Руководство по ИТ-безопасности Tulip

Назначение

Перед вами руководство по всем политикам безопасности Tulip.

Эта статья разделена на два раздела. В первом, "Безопасность приложений", обсуждаются вопросы безопасности на уровне приложений, включая администрирование и доступ конечных пользователей, безопасность пользовательских данных и интерфейсы с использованием коннекторов. Во втором разделе, "Безопасность инфраструктуры", рассматривается безопасность инфраструктуры, используемой сотрудниками Tulip для запуска и администрирования приложения Tulip в облачных провайдерах.

Безопасность приложения

Доступ к сети

Весь доступ конечных пользователей к приложению Tulip (включая интерфейс администратора, время работы Tulip Player и доступ ко всем устройствам) осуществляется по известным IP-адресам с использованием шифрования TLS. IP-адреса для наших различных регионов можно найти в статье "Требования к сети".

При шифровании используются самые сильные шифры, доступные клиенту. Сервисы Tulip, работающие с производственными данными, получают оценку A+ по результатам теста Qualys SSL Labs. Современные браузеры, подключающиеся к Tulip, используют Elliptic-Curve Diffie-Hellman Ephemeral (ECDHE) для обмена ключами, добавляя совершенную прямую секретность (PFS), RSA для аутентификации, 128-битный AES в режиме Galois/Counter Mode для шифрования и SHA256 для MAC. Устаревшие наборы шифров запрещены; наши серверы откажутся использовать любой набор слабее, чем RSA_WITH_3DES_EDE_CBC_SHA.

Ответственность Конечные пользователи должны взять на себя ответственность за обеспечение безопасности своих клиентских устройств, сетей, прокси-серверов и т.д.

Управление идентификацией пользователя

Tulip оснащен встроенной функцией управления пользователями, позволяющей конечному пользователю контролировать доступ и разрешения в приложении Tulip. Пароли должны соответствовать минимальной сложности и хэшируются SHA256 на стороне клиента перед передачей на сервер (зашифрованный с помощью TLS), после чего пароли солят и хэшируют с помощью стандартного bcrypt перед записью в постоянное хранилище.

Корпоративные пользователи также могут использовать внешнего провайдера идентификации (LDAP или SAML) для управления доступом к приложению Tulip, что позволяет обойти встроенные функции управления пользователями в Tulip.

Конечный пользователь несет ответственность за безопасность внешнего поставщика идентификационных данных и за безопасную связь между Tulip и поставщиком идентификационных данных.

При попытках входа в систему с неверными учетными данными пользователи после 10 попыток будут отключены на 10 минут, после чего будут разрешены дополнительные попытки входа.

Единые логины и аутентификация

Tulip обеспечивает отдельные логины для каждого администратора. Аутентификация для Tulip Player осуществляется на каждом устройстве на основе случайно сгенерированного общего секрета. Как только устройство аутентифицировано в Tulip, оператор может использовать его, войдя с помощью RFID-бейджа или своих учетных данных.

Данные пользователя

Tulip не разрешает прямой доступ к внутренним базам данных и ограничивает доступ в соответствии с разрешениями в приложении Tulip. Все вызовы баз данных параметризованы для предотвращения инъекционных атак. Базы данных резервируются ежедневно.

Пользовательские изображения, видео и другие ресурсы, не относящиеся к базе данных, хранятся в объектном хранилище и шифруются в состоянии покоя. Пользователи получают эти данные с помощью одноразовых подписанных URL-адресов.

Выход данных и внешние соединения

Tulip позволяет пользователям настраивать соединения с внешними сервисами, такими как HTTP API, базы данных SQL, серверы OPC UA, провайдеры SMTP и SMS. Эти соединения изолированы в приложении Tulip, чтобы предотвратить появление уязвимостей в безопасности Tulip, однако конечные пользователи должны взять на себя ответственность за обеспечение надлежащего обращения с информацией, передаваемой через эти службы. Это включает в себя обеспечение надлежащего шифрования соединений API и баз данных и обеспечение того, чтобы конфиденциальные или регулируемые данные не отправлялись в нерегулируемый пункт назначения.

