Przewodnik po bezpieczeństwie IT Tulip

Cel

Oto przewodnik po wszystkich zasadach bezpieczeństwa Tulip.

Ten artykuł jest podzielony na dwie sekcje. Pierwsza, "Bezpieczeństwo aplikacji", omawia kwestie bezpieczeństwa na poziomie aplikacji, w tym administrację i dostęp użytkowników końcowych, bezpieczeństwo danych użytkowników i interfejsy wykorzystujące konektory. Druga sekcja, "Bezpieczeństwo infrastruktury", omawia bezpieczeństwo infrastruktury używanej przez pracowników Tulip do uruchamiania i administrowania aplikacją Tulip w ramach naszych dostawców usług w chmurze.

Bezpieczeństwo aplikacji

Dostęp do sieci

Cały dostęp użytkownika końcowego do aplikacji Tulip (w tym interfejsu administratora, środowiska wykonawczego Tulip Player i całego dostępu do urządzenia) jest realizowany na znanych adresach IP przy użyciu szyfrowania TLS. Adresy IP dla różnych regionów są dostępne w naszym artykule Wymagania sieciowe

Szyfrowanie wykorzystuje najsilniejsze szyfry dostępne dla klienta. Usługi Tulip obsługujące dane produkcyjne otrzymują ocenę A+ w teście Qualys SSL Labs. Nowoczesne przeglądarki łączące się z Tulip będą używać Elliptic-Curve Diffie-Hellman Ephemeral (ECDHE) do wymiany kluczy, dodając doskonałą poufność przekazywania (PFS), RSA do uwierzytelniania, 128-bitowy AES w trybie Galois / Counter Mode do szyfrowania i SHA256 do MAC. Przestarzałe zestawy szyfrów są zabronione; nasze serwery odmówią użycia jakiegokolwiek zestawu słabszego niż RSA_WITH_3DES_EDE_CBC_SHA.

Użytkownicy końcowi są odpowiedzialni za zapewnienie bezpieczeństwa swoich urządzeń klienckich, sieci, serwerów proxy itp.

Zarządzanie tożsamością użytkownika

Tulip posiada wbudowaną funkcję zarządzania użytkownikami, która pozwala użytkownikowi końcowemu kontrolować dostęp i uprawnienia w aplikacji Tulip. Hasła muszą spełniać minimalną złożoność i są hashowane po stronie klienta za pomocą SHA256 przed przesłaniem na serwer (szyfrowane za pomocą TLS), w którym to momencie hasła są solone i hashowane za pomocą standardowego bcrypt przed zapisaniem w pamięci trwałej.

Użytkownicy korporacyjni mogą również korzystać z zewnętrznego dostawcy tożsamości (LDAP lub SAML) w celu zarządzania dostępem do aplikacji Tulip, co omija wbudowaną funkcjonalność zarządzania użytkownikami w aplikacji Tulip.

Obowiązkiem użytkownika końcowego jest zapewnienie bezpieczeństwa zewnętrznego dostawcy tożsamości i zapewnienie bezpiecznej komunikacji między aplikacją Tulip a dostawcą tożsamości.

Próby logowania z nieprawidłowymi danymi uwierzytelniającymi spowodują przekroczenie limitu czasu użytkowników po 10 próbach przez 10 minut przed zezwoleniem na dodatkowe próby logowania.

Pojedyncze logowanie i uwierzytelnianie

Tulip zapewnia oddzielne logowanie dla każdego administratora. Uwierzytelnianie dla Tulip Player odbywa się na podstawie każdego urządzenia w oparciu o losowo wygenerowany wspólny sekret. Po uwierzytelnieniu urządzenia za pomocą Tulip, operator może z niego korzystać, wprowadzając identyfikator RFID lub swoje dane uwierzytelniające.

Dane użytkownika

Tulip nie zezwala na bezpośredni dostęp do wewnętrznych baz danych i ogranicza dostęp zgodnie z uprawnieniami w aplikacji Tulip. Wszystkie wywołania baz danych są parametryzowane, aby zapobiec atakom typu injection. Bazy danych są codziennie archiwizowane.

Obrazy użytkowników, filmy i inne zasoby niebędące bazami danych są przechowywane w obiektowej pamięci masowej i są szyfrowane w stanie spoczynku. Użytkownicy pobierają te dane za pomocą jednorazowych podpisanych adresów URL.

Wyjście danych i połączenia zewnętrzne

Tulip umożliwia użytkownikom konfigurowanie połączeń z usługami zewnętrznymi, takimi jak interfejsy API HTTP, bazy danych SQL, serwery OPC UA oraz dostawcy SMTP i SMS. Połączenia te są sandboxowane w aplikacji Tulip, aby zapobiec wprowadzaniu luk w zabezpieczeniach do Tulip, jednak użytkownicy końcowi muszą wziąć odpowiedzialność za zapewnienie, że informacje przesyłane za pośrednictwem tych usług są odpowiednio traktowane. Obejmuje to zapewnienie odpowiedniego szyfrowania połączeń API i baz danych oraz upewnienie się, że dane wrażliwe lub podlegające regulacjom nie są wysyłane do nieuregulowanego miejsca docelowego.

