ACSC – Cloud Computing Security for Cloud Service Providers (revisão de 2023)
Isenção de responsabilidade
Estas orientações destinadas aos clientes de nuvem do setor público e empresas consideradas como entidades regulamentadas pelo Australian Cyber Security Center (ACSC) se referem apenas aos produtos Atlassian Cloud e aos serviços oferecidos por eles.
Este relatório inclui somente informações e orientações fornecidas pela Atlassian e destinadas aos clientes de nuvem sobre como nos alinhamos ao documento Cloud Computing Security for Cloud Service Providers. Da mesma maneira, temos um whitepaper especial sobre responsabilidade compartilhada que discute as diferentes responsabilidades atribuídas a CSPs (provedores de serviços de nuvem) e clientes. O modelo de responsabilidade compartilhada não elimina as obrigações e o risco dos clientes que usam os produtos Atlassian Cloud. Na verdade, ele ajuda a aliviar o trabalho à medida que gerenciamos e controlamos os componentes do sistema e o controle físico das instalações. O modelo também atribui à Atlassian uma parte do custo de segurança e conformidade normalmente paga pelos clientes.
Para saber mais sobre o compromisso de proteger os dados do cliente, visite a página de Práticas de segurança.
Risco | Referência | Mitigações | Resposta da Atlassian |
---|---|---|---|
Mitigações de risco mais eficazes geralmente relevantes a todos os tipos de serviços de nuvem | |||
Falha geral em manter a confidencialidade, integridade e disponibilidade dos dados do locatário | Referência 1 – Geral | Mitigações Avaliar o serviço de nuvem e a infraestrutura subjacente (usando explicitamente as correções contidas nesta publicação) em relação ao ISM [1] no nível de classificação apropriado necessário para lidar com os dados do locatário. | Resposta da Atlassian A Atlassian tem mecanismos robustos para garantir a conformidade com o Data Privacy Framework Principles, recursos para indivíduos afetados pela não conformidade com esse documento e consequências para quando os princípios não são seguidos. Isso é feito por meio de autoavaliações periódicas e ad hoc, além de auditorias externas e análises de conformidade frequentes conforme necessário. Em específico, trabalhamos todos os anos com a TrustArc, uma fornecedora externa que certifica a conformidade das nossas práticas de privacidade com os Data Privacy Framework Principles. Ela oferece suporte à nossa certificação e fornece serviços independentes de mediação de disputas para o caso de reclamações de clientes relacionadas à privacidade. Também monitoramos a conformidade com os tickets do Jira, que podem ser usados como trilha de auditoria, além de realizar autoavaliações, fazer auditorias externas/análises de conformidade e elaborar planos de correção conforme necessário. Monitoramos as práticas de uso de dados e temos um programa contra violação de privacidade dos dados para rastrear incidentes/violações relacionadas. |
| Referência 2 – Geral | Mitigações Implementar a governança da segurança envolvendo a gerência sênior que conduz e coordena atividades relacionadas à segurança, incluindo o gerenciamento robusto de alterações, além de implementar uma equipe com habilidades técnicas em funções de segurança definidas. | Resposta da Atlassian Bala Sathiamurthy é CISO da Atlassian e trabalha no nosso escritório em São Francisco. Nossa equipe de segurança tem mais de 230 membros que atuam nas áreas de segurança de produtos, inteligência de segurança, arquitetura de segurança e confiança, risco e conformidade. Além disso, contamos com uma equipe de desenvolvimento e SRE nos escritórios de Sydney, Amsterdã, Austin, Bangalore, Mountain View, São Francisco e Nova York e com vários membros que adotam o trabalho remoto. |
| Referência 3 – Geral | Mitigações Implementar e testar um plano de resposta a incidentes de segurança cibernética todos os anos, fornecendo ao locatário detalhes de contato de emergência, a capacidade de visualizar evidências forenses a que ele costuma não ter acesso e avisos sobre incidentes. | Resposta da Atlassian A Atlassian criou um documento com a política e plano de resposta a incidentes de segurança, cujos princípios fundamentais incluem o seguinte:
|
Dados do locatário comprometidos em trânsito por terceiros maliciosos | Referência 4 – Geral | Mitigações Oferecer suporte e usar controles de criptografia aprovados pela ASD para proteger dados em trânsito entre o locatário e o CSP. Por exemplo: VPN IPsec ou TLS na camada do aplicativo com algoritmos aprovados, além de tamanho e gerenciamento de chaves. | Resposta da Atlassian Todos os dados de clientes armazenados nos produtos e serviços de nuvem da Atlassian são criptografados em trânsito por redes públicas. Para isso, é usado o Transport Layer Security (TLS) versão 1.2 ou superior com o Perfect Forward Secrecy (PFS) como proteção contra divulgações ou modificações não autorizadas. A implementação do TLS impõe o uso de cifras fortes e chaves longas se compatível com o navegador. |
Referência 5 – Geral | Mitigações Usar controles de criptografia aprovados pela ASD para proteger dados em trânsito entre os data centers do CSP por canais de comunicação não seguros, como infraestruturas de Internet pública. | Resposta da Atlassian A Atlassian mantém políticas de criptografia e diretrizes de implementação. Elas são revisadas e atualizadas todos os anos de acordo com nosso Programa de Gerenciamento de Políticas (PMP). Para saber mais, consulte: Atlassian Trust Management System (ATMS). | |
Referência 6 – Geral | Mitigações Oferecer suporte e usar controles de criptografia aprovados pela ASD para proteger dados em repouso na mídia de armazenamento em trânsito via postagem/correio entre o locatário e o CSP durante a transferência de dados em uma integração ou desligamento. | Resposta da Atlassian Todos os dados de clientes armazenados nos produtos e serviços de nuvem da Atlassian são criptografados em trânsito por redes públicas. Para isso, é usado o Transport Layer Security (TLS) versão 1.2 ou superior com o Perfect Forward Secrecy (PFS) como proteção contra divulgações ou modificações não autorizadas. A implementação do TLS impõe o uso de cifras fortes e chaves longas se compatível com o navegador. | |
Credenciais da conta do serviço de nuvem do locatário comprometidas por terceiros maliciosos [2] [3] [4] [5] | Referência 7 – Geral | Mitigações Fornecer gerenciamento de identidade e acesso (por exemplo, autenticação multifator e funções de conta com privilégios variados) [6] para que o locatário use e administre o serviço de nuvem por meio da API e painel de controle do site do CSP. | Resposta da Atlassian Sim. Em relação ao Confluence e Jira, a autenticação multifator está disponível para contas individuais. Para saber mais sobre como ativar a autenticação multifator, consulte: Aplicar verificação em duas etapas |
Referência 8 – Geral | Mitigações Oferecer suporte e usar controles de criptografia aprovados pela ASD para proteger credenciais e atividades administrativas em trânsito quando o locatário usar e administrar o serviço de nuvem por meio da API e painel de controle do site do CSP. | Resposta da Atlassian Todos os dados de clientes armazenados nos produtos e serviços de nuvem da Atlassian são criptografados em trânsito por redes públicas. Para isso, é usado o Transport Layer Security (TLS) versão 1.2 ou superior com o Perfect Forward Secrecy (PFS) como proteção contra divulgações ou modificações não autorizadas. A implementação do TLS impõe o uso de cifras fortes e chaves longas se compatível com o navegador. | |
Referência 9 – Geral | Mitigações Permitir que o locatário baixe registros sincronizados detalhados e receba alertas em tempo real gerados nas contas do locatário usadas para acessar e administrar o serviço de nuvem. | Resposta da Atlassian Os principais registros são encaminhados de cada sistema para uma plataforma centralizada em que eles são somente leitura. A equipe de segurança da Atlassian cria alertas na plataforma de análise de segurança (Splunk) e monitora indicadores de comprometimento. As equipes de SRE usam essa plataforma para monitorar problemas de disponibilidade ou desempenho. Os registros são retidos por 30 dias em backup dinâmico e 365 dias em backup estático. | |
