ACSC - Cloud Computing Security for Cloud Service Providers - Revisión de las directrices de 2023
Exención de responsabilidad
La guía proporcionada tiene como único objetivo abordar la forma en que los clientes de Cloud del sector público y las organizaciones empresariales consideradas como entidades reguladas por el Centro Australiano de Ciberseguridad (ACSC) consideran esta guía solo en relación con los productos de Atlassian Cloud y los servicios que ofrece.
Este informe se destina únicamente a la información y la orientación que Atlassian proporciona a sus clientes de Cloud sobre cómo respetamos las directrices de Cloud Computing Security for Cloud Service Providers. Paralelamente, tenemos un artículo técnico específico sobre las responsabilidades compartidas en el que se describen las distintas responsabilidades que se recomiendan tanto al CSP como a los clientes. El modelo de responsabilidad compartida no elimina la responsabilidad ni los riesgos de los clientes al utilizar los productos de Atlassian Cloud, pero sí ayuda a reducir la carga en el sentido en que gestionamos y controlamos los componentes del sistema y mantenemos el control físico de las instalaciones; también transfiere una parte del coste de la seguridad y el cumplimiento a Atlassian y los aleja de nuestros clientes.
Para obtener más información sobre nuestro compromiso de proteger los datos de los clientes, visita nuestra página Prácticas de seguridad.
Riesgo | Referencia | Mitigaciones | Respuesta de Atlassian |
---|---|---|---|
Las mitigaciones de riesgo más eficaces son generalmente relevantes para todos los tipos de servicios en la nube | |||
Falta general de mantenimiento de la confidencialidad, la integridad y la disponibilidad de los datos del inquilino | Referencia 1 - General | Mitigaciones Evalúa el servicio en la nube y la infraestructura subyacente (abordando explícitamente las mitigaciones en esta publicación) comparándolos con el ISM [1] en el nivel de clasificación adecuado requerido para gestionar los datos del inquilino. | Respuesta de Atlassian Atlassian cuenta con eficaces mecanismos para garantizar el cumplimiento de los Principios del Marco de Privacidad de los Datos, los recursos para las personas afectadas por el incumplimiento de estos principios y las consecuencias en caso de incumplimiento de los principios. Llevamos esto a cabo mediante autoevaluaciones periódicas y ad hoc, así como con auditorías externas y revisiones de cumplimiento ocasionales, según se requiera. En concreto, trabajamos todos los años con TrustArc, un proveedor externo que certifica que nuestras prácticas de privacidad cumplen con los Principios del Marco de Privacidad de los Datos. Avala nuestra autocertificación y también ofrece servicios independientes de mediación en conflictos para reclamaciones de clientes relacionadas con la privacidad. Asimismo, realizamos un seguimiento de los tickets de Jira, y supervisamos el cumplimiento en relación con ellos, que pueden utilizarse como registro de auditoría, junto con nuestras autoevaluaciones, auditorías externas o revisiones de cumplimiento y cualquier plan de corrección que podamos tener de vez en cuando. Supervisamos las prácticas de tratamiento de datos y mantenemos un programa de violación de la privacidad de los datos para hacer un seguimiento de los incidentes o violaciones de la privacidad de los datos. |
| Referencia 2. General | Mitigaciones Implementar una gobernanza de la seguridad basada en la dirección y coordinación de las actividades relacionadas con la seguridad por parte de la alta dirección, incluida una rigurosa gestión del cambio, así como contar con personal técnicamente cualificado en funciones de seguridad definidas. | Respuesta de Atlassian El director de Seguridad de la Información de Atlassian, Bala Sathiamurthy, trabaja en nuestra oficina de San Francisco, y nuestro equipo de Seguridad cuenta con más de 230 miembros en las áreas de Seguridad de Productos, Inteligencia de Seguridad, Arquitectura de Seguridad, Confianza, Riesgo y Cumplimiento, y un equipo de desarrollo e ingeniería de fiabilidad del sitio en nuestras oficinas de Sídney, Ámsterdam, Austin, Bengarulu, Mountain View, San Francisco y Nueva York, así como varios miembros de equipos remotos. |
