Руководство по ИТ-безопасности "Тюльпан

Назначение

Перед вами руководство по всем политикам безопасности компании Tulip.

Данная статья состоит из двух разделов. В первом, "Безопасность приложений", рассматриваются вопросы безопасности на уровне приложений, включая администрирование и доступ конечных пользователей, безопасность пользовательских данных и интерфейсы с использованием коннекторов. Во втором разделе, "Безопасность инфраструктуры", рассматривается безопасность инфраструктуры, используемой сотрудниками компании Tulip для запуска и администрирования приложений Tulip в облачных провайдерах.

Безопасность приложений

Сетевой доступ

Весь доступ конечных пользователей к приложению Tulip (включая интерфейс администратора, время работы Tulip Player и доступ ко всем устройствам) осуществляется по известным IP-адресам с использованием TLS-шифрования. IP-адреса для различных регионов можно найти в статье "Требования к сети".

При шифровании используются самые стойкие шифры, доступные клиенту. Сервисы Tulip, работающие с производственными данными, получили оценку A+ по результатам теста SSL Labs компании Qualys. В современных браузерах, подключающихся к Tulip, для обмена ключами используется эллиптический кривой Диффи-Хеллмана (ECDHE) с добавлением совершенной прямой секретности (PFS), RSA для аутентификации, 128-битный AES в режиме Galois/Counter Mode для шифрования и SHA256 для MAC. Использование устаревших наборов шифров запрещено; наши серверы откажутся использовать наборы слабее RSA_WITH_3DES_EDE_CBC_SHA.

Конечные пользователи должны самостоятельно обеспечивать безопасность своих клиентских устройств, сетей, прокси-серверов и т.д.

Управление идентификацией пользователей

В Tulip встроена функция управления пользователями, позволяющая конечному пользователю контролировать доступ и разрешения в приложении Tulip. Пароли должны соответствовать минимальному уровню сложности и перед передачей на сервер (зашифрованный по TLS) хэшируются с помощью SHA256 на стороне клиента, после чего пароли солятся и хэшируются с помощью стандартного bcrypt перед записью в постоянное хранилище.

Корпоративные пользователи также могут использовать внешний провайдер идентификации (LDAP или SAML) для управления доступом к приложению Tulip, что позволяет обойти встроенную в Tulip функциональность управления пользователями.

Ответственность за безопасность внешнего провайдера идентификации и обеспечение безопасной связи между Tulip и провайдером идентификации лежит на конечном пользователе.

При попытках входа в систему с неверными учетными данными после 10 попыток пользователь будет отключен на 10 минут, после чего будут разрешены дополнительные попытки входа.

Единые логины и аутентификация

Tulip обеспечивает отдельные логины для каждого администратора. Аутентификация для Tulip Player осуществляется на каждом устройстве на основе случайно сгенерированного общего секрета. После того как устройство аутентифицировано в Tulip, оператор может использовать его, войдя в систему с помощью RFID-бейджа или своих учетных данных.

Данные пользователя

Tulip не разрешает прямой доступ к внутренним базам данных и ограничивает доступ в соответствии с правами доступа в приложении Tulip. Все вызовы баз данных параметризованы для предотвращения инъекционных атак. Резервное копирование баз данных осуществляется ежедневно.

Пользовательские изображения, видео и другие данные, не относящиеся к базе данных, хранятся в объектном хранилище и шифруются в состоянии покоя. Пользователи получают эти данные по одноразовым подписанным URL-адресам.

Выход данных и внешние соединения

Tulip позволяет пользователям настраивать соединения с внешними сервисами, такими как HTTP API, базы данных SQL, серверы OPC UA, провайдеры SMTP и SMS. Эти соединения находятся в "песочнице" приложения Tulip, что предотвращает появление уязвимостей в системе безопасности Tulip, однако конечные пользователи должны взять на себя ответственность за надлежащее обращение с информацией, передаваемой через эти сервисы. Это включает в себя обеспечение надлежащего шифрования соединений с API и базами данных, а также обеспечение того, чтобы конфиденциальные или регулируемые данные не отправлялись в нерегулируемый пункт назначения.