Dados do locatário comprometidos por terceiros maliciosos ou funcionários mal-intencionados do CSP | Referência 10 – Geral | Mitigações Permitir que o locatário baixe registros sincronizados detalhados e receba alertas em tempo real gerados pelo serviço de nuvem usado pelo locatário. Por exemplo, sistema operacional, servidor web e registros de aplicativos. | Resposta da Atlassian Utilizamos o Casper (https://www.jamf.com) e o OSQuery (https://osquery.io/) para gerenciar o que é registrado e por quanto tempo isso é retido. Os registros são armazenados em um sistema separado de modo lógico, e o acesso de gravação aos registros é restrito aos membros da equipe de segurança. Os alertas são enviados à equipe de segurança ou à central de atendimento quando ações ou eventos específicos são identificados nos registros. Nosso serviço centralizado de geração de registros (Splunk) é integrado à infraestrutura de análise de segurança para automatizar as verificações, e são criados alertas para identificar possíveis itens.Os verificadores de vulnerabilidade internos e externos enviam alertas sobre a abertura inesperada de portas ou sobre outras alterações de configuração (por exemplo, perfis TLS de servidores de escuta). Os alertas são enviados à equipe de segurança ou à central de atendimento quando ações ou eventos específicos são identificados nos registros. |
Referência 11 – Geral | Mitigações Divulgar os países e jurisdições legais em que os dados do locatário são (ou serão nos próximos meses) armazenados, copiados em backup, processados e acessados pela equipe do CSP para solucionar problemas, fazer a administração remota e oferecer suporte ao cliente. | Resposta da Atlassian A Atlassian usa a Amazon Web Services (AWS) nas regiões US-East, US-West, Irlanda, Frankfurt, Singapura e Sydney (Confluence e Jira). Para saber mais, consulte Infraestrutura de hospedagem em nuvem. | |
Referência 12 – Geral | Mitigações Realizar verificações de antecedentes da equipe do CSP de acordo com o nível de acesso a sistemas e dados. Oferecer autorizações de segurança a funcionários com acesso a dados altamente confidenciais [7]. | Resposta da Atlassian Sim. Os novos membros da Equipe da Atlassian precisam realizar uma verificação de antecedentes. Os funcionários recém-contratados como resultado de uma aquisição são submetidos a uma verificação de antecedentes após a data de aquisição. Todos os novos contratados e fornecedores independentes também precisam passar por uma verificação de antecedentes criminais. Também podem ser exigidas verificações de formação acadêmica, empregatícia ou de crédito de acordo com a função ou o nível do cargo. Funcionários em cargos contábeis e executivos seniores também passam por uma verificação completa de antecedentes. | |
Referência 13 – Geral | Mitigações Usar data centers e escritórios com proteção física garantida que armazenam ou podem acessar dados do locatário [8]. Verificar e registrar a identidade de todos os funcionários e visitantes. Acompanhar os visitantes para evitar que eles acessem dados sem autorização. | Resposta da Atlassian Os escritórios da Atlassian são regidos pela nossa política de segurança ambiental e física, incluindo o monitoramento dos pontos físicos de entrada e saída. Nossos data centers parceiros precisam ter várias certificações de conformidade. Essas certificações estão relacionadas à segurança física, disponibilidade do sistema, acesso à rede e ao backbone de IP, provisionamento de clientes e gerenciamento de problemas. O acesso aos data centers é limitado ao pessoal autorizado, em que são aplicadas medidas de verificação de identidade por biometria. As medidas de segurança física incluem: profissionais de segurança na premissa, monitoramento de câmeras de vídeo, "mantraps" (portas com controle de acesso) e outras medidas de proteção contra invasões. A AWS tem várias certificações para proteger seus data centers. Você encontra as informações de garantia de proteção física da AWS em: http://aws.amazon.com/compliance/. | |