Для обсуждения возможности уязвимостей безопасности, ориентированного на клиента, ознакомьтесь с нашей статьей о хостах коннекторов Tulip.

Безопасность инфраструктуры

Права доступа сотрудников компании Tulip

Доступ к внутренним и производственным системам Tulip строго контролируется и предоставляется только сотрудникам по мере необходимости. Tulip прекращает физический и логический доступ персонала к информационным системам Tulip не позднее даты увольнения.

Аутентификация в инфраструктуре

Tulip требует использования надежных паролей и двухфакторной аутентификации для всех учетных записей сотрудников Tulip, имеющих доступ к данным клиентов, включая требования к минимальной длине пароля, блокировке, сроку действия, сложности, шифрованию, смене паролей по умолчанию и использованию временных паролей. Учетные данные пользователя (например, идентификатор входа, пароль) никогда не передаются совместно.

Сторонние поставщики облачного хостинга

Tulip использует Amazon Web Services (AWS) и Microsoft Azure (AZ) для предоставления необходимого оборудования, программного обеспечения, сетей, хранилищ и сопутствующих технологий, необходимых для работы нашего сервиса. Индивидуальные сайты клиентов по умолчанию ограничены одним провайдером по выбору Tulip, однако клиенты могут запросить развертывание в облаке конкретного провайдера, если возникнет такая необходимость.

Предоставляемая нам ИТ-инфраструктура разработана и управляется в соответствии с передовыми методами обеспечения безопасности и различными стандартами ИТ-безопасности, включая: SOC 1/SSAE 16/ISAE 3402 (бывший SAS 70), SOC 2, SOC 3, FISMA, DIACAP и FedRAMP, DOD CSM Levels 1-5, PCI DSS Level 1, ISO 9001 / ISO 27001, ITAR, FIPS 140-2, MTCS Level 3. Tulip постоянно оценивает политику наших хостинг-провайдеров на предмет соответствия нашим внутренним стандартам.

Дополнительная информация по каждому провайдеру доступна по ссылкам ниже:

• AWS
• AWS GovCloud
• Azure

Брандмауэр/IDS/IPS

Все серверы Tulip находятся за брандмауэром, который ограничивает администрирование из-за пределов IP-адреса, контролируемого Tulip. Сетевые устройства, включая брандмауэры и другие пограничные устройства, устанавливаются нашими хостинг-провайдерами для мониторинга и контроля коммуникаций на внешней границе сети и на ключевых внутренних границах внутри сети. Эти пограничные устройства используют наборы правил, списки контроля доступа (ACL) и конфигурации для обеспечения потока информации к определенным службам информационной системы. Tulip использует средства мониторинга, предназначенные для обнаружения необычных или несанкционированных действий и условий в точках входа и выхода коммуникаций. Эти инструменты отслеживают использование сервера и сети, действия по сканированию портов, использование приложений и попытки несанкционированного вторжения. Наши облачные провайдеры обеспечивают значительную защиту от традиционных проблем сетевой безопасности, таких как распределенные атаки типа "отказ в обслуживании" (DDoS), атаки типа "человек посередине" (MITM), IP-спуфинг, сниффинг пакетов и сканирование портов. Мы применяем дополнительные средства контроля безопасности, такие как системы IDS и IPS в точках входа в наши облачные среды.

Обновления безопасности

Tulip использует автоматические обновления безопасности для применения всех критических исправлений или обновлений безопасности к приложению Tulip в течение тридцати (30) дней с момента выпуска таких обновлений или исправлений.

Безопасность баз данных

Базы данных находятся внутри каждого облачного провайдера и открыты только для трафика изнутри Tulip VPC. Ключи аутентификации генерируются случайным образом. Параметризация используется для предотвращения инъекционных атак. Данные шифруются в состоянии покоя.

