Przewodnik po bezpieczeństwie informatycznym Tulipana

Cel

Oto przewodnik po wszystkich zasadach bezpieczeństwa Tulipa.

Ten artykuł podzielony jest na dwie części. Pierwsza, "Bezpieczeństwo aplikacji", omawia względy bezpieczeństwa na poziomie aplikacji, w tym administrację i dostęp użytkownika końcowego, bezpieczeństwo danych użytkownika oraz interfejsy za pomocą Connectorów. Druga część, "Bezpieczeństwo infrastruktury", omawia bezpieczeństwo infrastruktury używanej przez pracowników Tulipa do uruchamiania i administrowania aplikacją Tulipa w ramach naszych Dostawców Chmury.

Bezpieczeństwo aplikacji

Dostęp do sieci

Cały dostęp użytkownika końcowego do aplikacji Tulip (włączając w to interfejs administratora, runtime Tulip Player, i cały dostęp do urządzeń) jest realizowany przez znane adresy IP przy użyciu szyfrowania TLS. Adresy IP dla naszych różnych regionów są dostępne w naszym artykule Wymagania sieciowe.

Szyfrowanie używa najsilniejszych szyfrów dostępnych przez klienta. Usługi Tulipa obsługujące dane produkcyjne otrzymują ocenę A+ z testu Qualys SSL Labs. Nowoczesne przeglądarki łączące się z Tulipem będą używać Elliptic-Curve Diffie-Hellman Ephemeral (ECDHE) do wymiany kluczy dodając perfect forward secrecy (PFS), RSA do uwierzytelniania, 128-bit AES w trybie Galois/Counter Mode do szyfrowania oraz SHA256 do MAC. Przestarzałe zestawy szyfrów są zabronione; nasze serwery odmówią użycia jakiegokolwiek zestawu słabszego niż RSA_WITH_3DES_EDE_CBC_SHA.

Odpowiedzialność Użytkownicy końcowi muszą wziąć odpowiedzialność za zapewnienie bezpieczeństwa swoich urządzeń klienckich, sieci, serwerów proxy itp.

Zarządzanie tożsamością użytkowników

Tulip posiada wbudowaną funkcjonalność zarządzania użytkownikami pozwalającą użytkownikowi końcowemu na kontrolę dostępu i uprawnień w ramach aplikacji Tulip. Hasła muszą spełniać wymagania minimalnej złożoności i są haszowane po stronie klienta za pomocą SHA256 przed przesłaniem do serwera (zaszyfrowane za pomocą TLS), w którym to momencie hasła są solone i haszowane za pomocą branżowego standardu bcrypt przed zapisaniem ich w pamięci trwałej.

Użytkownicy korporacyjni mogą również korzystać z zewnętrznego dostawcy tożsamości (LDAP lub SAML), aby zarządzać dostępem do aplikacji Tulip, co omija wbudowaną funkcjonalność zarządzania użytkownikami w Tulip.

Odpowiedzialnością użytkownika końcowego jest zapewnienie bezpieczeństwa zewnętrznego dostawcy tożsamości oraz zapewnienie bezpiecznej komunikacji pomiędzy Tulipem a dostawcą tożsamości.

Próby logowania z niepoprawnymi danymi uwierzytelniającymi spowodują timeout użytkowników po 10 próbach przez 10 minut przed zezwoleniem na dodatkowe próby logowania.

Pojedyncze logowanie i uwierzytelnianie

Tulip zapewnia oddzielne loginy dla każdego administratora. Uwierzytelnianie dla Tulip Player odbywa się na zasadzie per-device w oparciu o losowo wygenerowany shared secret. Gdy urządzenie jest uwierzytelnione w Tulip, operator może go używać, wchodząc za pomocą identyfikatora RFID lub swoich danych uwierzytelniających.

Dane użytkownika

Tulip nie pozwala na bezpośredni dostęp do wewnętrznych baz danych i ogranicza dostęp zgodnie z uprawnieniami w ramach aplikacji Tulip. Wszystkie wywołania baz danych są parametryzowane, aby zapobiec atakom typu injection. Bazy danych są codziennie backupowane.

Zdjęcia użytkowników, filmy i inne aktywa niebędące bazą danych są przechowywane w pamięci obiektowej i są szyfrowane w czasie spoczynku. Użytkownicy pobierają te dane za pomocą jednorazowych, podpisanych adresów URL.

Wyjście danych i połączenia zewnętrzne

Tulip umożliwia użytkownikom konfigurację połączeń do zewnętrznych usług, takich jak HTTP API, bazy danych SQL, serwery OPC UA oraz dostawcy SMTP i SMS. Połączenia te są sandboxowane w ramach aplikacji Tulip, aby zapobiec wprowadzaniu luk bezpieczeństwa do Tulipa, jednak użytkownicy końcowi muszą wziąć odpowiedzialność za zapewnienie, że informacje przekazywane przez te usługi są odpowiednio traktowane. Obejmuje to zapewnienie właściwego szyfrowania dla połączeń API i baz danych oraz zapewnienie, że wrażliwe lub regulowane dane nie są wysyłane do nieregulowanego miejsca przeznaczenia.