Referência 14 – Geral | Mitigações Limitar o acesso privilegiado da equipe do CSP a sistemas e dados de acordo com as tarefas no trabalho [9]. Exigir uma nova aprovação a cada três meses aos funcionários do CSP que precisam de acesso privilegiado. Revogar o acesso após o desligamento do funcionário na equipe do CSP. | Resposta da Atlassian A Atlassian mantém restrições apenas ao pessoal que precisa desse acesso para as devidas funções e responsabilidades. Todos os sistemas de nível 1 são gerenciados por meio da solução centralizada de login único (SSO) e de diretório da Atlassian. Os usuários recebem direitos de acesso apropriados com base nesses perfis, orientados por meio do fluxo de trabalho do sistema de gerenciamento de RH. A Atlassian utiliza a autenticação multifator (MFA) para acessar todos os sistemas de nível 1. A gente habilitou a autenticação de dois fatores no console de gerenciamento do hipervisor e na API da AWS, além de um relatório diário de auditoria sobre todo o acesso às funções de gerenciamento do hipervisor. As listas de acesso ao console de gerenciamento de hipervisores e à API da AWS são revisadas a cada trimestre. A gente também mantém uma sincronização de 8 horas entre o sistema de RH e a loja de identidades. | |
Referência 15 – Geral | Mitigações Analisar com agilidade os registros de ações da equipe do CSP que foram incluídos em um servidor seguro e isolado. Separar deveres com a exigência de que a análise de registros seja realizada por funcionários do CSP sem outros privilégios ou funções. | Resposta da Atlassian Os principais produtos da Atlassian têm controles de segregação de deveres e incluem, dentre outros:
| |
Referência 16 – Geral | Mitigações Realizar uma auditoria dos fornecedores antes de obter software, hardware ou serviços para avaliar um possível aumento no perfil de risco de segurança do CSP. | Resposta da Atlassian Os novos fornecedores da Atlassian precisam concordar com as políticas e adendo de segurança e privacidade contidos nos nossos contratos. Os departamentos jurídico e de aquisição da Atlassian analisam contratos, SLAs e políticas internas de fornecedores para determinar se o fornecedor atende aos requisitos de segurança, disponibilidade e confidencialidade. A Atlassian oferece esta página pública: Lista de subprocessadores de dados. | |
Referência 17 – Geral | Mitigações Usar controles de criptografia aprovados pela ASD para proteger dados altamente confidenciais em repouso. Limpar a mídia de armazenamento antes do reparo, descarte e desligamento do locatário com um contrato de confidencialidade para os dados contidos em backups residuais. | Resposta da Atlassian A equipe de tecnologia do local de trabalho cuida desse processo e faz a limpeza e desmagnetização adequadas do equipamento. A Atlassian não gerencia as mídias físicas que oferecem suporte aos nossos produtos e serviços de nuvem. | |
Dados do locatário comprometidos por outro locatário malicioso/comprometido [10] [11] [12] [13] [14] [15] [16] [17] [18]. | Referência 18 – Geral | Mitigações Implementar mecanismos de vários locatários para evitar que os dados do locatário sejam acessados por outros. Isolar o tráfego de rede, armazenamento, memória e processamento do computador. Limpar a mídia de armazenamento antes da sua reutilização. | Resposta da Atlassian A Atlassian é um aplicativo SaaS de vários locatários. O modelo de vários locatários é uma função essencial do Atlassian Cloud. Com ele, vários clientes podem usar uma mesma instância da camada de aplicativo do Jira e Confluence, isolando os dados de aplicativo de cada locatário. O Atlassian Cloud faz isso por meio do serviço de contexto do locatário (TCS). Cada ID de usuário é associado apenas a um locatário, que é usado para acessar os aplicativos do Atlassian Cloud. Para saber mais, consulte: Práticas de segurança. |
Dados do locatário indisponíveis devido a corrupção, exclusão [19] ou encerramento da conta/serviço pelo CSP | Referência 19 - Geral | Mitigações Permita que o locatário faça backups atualizados em um formato que evite o bloqueio por parte do CSP. Se uma conta ou um serviço em nuvem for encerrado, notifique imediatamente o locatário e ofereça pelo menos um mês para baixar os dados. | Resposta da Atlassian A Atlassian mantém um padrão de Retenção e Destruição de Dados, que designa por quanto tempo a gente precisa manter diferentes tipos de dados. Os dados são classificados conforme nossa Política de Ciclo de Vida das Informações e Segurança de Dados da Atlassian, e os controles são implementados