Aby zapoznać się z ukierunkowaną na klienta dyskusją na temat możliwości wystąpienia luk w zabezpieczeniach, zapoznaj się z naszym artykułem na temat Tulip Connector Hosts.

Bezpieczeństwo infrastruktury

Prawa dostępu pracowników Tulip

Dostęp do wewnętrznych i produkcyjnych systemów Tulip jest ściśle kontrolowany i zapewniany tylko pracownikom w razie potrzeby. Tulip kończy fizyczny i logiczny dostęp personelu do systemów informatycznych Tulip nie później niż w dniu zwolnienia.

Uwierzytelnianie w infrastrukturze

Tulip wymaga stosowania silnych haseł i uwierzytelniania dwuskładnikowego dla wszystkich kont pracowników Tulip mających dostęp do danych klientów, w tym wymagań dotyczących minimalnej długości hasła, blokady, okresu wygaśnięcia, złożoności, szyfrowania, zmiany haseł domyślnych i korzystania z haseł tymczasowych. Poświadczenia konta użytkownika (np. identyfikator logowania, hasło) nigdy nie są udostępniane.

Zewnętrzni dostawcy hostingu w chmurze

Tulip korzysta z usług Amazon Web Services (AWS) i Microsoft Azure (AZ) w celu zapewnienia niezbędnego sprzętu, oprogramowania, sieci, pamięci masowej i powiązanych technologii wymaganych do uruchomienia naszej usługi. Indywidualne witryny klientów są domyślnie ograniczone do jednego dostawcy wybranego przez Tulip, jednak klienci mogą zażądać wdrożenia w chmurze określonego dostawcy, jeśli zajdzie taka potrzeba.

Dostarczona nam infrastruktura IT jest zaprojektowana i zarządzana zgodnie z najlepszymi praktykami bezpieczeństwa i różnymi standardami bezpieczeństwa IT, w tym: SOC 1/SSAE 16/ISAE 3402 (dawniej SAS 70), SOC 2, SOC 3, FISMA, DIACAP i FedRAMP, DOD CSM Levels 1-5, PCI DSS Level 1, ISO 9001 / ISO 27001, ITAR, FIPS 140-2, MTCS Level 3. Tulip stale ocenia polityki naszych dostawców usług hostingowych, aby zapewnić zgodność z naszymi wewnętrznymi standardami.

Dodatkowe informacje dla każdego dostawcy są dostępne pod poniższymi linkami:

• AWS
• AWS GovCloud
• Azure

Firewall/IDS/IPS

Wszystkie serwery Tulip znajdują się za zaporą sieciową, która ogranicza administrację spoza kontrolowanego przez Tulip adresu IP. Urządzenia sieciowe, w tym firewall i inne urządzenia brzegowe, są instalowane przez naszych dostawców usług hostingowych w celu monitorowania i kontrolowania komunikacji na zewnętrznych granicach sieci oraz na kluczowych wewnętrznych granicach sieci. Te urządzenia brzegowe wykorzystują zestawy reguł, listy kontroli dostępu (ACL) i konfiguracje w celu wymuszenia przepływu informacji do określonych usług systemu informatycznego. Tulip wykorzystuje narzędzia monitorujące zaprojektowane do wykrywania nietypowych lub nieautoryzowanych działań i warunków w punktach komunikacji wejściowej i wyjściowej. Narzędzia te monitorują wykorzystanie serwerów i sieci, skanowanie portów, wykorzystanie aplikacji i nieautoryzowane próby włamań. Nasi dostawcy usług w chmurze zapewniają znaczną ochronę przed tradycyjnymi kwestiami bezpieczeństwa sieci, takimi jak ataki DDoS (Distributed Denial Of Service), ataki MITM (Man in the Middle), spoofing IP, sniffing pakietów i skanowanie portów. Wdrażamy dodatkowe mechanizmy kontroli bezpieczeństwa, takie jak systemy IDS i IPS w punktach wejścia do naszych środowisk chmurowych.

Aktualizacje zabezpieczeń

Tulip korzysta z automatycznych aktualizacji zabezpieczeń, aby zastosować wszystkie krytyczne poprawki lub aktualizacje zabezpieczeń do aplikacji Tulip w ciągu trzydziestu (30) dni od wydania takich aktualizacji lub poprawek.

Bezpieczeństwo baz danych

Bazy danych znajdują się u każdego dostawcy usług w chmurze i są otwarte tylko dla ruchu z VPC Tulip. Klucze uwierzytelniające są generowane losowo. Parametryzacja jest stosowana w celu uniknięcia ataków typu injection. Dane są szyfrowane w stanie spoczynku.

