ) w celu zapewnienia niezbędnego sprzętu, oprogramowania, sieci, pamięci masowej i powiązanych technologii wymaganych do uruchomienia naszej usługi. Indywidualne witryny klientów są domyślnie ograniczone do jednego dostawcy wybranego przez Tulip, jednak klienci mogą zażądać wdrożenia w chmurze określonego dostawcy, jeśli zajdzie taka potrzeba.

Dostarczona nam infrastruktura IT jest zaprojektowana i zarządzana zgodnie z najlepszymi praktykami bezpieczeństwa i różnymi standardami bezpieczeństwa IT, w tym: SOC 1/SSAE 16/ISAE 3402 (dawniej SAS 70), SOC 2, SOC 3, FISMA, DIACAP i FedRAMP, DOD CSM Levels 1-5, PCI DSS Level 1, ISO 9001 / ISO 27001, ITAR, FIPS 140-2, MTCS Level 3. Tulip stale ocenia polityki naszych dostawców usług hostingowych, aby zapewnić zgodność z naszymi wewnętrznymi standardami.

Dodatkowe informacje dla każdego dostawcy są dostępne pod poniższymi linkami:

Firewall/IDS/IPS

Wszystkie serwery Tulip znajdują się za zaporą sieciową, która ogranicza administrację spoza kontrolowanego przez Tulip adresu IP. Urządzenia sieciowe, w tym firewall i inne urządzenia brzegowe, są instalowane przez naszych dostawców usług hostingowych w celu monitorowania i kontrolowania komunikacji na zewnętrznych granicach sieci oraz na kluczowych wewnętrznych granicach sieci. Te urządzenia brzegowe wykorzystują zestawy reguł, listy kontroli dostępu (ACL) i konfiguracje w celu wymuszenia przepływu informacji do określonych usług systemu informatycznego. Tulip wykorzystuje narzędzia monitorujące zaprojektowane do wykrywania nietypowych lub nieautoryzowanych działań i warunków w punktach komunikacji wejściowej i wyjściowej. Narzędzia te monitorują wykorzystanie serwerów i sieci, skanowanie portów, wykorzystanie aplikacji i nieautoryzowane próby włamań. Nasi dostawcy usług w chmurze zapewniają znaczną ochronę przed tradycyjnymi kwestiami bezpieczeństwa sieci, takimi jak ataki DDoS (Distributed Denial Of Service), ataki MITM (Man in the Middle), spoofing IP, sniffing pakietów i skanowanie portów. Wdrażamy dodatkowe mechanizmy kontroli bezpieczeństwa, takie jak systemy IDS i IPS w punktach wejścia do naszych środowisk chmurowych.

Aktualizacje zabezpieczeń

Firma Tulip dokłada wszelkich starań, aby załatać wszystkie krytyczne i istotne kwestie bezpieczeństwa wkrótce po wydaniu poprawki. Wykorzystujemy zautomatyzowane testy do zarządzania lukami w zabezpieczeniach, co pozwala na ich wczesne wykrycie.

Bezpieczeństwo baz danych

Bazy danych znajdują się u każdego dostawcy usług w chmurze i są otwarte tylko dla ruchu z VPC firmy Tulip. Klucze uwierzytelniające są generowane losowo. Parametryzacja jest stosowana w celu uniknięcia ataków typu injection. Dane są szyfrowane w stanie spoczynku.

Testy penetracyjne

Tulip okresowo przeprowadza testy penetracyjne innych firm. Ponadto stosujemy statyczną analizę naszej bazy kodu, aby stale sprawdzać typowe luki w zabezpieczeniach.

Środowiska programistyczne i testowe

Środowiska programistyczne i testowe są fizycznie i logicznie oddzielone od środowisk produkcyjnych.