com base nisso. Após a rescisão de um contrato da Atlassian, os dados pertencentes a uma equipe do cliente vão ser removidos do banco de dados de produção ativo e todos os anexos de arquivos enviados diretamente para a Atlassian vão ser removidos em 14 dias. Os dados da equipe vão permanecer em backups criptografados até ultrapassarem a janela de retenção de backup de 60 dias e serem destruídos conforme a política de retenção de dados da Atlassian. Caso uma restauração do banco de dados seja necessária no prazo de 60 dias após a solicitação de exclusão de dados, a equipe de operações vai excluir de novo os dados assim que for possível após a restauração completa do sistema de produção ativo. Para mais informações, consulte: Rastrear o armazenamento e mover dados entre produtos |
Dados do locatário indisponíveis ou comprometidos devido à falência do CSP ou outra ação legal | Referência 20 - Geral | Mitigações Garanta contratualmente que o locatário mantenha a propriedade legal de próprios dados. | Resposta da Atlassian Os clientes da Atlassian mantêm a responsabilidade de garantir que o uso de nosso serviço esteja em conformidade com as leis e os regulamentos vigentes. Mais informações sobre acordos e políticas legais específicos estão disponíveis em na página de recursos legais: https://www.atlassian.com/legal |
Serviço em nuvem indisponível por conectividade de rede inadequada do CSP | Referência 21 - Geral | Mitigações Viabilize conectividade de rede confiável, de baixa latência e largura de banda adequada entre o locatário e o serviço em nuvem para atender ao nível de disponibilidade declarado, conforme exigido pelo locatário. | Resposta da Atlassian A Atlassian monitora o desempenho e a disponibilidade de todas as instâncias do Cloud, porém, no momento, não há um SLA formal de disponibilidade para aplicativos. A equipe de suporte disponibiliza um SLA de tempo de resposta inicial e, embora não haja um SLA oficial de resolução para suporte, a meta interna é resolver todos os casos atribuídos à equipe em 48 horas. A Atlassian exibe as estatísticas de status mais recentes do sistema Cloud aqui: https://status.atlassian.com |
Serviço em nuvem indisponível devido a erro do CSP, interrupção planejada, falha de hardware ou força maior | Referência 22 - Geral | Mitigações Planeje a arquitetura para atender ao nível declarado de disponibilidade, conforme exigido pelo locatário, por exemplo, pontos únicos de falha mínimos, clustering e balanceamento de carga, replicação de dados, failover automatizado e monitoramento da disponibilidade em tempo real. | Resposta da Atlassian Para os serviços Atlassian Cloud, os planos de Continuidade de Negócios e Recuperação de Desastres são testados pelo menos todos os trimestres. A disponibilidade em várias regiões é monitorada em tempo real. Testes automatizados de failover regional são feitos todas as semanas no ambiente de pré-produção. Testes automatizados de restauração de dados de configuração são feitos todos os dias na produção. |
Referência 23 - Geral | Mitigações Desenvolva e, a cada ano, teste um plano de recuperação de desastres e continuidade de negócios para atender ao nível de disponibilidade declarado conforme exigido pelo locatário, por exemplo, promulgado para incidentes que causam perda duradoura da equipe ou da infraestrutura do CSP. | Resposta da Atlassian Uma política de continuidade de negócios e recuperação de desastres e um plano de continuidade de negócios e recuperação de desastres estão em vigor e são revisados a cada ano pelo comitê diretor de continuidade de negócios/recuperação de desastres. Todos os proprietários de serviços, processos ou sistemas essenciais devem garantir que a continuidade de negócios e/ou a recuperação de desastres esteja alinhada com a tolerância para interrupção em caso de desastre. Os planos de continuidade de negócios e recuperação de desastres são testados todos os trimestres, e os problemas identificados são resolvidos. Para mais informações, consulte Práticas de segurança e a abordagem da Atlassian à resiliência. | |