Aby zapoznać się z ukierunkowaną na klienta dyskusją na temat możliwości wystąpienia luk w zabezpieczeniach, sprawdź nasz artykuł na temat Tulip Connector Hosts

Bezpieczeństwo infrastruktury

Prawa dostępu pracowników Tulipa

Dostęp do wewnętrznych i produkcyjnych systemów Tulipa jest ściśle kontrolowany i udzielany tylko pracownikom w razie potrzeby. Tulip kończy fizyczny i logiczny dostęp pracowników do systemów informacyjnych Tulipa nie później niż w dniu rozstania.

Uwierzytelnianie do infrastruktury

Tulip wymaga stosowania silnych haseł i 2 Czynników Uwierzytelniania dla wszystkich kont pracowników Tulip mających dostęp do Danych Klienta, w tym wymagań dotyczących minimalnej długości hasła, blokady, okresu ważności, złożoności, szyfrowania, zmiany domyślnych haseł i stosowania haseł tymczasowych. Dane uwierzytelniające konta użytkownika (np. identyfikator logowania, hasło) nigdy nie są udostępniane.

Dostawcy hostingu w chmurze stron trzecich

Tulip korzysta z Amazon Web Services (AWS) i Microsoft Azure (AZ), aby zapewnić niezbędny sprzęt, oprogramowanie, sieć, przechowywanie i powiązane technologie wymagane do uruchomienia naszych usług. Indywidualne strony klientów są domyślnie ograniczone do jednego dostawcy wybranego przez Tulipa, jednak klienci mogą zażądać wdrożenia w chmurze konkretnego dostawcy, jeśli zajdzie taka potrzeba.

Udostępniona nam infrastruktura IT jest zaprojektowana i zarządzana zgodnie z najlepszymi praktykami bezpieczeństwa i różnymi standardami bezpieczeństwa IT, w tym: SOC 1/SSAE 16/ISAE 3402 (dawniej SAS 70), SOC 2, SOC 3, FISMA, DIACAP i FedRAMP, DOD CSM Levels 1-5, PCI DSS Level 1, ISO 9001 / ISO 27001, ITAR, FIPS 140-2, MTCS Level 3. Tulip nieustannie ocenia zasady naszych dostawców usług hostingowych, aby zapewnić zgodność z naszymi wewnętrznymi standardami.

Dodatkowe informacje dla każdego dostawcy są dostępne pod poniższymi linkami:

• AWS
• AWS GovCloud
• Azure

Firewall/IDS/IPS

Wszystkie serwery Tulipa znajdują się za zaporą ogniową, która ogranicza administrację spoza adresu IP kontrolowanego przez Tulipa. Urządzenia sieciowe, w tym firewall i inne urządzenia brzegowe, są wprowadzane przez naszych dostawców hostingu w celu monitorowania i kontrolowania komunikacji na zewnętrznych granicach sieci i na kluczowych granicach wewnętrznych w sieci. Te urządzenia brzegowe wykorzystują zestawy reguł, listy kontroli dostępu (ACL) i konfiguracje, aby wymusić przepływ informacji do określonych usług systemu informacyjnego. Tulip używa narzędzi monitorujących zaprojektowanych do wykrywania nietypowych lub nieautoryzowanych działań i warunków w punktach komunikacyjnych wejścia i wyjścia. Narzędzia te monitorują wykorzystanie serwera i sieci, działania związane ze skanowaniem portów, wykorzystanie aplikacji oraz nieautoryzowane próby włamań. Nasi dostawcy usług w chmurze zapewniają znaczną ochronę przed tradycyjnymi problemami bezpieczeństwa sieciowego, takimi jak ataki typu Distributed Denial Of Service (DDoS), ataki typu Man in the Middle (MITM), spoofing IP, sniffing pakietów i skanowanie portów. Wdrażamy dodatkowe kontrole bezpieczeństwa, takie jak systemy IDS i IPS w punktach wejścia do naszych środowisk chmurowych.

Aktualizacje zabezpieczeń

Tulip używa automatycznych aktualizacji bezpieczeństwa, aby zastosować wszystkie krytyczne poprawki lub aktualizacje bezpieczeństwa do Aplikacji Tulip w ciągu trzydziestu (30) dni od wydania takich aktualizacji lub poprawek.

Bezpieczeństwo baz danych

Bazy danych znajdują się w każdym Dostawcy Chmury i są otwarte tylko dla ruchu z Tulip VPC. Klucze uwierzytelniania są generowane losowo. Parametryzacja jest używana w celu uniknięcia ataków typu injection. Dane są szyfrowane w stanie spoczynku.