Incydenty bezpieczeństwa

Incydenty bezpieczeństwa w systemach informatycznych Tulip są rejestrowane i natychmiast rozwiązywane. Te zabezpieczone dzienniki są regularnie przeglądane i przechowywane przez co najmniej dwanaście (12) miesięcy. Zespół ds. operacji technicznych Tulip stosuje standardowe w branży procedury diagnostyczne w celu rozwiązywania problemów podczas zdarzeń mających wpływ na działalność. Operatorzy zapewniają obsługę 24x7x365 w celu wykrywania incydentów oraz zarządzania ich wpływem i rozwiązywaniem. Dokumentacja jest przechowywana w celu pomocy i informowania personelu operacyjnego w obsłudze incydentów lub problemów. Jeśli rozwiązanie problemu wymaga współpracy, zespół operacyjny będzie kontaktował się z dodatkowym personelem i współpracował przy użyciu technologii konferencji elektronicznych, która rejestruje komunikację do przeglądu. Po każdym istotnym problemie operacyjnym, niezależnie od wpływu zewnętrznego, zwoływane są sekcje zwłok, które identyfikują przyczynę źródłową i dodatkowe ulepszenia technologiczne lub proceduralne w celu wdrożenia dodatkowych środków zapobiegawczych, aby zapobiec ponownemu wystąpieniu problemu. Tulip wdrożył różne metody komunikacji wewnętrznej, aby pomóc wszystkim pracownikom zrozumieć ich indywidualne role i obowiązki oraz informować o istotnych wydarzeniach w odpowiednim czasie. Metody te obejmują programy orientacyjne i szkoleniowe dla nowo zatrudnionych pracowników; regularne spotkania wszystkich pracowników w celu aktualizacji wyników biznesowych i innych spraw; oraz środki elektroniczne, takie jak wideokonferencje, wiadomości e-mail i publikowanie informacji za pośrednictwem wewnętrznych kanałów komunikacji Tulip.

Odzyskiwanie danych i nadmiarowość

Wszystkie kopie zapasowe danych klientów są przechowywane w co najmniej dwóch oddzielnych obiektach i mogą zostać odzyskane w przypadku utraty któregokolwiek z poszczególnych centrów danych. Kopie zapasowe są przechowywane przy użyciu AWS S3 lub Azure Storage, które przechowują wszystkie dane kopii zapasowych redundantnie w wielu regionach geograficznych i zapewniają 99,999999999% trwałości i 99,99% dostępności.

Zarządzanie zmianami

Tulip wdraża udokumentowane procedury zarządzania zmianami, które zapewniają spójne podejście do kontrolowania, wdrażania i dokumentowania zmian (w tym zmian awaryjnych) w systemach informatycznych Tulip, które obejmują niezmienne zapisy wszystkich zmian kodu i infrastruktury oraz systematyczny przegląd zmian. Aktualizacje kodu i infrastruktury Tulip są przeprowadzane w celu zminimalizowania jakiegokolwiek wpływu na klienta i jego korzystanie z usług, w tym stosowanie strategii wdrażania bez przestojów i planowanie przestojów zgodnie z harmonogramami produkcji klienta, aby zapobiec przerwom w świadczeniu usług w godzinach pracy. Tulip będzie komunikować się z klientami, gdy nieplanowane przestoje mogą mieć wpływ na korzystanie z usług Tulip przez klientów lub w mało prawdopodobnym przypadku, gdy przestój musi wystąpić w godzinach pracy.

Dostępność

Centra danych naszych dostawców usług hostingowych są zbudowane w klastrach w różnych regionach świata. Wszystkie centra danych są online i obsługują klientów; żadne centrum danych nie jest "zimne". W przypadku awarii zautomatyzowane procesy przenoszą ruch danych klientów z dotkniętego obszaru. Podstawowe aplikacje są wdrażane w konfiguracji N+1, dzięki czemu w przypadku awarii centrum danych istnieje wystarczająca pojemność, aby umożliwić równoważenie ruchu do pozostałych lokalizacji. Systemy zasilania elektrycznego centrum danych są zaprojektowane tak, aby były w pełni nadmiarowe i możliwe do utrzymania bez wpływu na operacje, 24x7x365. Jednostki zasilania bezprzerwowego (UPS) zapewniają zasilanie awaryjne w przypadku awarii elektrycznej dla krytycznych i podstawowych obciążeń w obiekcie. Centra danych wykorzystują generatory do zapewnienia zasilania rezerwowego dla całego obiektu.


Czy ten artykuł był pomocny?