Serviço em nuvem indisponível devido a um aumento genuíno na demanda ou à negação de serviço de largura de banda/CPU | Referência 24 - Geral | Mitigações Implemente mitigações de negação de serviço para atender ao nível de disponibilidade declarado, conforme exigido pelo locatário, por exemplo, conectividade de rede externa e interna redundante de alta largura de banda com limitação e filtragem de tráfego. | Resposta da Atlassian A Atlassian Security Engineering usa tecnologias IPS que são implementadas em nossos ambientes de escritório. A proteção contra ameaças de rede é feita pela AWS, incluindo proteção contra DDoS e algumas funções do Web Application Firewall. |
Referência 25 - Geral | Mitigações Disponibilize capacidade de infraestrutura e escalabilidade automatizada responsiva para atender ao nível de disponibilidade declarado, conforme exigido pelo locatário. | Resposta da Atlassian A Atlassian planeja a capacidade com 6 a 12 meses de antecedência, com um planejamento estratégico de alto nível em 36 meses. | |
Consequências financeiras de um aumento genuíno na demanda ou negação de serviço de largura de banda/CPU | Referência 26 - Geral | Mitigações Permita que o locatário gerencie o custo de um aumento genuíno na demanda ou negação de serviço por meio de limites de gastos contratuais, alertas em tempo real e limites máximos configuráveis para o uso da capacidade de infraestrutura do CSP. | Resposta da Atlassian Para nossas ofertas de SaaS, não cobramos os clientes conforme o uso. Atualmente, não compartilhamos relatórios de capacidade ou de usuários com locatários. |
Infraestrutura do CSP comprometida por locatário ou terceiro mal-intencionado | Referência 27 - Geral | Mitigações Use computadores protegidos e aprovados pela empresa, servidores intermediários, contas dedicadas, senhas fortes e autenticação multifator para dar suporte ao cliente e administrar serviços e infraestrutura em nuvem. | Resposta da Atlassian Os funcionários devem aplicar a autenticação de dois fatores quando disponível e usar um gerenciador de senhas com senhas aleatórias e fortes. Funcionários autorizados acessam o ambiente de produção fazendo a autenticação na VPN com senhas fortes exclusivas e autenticação de dois fatores baseada em TOTP e apenas por meio de conexões de terminal SSH usando certificados RSA pessoais protegidos por senha. SSO, SSH, autenticação de dois fatores e VPN são necessários. |
Referência 28 - Geral | Mitigações Use controles criptográficos aprovados pela ASD para proteger credenciais e atividades administrativas em trânsito em canais de comunicação inseguros entre o data center do CSP e a equipe de atendimento ao cliente/administração do CSP. | Resposta da Atlassian Todos os dados de clientes armazenados em produtos e serviços em nuvem da Atlassian são criptografados em trânsito em redes públicas usando o Transport Layer Security (TLS) versão 1.2 ou superior com o Perfect Forward Secrecy (PFS) como proteção contra divulgação ou modificação não autorizadas. A implementação do TLS garante o uso de criptografia forte e chaves longas, se compatível com o navegador. | |
Referência 29 - Geral | Mitigações Implemente segmentação e segregação de rede [20] entre a internet, a infraestrutura de CSP usada pelos locatários, a rede que o CSP usa para administrar serviços e infraestrutura em nuvem e a LAN corporativa do CSP. | Resposta da Atlassian Os dados do cliente nunca devem ser replicados fora do ambiente de produção, que é armazenado nos servidores seguros da AWS. Regras rígidas de firewall estão em vigor, limitando assim o acesso ao ambiente de produção à rede VPN da Atlassian e sistemas autorizados. O acesso à VPN da Atlassian requer autenticação multifator. Os controles de segregação de funções estão em vigor para os produtos principais da Atlassian e incluem, mas não se limitam a:
| |
Referência 30 - Geral | Mitigações Utilize práticas de programação seguras para software desenvolvido pelo CSP [21] [22] [23]. | Resposta da Atlassian A Atlassian utiliza práticas de desenvolvimento seguras em todas as fases do ciclo de vida do desenvolvimento. Consulte: Segurança no desenvolvimento de software na Atlassian para mais informações. | |