Для обсуждения возможности уязвимостей в системе безопасности, ориентированной на клиента, ознакомьтесь с нашей статьей о хостах коннекторов Tulip.

Безопасность инфраструктуры

Права доступа сотрудников Tulip

Доступ к внутренним и производственным системам Tulip строго контролируется и предоставляется только сотрудникам по мере необходимости. Компания Tulip прекращает физический и логический доступ персонала к информационным системам Tulip не позднее даты увольнения.

Аутентификация в инфраструктуре

Tulip требует использования надежных паролей и двухфакторной аутентификации для всех учетных записей сотрудников Tulip, имеющих доступ к данным клиентов, включая требования к минимальной длине пароля, блокировке, сроку действия, сложности, шифрованию, смене паролей по умолчанию и использованию временных паролей. Учетные данные пользователей (например, идентификатор входа в систему, пароль) никогда не предоставляются в общий доступ.

Сторонние поставщики облачного хостинга

Tulip использует Amazon Web Services (AWS) и Microsoft Azure (AZ) для предоставления необходимого оборудования, программного обеспечения, сетей, систем хранения данных и сопутствующих технологий, требуемых для работы нашего сервиса. Индивидуальные сайты клиентов по умолчанию ограничены одним провайдером, выбранным компанией Tulip, однако при необходимости клиенты могут запросить развертывание в облаке конкретного провайдера.

Предоставляемая нам ИТ-инфраструктура разрабатывается и управляется в соответствии с лучшими практиками безопасности и различными стандартами ИТ-безопасности, включая: SOC 1/SSAE 16/ISAE 3402 (ранее SAS 70), SOC 2, SOC 3, FISMA, DIACAP и FedRAMP, DOD CSM Levels 1-5, PCI DSS Level 1, ISO 9001 / ISO 27001, ITAR, FIPS 140-2, MTCS Level 3. Компания "Тулип" постоянно оценивает политику наших хостинг-провайдеров на предмет соответствия нашим внутренним стандартам.

Дополнительная информация по каждому провайдеру доступна по ссылкам ниже:

• AWS
• AWS GovCloud
• Azure

Брандмауэр/СПИД/IPS

Все серверы Tulip находятся за брандмауэром, который ограничивает администрирование извне IP-адреса, контролируемого Tulip. Сетевые устройства, включая межсетевые экраны и другие пограничные устройства, устанавливаются нашими хостинг-провайдерами для мониторинга и контроля коммуникаций на внешней границе сети и на ключевых внутренних границах внутри сети. Эти пограничные устройства используют наборы правил, списки контроля доступа (ACL) и конфигурации для обеспечения потока информации к определенным сервисам информационной системы. Tulip использует средства мониторинга, предназначенные для обнаружения необычных или несанкционированных действий и условий в точках входа и выхода коммуникаций. Эти средства отслеживают использование серверов и сети, действия по сканированию портов, использование приложений и попытки несанкционированного вторжения. Наши облачные провайдеры обеспечивают значительную защиту от традиционных проблем сетевой безопасности, таких как распределенные атаки типа "отказ в обслуживании" (DDoS), атаки типа "человек посередине" (MITM), IP-спуфинг, сниффинг пакетов и сканирование портов. В точках входа в облачную среду мы применяем дополнительные средства контроля безопасности, такие как системы IDS и IPS.

Обновления системы безопасности

Компания Tulip использует автоматические обновления безопасности для применения всех критических исправлений или обновлений безопасности к приложению Tulip в течение 30 (тридцати) дней с момента выпуска таких обновлений или исправлений.

Безопасность баз данных

Базы данных находятся в каждом облачном провайдере и открыты только для трафика, поступающего с VPC Tulip. Ключи аутентификации генерируются случайным образом. Параметризация используется для предотвращения инъекционных атак. Данные в состоянии покоя шифруются.