Testy penetracyjne

Tulip okresowo przeprowadza testy penetracyjne trzeciej strony. Dodatkowo, używamy statycznej analizy naszej bazy kodu, aby stale sprawdzać, czy nie ma w niej typowych podatności.

Środowiska rozwojowe i testowe

Środowiska rozwojowe i testowe są fizycznie i logicznie oddzielone od środowisk produkcyjnych.

Incydenty bezpieczeństwa

Incydenty bezpieczeństwa w Systemach Informatycznych Tulipa są rejestrowane i natychmiast rozwiązywane. Te zabezpieczone dzienniki są regularnie przeglądane i utrzymywane przez minimum dwanaście (12) miesięcy. Zespół operacji technicznych Tulipa stosuje standardowe procedury diagnostyczne, aby rozwiązać problem podczas zdarzeń mających wpływ na biznes. Personel operatorów zapewnia 24x7x365 pokrycie, aby wykryć incydenty i zarządzać ich wpływem i rozwiązaniem. Prowadzona jest dokumentacja, która pomaga i informuje personel operacyjny o obsłudze incydentów i problemów. Jeśli rozwiązanie problemu wymaga współpracy, zespół operacyjny wzywa dodatkowy personel i współpracuje przy użyciu technologii konferencji elektronicznych, które rejestrują komunikację do wglądu. Po każdym znaczącym problemie operacyjnym, bez względu na wpływ zewnętrzny, zwoływane są narady, które identyfikują przyczynę źródłową i dodatkowe ulepszenia technologiczne lub proceduralne w celu wdrożenia dodatkowych środków zapobiegawczych, aby zapobiec ponownemu wystąpieniu. Tulip wdrożył różne metody komunikacji wewnętrznej, aby pomóc wszystkim pracownikom zrozumieć ich indywidualne role i obowiązki oraz aby informować o istotnych wydarzeniach w odpowiednim czasie. Metody te obejmują programy orientacyjne i szkoleniowe dla nowo zatrudnionych pracowników; regularne spotkania wszystkich pracowników w celu aktualizacji wyników biznesowych i innych spraw; oraz środki elektroniczne, takie jak wideokonferencje, wiadomości poczty elektronicznej i umieszczanie informacji poprzez wewnętrzne kanały komunikacyjne Tulip.

Odzyskiwanie danych i redundancja

Wszystkie kopie zapasowe Danych Klienta są przechowywane w co najmniej dwóch oddzielnych obiektach i mogą być odzyskane w przypadku utraty któregokolwiek z poszczególnych centrów danych. Kopie zapasowe są przechowywane przy użyciu AWS S3 lub Azure Storage, które przechowują wszystkie dane kopii zapasowych redundantnie w wielu regionach geograficznych i zapewniają 99,9999999% trwałości i 99,99% dostępności.

Zarządzanie zmianą

Tulip wdraża udokumentowane procedury zarządzania zmianami, które zapewniają spójne podejście do kontrolowania, wdrażania i dokumentowania zmian (w tym zmian awaryjnych) dla systemów informacyjnych Tulip, które obejmują niezmienne zapisy wszystkich zmian kodu i infrastruktury oraz systematyczny przegląd zmian. Aktualizacje kodu i infrastruktury Tulipa są wykonywane tak, aby zminimalizować jakikolwiek wpływ na klienta i jego korzystanie z usług, włączając w to użycie strategii wdrażania bez przestojów i planowanie przestojów wokół harmonogramów produkcji klienta, aby zapobiec przerwaniu usług w godzinach pracy. Tulip będzie komunikował się z klientami, gdy nieplanowany przestój może wpłynąć na korzystanie przez klientów z usług Tulip, lub w mało prawdopodobnym przypadku, gdy przestój musi wystąpić w godzinach pracy.

Dostępność

Centra danych naszych dostawców usług hostingowych są zbudowane w klastrach w różnych regionach świata. Wszystkie centra danych są online i obsługują klientów; żadne centrum danych nie jest "zimne". W przypadku awarii zautomatyzowane procesy przenoszą ruch danych klientów poza obszar dotknięty awarią. Aplikacje podstawowe są wdrażane w konfiguracji N+1, dzięki czemu w przypadku awarii centrum danych istnieje wystarczająca pojemność, aby umożliwić zrównoważenie ruchu do pozostałych lokalizacji. Systemy zasilania elektrycznego centrum danych są zaprojektowane tak, aby były w pełni redundantne i możliwe do utrzymania bez wpływu na działalność operacyjną, w trybie 24x7x365. Urządzenia bezprzerwowego zasilania (UPS) zapewniają zasilanie rezerwowe w przypadku awarii elektrycznej dla krytycznych i istotnych odbiorów w obiekcie. Centra danych wykorzystują generatory do zapewnienia zasilania rezerwowego dla całego obiektu.