Referência 31 - Geral | Mitigações Use configurações seguras, gerenciamento contínuo de vulnerabilidades, aplicação imediata de patches, análises anuais de segurança de terceiros e testes de intrusão dos serviços em nuvem e da infraestrutura subjacente. | Resposta da Atlassian Consultorias terceirizadas são contratadas para fazer testes de intrusão anuais em aplicativos externos. Esses testes são complementados por testes de segurança menores e contínuos feitos pela equipe interna de testes de segurança da Atlassian. As Cartas de Avaliação desses testes de intrusão podem ser encontradas aqui, junto com mais informações sobre nosso processo de teste: Abordagem aos testes de segurança externos | |
Referência 32 - Geral | Mitigações Treine toda a equipe do CSP, principalmente os administradores, no início do emprego e a cada ano, para proteger os dados do locatário, manter a disponibilidade dos serviços em nuvem e identificar proativamente incidentes de segurança, por exemplo, por meio de análise imediata de registros. | Resposta da Atlassian A Atlassian oferece treinamento em segurança da informação como parte do treinamento de integração (“Rocketfuel”) para novos contratados e de forma contínua para toda a equipe. Candidatos e prestadores de serviços devem assinar um acordo de confidencialidade antes de começar a trabalhar na empresa. No caso de uma mudança tecnológica ou outra mudança importante, cursos são disponibilizados e anunciados aos funcionários por meio da intranet. | |
As mitigações de risco mais eficazes especialmente relevantes para IaaS | |||
Máquina virtual (VM) do locatário comprometida por terceiros mal-intencionados [24] | Referência 1 - IaaS | Mitigações Disponibilize controles de acesso à rede que permitam ao locatário implementar segmentação e segregação de rede [25], incluindo um recurso de filtragem de rede para proibir a administração remota de suas VMs, exceto a partir de seu endereço IP. | Resposta da Atlassian Isso não se aplica. A Atlassian é uma provedora de SaaS. |
Referência 2 - IaaS | Mitigações Disponibilize ao locatário imagens de template de VM configuradas e corrigidas com segurança. Evite atribuir uma senha administrativa fraca às VMs recém-provisionadas. | Resposta da Atlassian Isso não se aplica. A Atlassian é uma provedora de SaaS. | |
As mitigações de risco mais eficazes especialmente relevantes para PaaS | |||
Dados do locatário comprometidos por terceiros mal-intencionados | Referência 1 - PaaS | Mitigações Fortaleça e configure com segurança o sistema operacional, o servidor da web e o software da plataforma. Limite a conectividade de rede de entrada e saída apenas a portas/protocolos necessários. Execute imediatamente a aplicação de patches e a análise de registros. | Resposta da Atlassian Isso não se aplica. A Atlassian é uma provedora de SaaS. |
As mitigações de risco mais eficazes especialmente relevantes para SaaS | |||
Dados do locatário comprometidos por terceiros mal-intencionados | Referência 1 - SaaS | Mitigações Implemente controles específicos para o serviço em nuvem, por exemplo, para e-mails entregues como serviço, ofereça funções como filtragem de conteúdo com análise dinâmica automatizada de e-mails e seus anexos. | Resposta da Atlassian Nós oferecemos isso em nossos produtos. A Atlassian utiliza o Proofpoint (https://www.proofpoint.com/au/products/email-protection) para verificar anexos e reescrever URLs para bloquear tentativas de phishing. A Atlassian também utiliza proteções para e-mail integradas ao Google G-Suite (serviços de segurança na nuvem e proteção de dados) |
Referência 2 - SaaS | Mitigações Implemente controles gerais [26], por exemplo, conectividade de rede de entrada e saída limitada apenas às portas/protocolos necessários, software antivírus atualizado diariamente, sistemas de prevenção de intrusões e análise imediata de registros. | Resposta da Atlassian Não aplicável. A Atlassian não tem antimalware em nossos servidores de produção, pois eles não podem ser gravados de forma alguma, exceto pelo nosso pipeline de IC/CD. Os serviços de aplicativos da Atlassian que hospedam o Jira Cloud ou o Confluence Cloud hospedam apenas o código do aplicativo e nada mais. Os servidores do Jira e do Confluence Cloud não podem ser gravados de forma alguma, exceto pelo pipeline de implementação da Atlassian ou pipeline de IC/CD. |