Тестирование на проникновение

Tulip периодически проводит тесты на проникновение сторонних организаций. Кроме того, мы используем статический анализ нашей кодовой базы для постоянной проверки на наличие общих уязвимостей.

Среды разработки и тестирования

Среды разработки и тестирования физически и логически отделены от производственных сред.

Инциденты безопасности

Инциденты безопасности в информационных системах Tulip регистрируются и немедленно устраняются. Эти защищенные журналы регулярно просматриваются и хранятся не менее двенадцати (12) месяцев. Команда технических операторов Tulip использует стандартные для отрасли диагностические процедуры для решения проблем во время событий, влияющих на бизнес. Штатные операторы обеспечивают 24x7x365 покрытие для обнаружения инцидентов и управления воздействием и решением. Ведется документация для помощи и информирования оперативного персонала в решении инцидентов и проблем. Если для решения проблемы требуется совместная работа, операционная группа привлекает дополнительный персонал и проводит совместную работу с использованием технологии электронных конференций, которая регистрирует общение для проверки. После любой значительной операционной проблемы, независимо от внешнего воздействия, проводятся вскрытия, в ходе которых выявляются первопричины и дополнительные технологические или процедурные усовершенствования для реализации дополнительных профилактических мер по предотвращению повторения. Компания Tulip внедрила различные методы внутренней коммуникации, чтобы помочь всем сотрудникам понять свои индивидуальные роли и обязанности и своевременно сообщать о значительных событиях. Эти методы включают в себя программы ориентации и обучения для вновь принятых сотрудников; регулярные общие собрания для получения обновленной информации о результатах деятельности и других вопросах; а также электронные средства, такие как видеоконференции, электронные почтовые сообщения и размещение информации по каналам внутренней коммуникации Tulip.

Восстановление данных и резервирование

Все резервные копии данных клиентов хранятся как минимум в двух отдельных помещениях и могут быть восстановлены в случае потери любого отдельного центра обработки данных. Резервные копии хранятся с использованием AWS S3 или Azure Storage, которые хранят все резервные данные с избыточностью в нескольких географических регионах и обеспечивают 99,999999999% долговечность и 99,99% доступность.

Управление изменениями

Tulip внедряет документированные процедуры управления изменениями, которые обеспечивают последовательный подход к контролю, внедрению и документированию изменений (включая экстренные изменения) для информационных систем Tulip, который включает неизменяемые записи всех изменений кода и инфраструктуры и систематический обзор изменений. Обновления кода и инфраструктуры Tulip проводятся для минимизации любого воздействия на клиента и использование им услуг, включая использование стратегий развертывания с нулевым временем простоя и планирование времени простоя в соответствии с производственным графиком клиента для предотвращения прерывания обслуживания в рабочее время. Tulip будет сообщать клиентам, когда незапланированные простои могут повлиять на использование клиентами услуг Tulip, или в маловероятном случае, когда простои должны произойти в рабочее время.

Доступность

Центры обработки данных наших хостинг-провайдеров построены в виде кластеров в различных регионах мира. Все центры обработки данных работают в режиме онлайн и обслуживают клиентов; ни один центр обработки данных не является "холодным". В случае сбоя автоматизированные процессы перемещают трафик данных клиентов из зоны поражения. Основные приложения развернуты в конфигурации N+1, так что в случае отказа центра обработки данных имеется достаточная мощность для балансировки нагрузки на оставшиеся сайты. Системы электропитания центра обработки данных спроектированы таким образом, чтобы обеспечить полное резервирование и возможность обслуживания без ущерба для операций в режиме 24x7x365. Источники бесперебойного питания (ИБП) обеспечивают резервное питание в случае сбоя электропитания для критически важных и основных нагрузок в центре. В центрах обработки данных используются генераторы для обеспечения резервного питания всего объекта.