Testy penetracyjne

Tulip okresowo przeprowadza testy penetracyjne innych firm. Ponadto stosujemy statyczną analizę naszej bazy kodu, aby stale sprawdzać typowe luki w zabezpieczeniach.

Środowiska programistyczne i testowe

Środowiska programistyczne i testowe są fizycznie i logicznie oddzielone od środowisk produkcyjnych.

Incydenty bezpieczeństwa

Incydenty bezpieczeństwa w systemach informatycznych Tulip są rejestrowane i natychmiast rozwiązywane. Te zabezpieczone dzienniki są regularnie przeglądane i przechowywane przez co najmniej dwanaście (12) miesięcy. Zespół ds. operacji technicznych Tulip stosuje standardowe w branży procedury diagnostyczne w celu rozwiązywania problemów podczas zdarzeń mających wpływ na działalność. Operatorzy zapewniają obsługę 24x7x365 w celu wykrywania incydentów oraz zarządzania ich wpływem i rozwiązywaniem. Dokumentacja jest przechowywana w celu pomocy i informowania personelu operacyjnego w obsłudze incydentów lub problemów. Jeśli rozwiązanie problemu wymaga współpracy, zespół operacyjny będzie kontaktował się z dodatkowym personelem i współpracował przy użyciu technologii konferencji elektronicznych, która rejestruje komunikację do przeglądu. Po każdym istotnym problemie operacyjnym, niezależnie od wpływu zewnętrznego, zwoływane są sekcje zwłok, które identyfikują przyczynę źródłową i dodatkowe ulepszenia technologiczne lub proceduralne w celu wdrożenia dodatkowych środków zapobiegawczych, aby zapobiec ponownemu wystąpieniu problemu. Tulip wdrożył różne metody komunikacji wewnętrznej, aby pomóc wszystkim pracownikom zrozumieć ich indywidualne role i obowiązki oraz informować o istotnych wydarzeniach w odpowiednim czasie. Metody te obejmują programy orientacyjne i szkoleniowe dla nowo zatrudnionych pracowników; regularne spotkania wszystkich pracowników w celu aktualizacji wyników biznesowych i innych spraw; oraz środki elektroniczne, takie jak wideokonferencje, wiadomości e-mail i publikowanie informacji za pośrednictwem wewnętrznych kanałów komunikacji Tulip.

Odzyskiwanie danych i nadmiarowość

Wszystkie kopie zapasowe danych klientów są przechowywane w co najmniej dwóch oddzielnych obiektach i mogą zostać odzyskane w przypadku utraty któregokolwiek z poszczególnych centrów danych. Kopie zapasowe są przechowywane przy użyciu AWS S3 lub Azure Storage, które przechowują wszystkie dane kopii zapasowych redundantnie w wielu regionach geograficznych i zapewniają 99,999999999% trwałości i 99,99% dostępności.

Zarządzanie zmianami

Tulip wdraża udokumentowane procedury zarządzania zmianami, które zapewniają spójne podejście do kontrolowania, wdrażania i dokumentowania zmian (w tym zmian awaryjnych) w systemach informatycznych Tulip, które obejmują niezmienne zapisy wszystkich zmian kodu i infrastruktury oraz systematyczny przegląd zmian. Aktualizacje kodu i infrastruktury Tulip są przeprowadzane w celu zminimalizowania jakiegokolwiek wpływu na klienta i jego korzystanie z usług, w tym stosowanie strategii wdrażania bez przestojów i planowanie przestojów zgodnie z harmonogramami produkcji klienta, aby zapobiec przerwom w świadczeniu usług w godzinach pracy. Tulip będzie komunikować się z klientami, gdy nieplanowane przestoje mogą mieć wpływ na korzystanie z usług Tulip przez klientów lub w mało prawdopodobnym przypadku, gdy przestój musi wystąpić w godzinach pracy.

Dostępność

Centra danych naszych dostawców usług hostingowych są zbudowane w klastrach w różnych regionach świata. Wszystkie centra danych są online i obsługują klientów; żadne centrum danych nie jest "zimne". W przypadku awarii zautomatyzowane procesy przenoszą ruch danych klientów z dotkniętego obszaru. Podstawowe aplikacje są wdrażane w konfiguracji N+1, dzięki czemu w przypadku awarii centrum danych istnieje wystarczająca pojemność, aby umożliwić równoważenie ruchu do pozostałych lokalizacji. Systemy zasilania elektrycznego centrum danych są zaprojektowane tak, aby były w pełni nadmiarowe i możliwe do utrzymania bez wpływu na operacje, 24x7x365. Jednostki zasilania bezprzerwowego (UPS) zapewniają zasilanie awaryjne w przypadku awarii elektrycznej dla krytycznych i podstawowych obciążeń w obiekcie. Centra danych wykorzystują generatory do zapewnienia zasilania rezerwowego dla całego obiektu.