Тестирование на проникновение

Tulip периодически проводит тесты на проникновение сторонних производителей. Кроме того, мы используем статический анализ нашей кодовой базы для постоянной проверки на наличие общих уязвимостей.

Среды разработки и тестирования

Среды разработки и тестирования физически и логически отделены от производственных сред.

Инциденты безопасности

Инциденты безопасности в информационных системах Tulip регистрируются и немедленно устраняются. Эти защищенные журналы регулярно просматриваются и хранятся не менее двенадцати (12) месяцев. Команда технических специалистов Tulip использует стандартные диагностические процедуры для решения проблем во время событий, влияющих на бизнес. Штатные операторы обеспечивают круглосуточное дежурство для выявления инцидентов, управления их последствиями и устранения. Ведется документация, которая помогает и информирует операционный персонал при решении инцидентов и проблем. Если для решения проблемы требуется совместная работа, операционная группа привлекает дополнительных сотрудников и проводит совместную работу с использованием технологии электронных конференций, в ходе которых ведется запись переговоров для последующего анализа. После устранения любой значительной операционной проблемы, независимо от ее внешнего воздействия, проводятся вскрытия, на которых выявляются основные причины и дополнительные технологические или процедурные усовершенствования для реализации дополнительных превентивных мер по предотвращению повторения. Компания Tulip применяет различные методы внутренней коммуникации, чтобы помочь всем сотрудникам понять свои индивидуальные роли и обязанности и своевременно сообщать о значимых событиях. К таким методам относятся программы ориентации и обучения вновь принятых сотрудников, регулярные общие собрания для обсуждения результатов деятельности и других вопросов, а также электронные средства, такие как видеоконференции, электронные почтовые сообщения и размещение информации по каналам внутренней коммуникации Tulip.

Восстановление данных и резервирование

Все резервные копии данных клиентов хранятся как минимум в двух отдельных центрах обработки данных и могут быть восстановлены в случае потери какого-либо отдельного центра обработки данных. Резервные копии хранятся в AWS S3 или Azure Storage, которые хранят все резервные данные с избыточностью в нескольких географических регионах и обеспечивают 99,999999999% долговечности и 99,99% доступности.

Управление изменениями

Компания Tulip внедряет документированные процедуры управления изменениями, которые обеспечивают последовательный подход к контролю, внедрению и документированию изменений (включая экстренные изменения) для информационных систем Tulip, включающий неизменяемые записи всех изменений кода и инфраструктуры и систематический анализ изменений. Обновления кода и инфраструктуры Tulip производятся с целью минимизации любого воздействия на клиента и использование им услуг, включая использование стратегий развертывания с нулевым временем простоя и планирование времени простоя в соответствии с производственным графиком клиента для предотвращения прерывания обслуживания в рабочее время. Компания Tulip будет информировать клиентов о том, что незапланированные простои могут повлиять на использование ими услуг Tulip, или в том маловероятном случае, если простои должны произойти в рабочее время.

Доступность

Центры обработки данных наших хостинг-провайдеров построены в виде кластеров в различных регионах мира. Все центры обработки данных работают в режиме онлайн и обслуживают клиентов; ни один центр обработки данных не является "холодным". В случае сбоя автоматизированные процессы перемещают трафик клиентских данных из зоны поражения. Основные приложения развернуты в конфигурации N+1, поэтому в случае отказа ЦОДа его мощности достаточно для балансировки нагрузки на оставшиеся площадки. Системы электропитания центров обработки данных спроектированы таким образом, чтобы обеспечить полное резервирование и возможность их обслуживания без ущерба для операционной деятельности в режиме 24x7x365. Источники бесперебойного питания (ИБП) обеспечивают резервное питание в случае сбоя в электросети для критически важных и необходимых нагрузок в центре. В центрах обработки данных используются генераторы, обеспечивающие резервное питание всего объекта.