| Referencia 3. General | Mitigaciones Implementar y probar anualmente un plan de respuesta ante incidentes de ciberseguridad que proporcione al inquilino los datos de contacto de emergencia, la posibilidad de acceder a las pruebas forenses normalmente inaccesibles y la notificación de los incidentes. | Respuesta de Atlassian Disponemos de una política y un plan de respuesta ante incidentes de seguridad documentados, cuyos principios clave incluyen los siguientes:
|
Datos en tránsito del inquilino comprometidos por un tercero malintencionado | Referencia 4. General | Mitigaciones Respaldar y utilizar los controles criptográficos aprobados por la ASD para proteger los datos en tránsito entre el inquilino y el CSP, p. ej. TLS o IPsec VPN de capa de aplicación con algoritmos, longitud de claves y gestión de claves aprobados. | Respuesta de Atlassian Todos los datos de los clientes que se almacenan en los productos y servicios de Atlassian Cloud se cifran durante el tránsito por las redes públicas mediante el protocolo de Seguridad de la capa de transporte (TLS) 1.2+ con confidencialidad directa total (PFS) para protegerlos contra la divulgación o modificación no autorizada. Nuestra implementación de TLS impone el uso de códigos y longitudes de clave eficaces cuando lo admite el navegador. |
Referencia 5. General | Mitigaciones Usar los controles criptográficos aprobados por la ASD para proteger los datos en tránsito entre los centros de datos del CSP a través de canales de comunicación inseguros, como la infraestructura pública de Internet. | Respuesta de Atlassian Atlassian cuenta con políticas de cifrado y criptografía, y directrices de implementación. Estas políticas se revisan y actualizan anualmente de acuerdo con nuestro Programa de gestión de políticas (PMP). Para obtener más información, consulta: Nuestro sistema Atlassian Trust Management System (ATMS). | |
Referencia 6. General | Mitigaciones Respaldar y utilizar los controles criptográficos aprobados por la ASD para proteger los datos en reposo en los medios de almacenamiento en tránsito por correo o mensajería entre el inquilino y el CSP al transferir datos como parte de la entrada o la salida. | Respuesta de Atlassian Todos los datos de los clientes que se almacenan en los productos y servicios de Atlassian Cloud se cifran durante el tránsito por las redes públicas mediante el protocolo de Seguridad de la capa de transporte (TLS) 1.2+ con confidencialidad directa total (PFS) para protegerlos contra la divulgación o modificación no autorizada. Nuestra implementación de TLS impone el uso de códigos y longitudes de clave eficaces cuando lo admite el navegador. | |
Credenciales de la cuenta de servicio en la nube del inquilino comprometidas por un tercero malintencionado [2] [3] [4] [5] | Referencia 7. General | Mitigaciones Proporcionar gestión de accesos e identidades, p. ej., autenticación multifactor y funciones de cuenta con diferentes privilegios [6] para que el inquilino utilice y administre el servicio en la nube a través del sitio web, el panel de control y la API del CSP. | Respuesta de Atlassian Sí. La autenticación multifactor está disponible para cuentas individuales en Cofluence y Jira. Para obtener más información sobre cómo habilitar la autenticación multifactor, consulta: Aplicar la verificación en dos pasos. |
Referencia 8. General | Mitigaciones Respaldar y utilizar los controles criptográficos aprobados por la ASD para proteger las credenciales y la actividad administrativa en tránsito cuando el inquilino utiliza y administra el servicio en la nube a través del sitio web, el panel de control y la API del sitio web del CSP. | Respuesta de Atlassian Todos los datos de los clientes que se almacenan en los productos y servicios de Atlassian Cloud se cifran durante el tránsito por las redes públicas mediante el protocolo de Seguridad de la capa de transporte (TLS) 1.2+ con confidencialidad directa total (PFS) para protegerlos contra la divulgación o modificación no autorizada. Nuestra implementación de TLS impone el uso de códigos y longitudes de clave eficaces cuando lo admite el navegador. | |
Referencia 9. General | Mitigaciones Permitir al inquilino descargar registros detallados sincronizados en el tiempo y obtener alertas en tiempo real generadas para las cuentas de servicio en la nube del inquilino utilizadas para acceder, y especialmente para administrar, el servicio en la nube. | Respuesta de Atlassian Los registros clave del sistema se reenvían desde cada sistema a una plataforma de registro centralizada, donde los registros son solo de lectura. El equipo de seguridad en Atlassian crea alertas en nuestra plataforma de análisis de seguridad (Splunk) y supervisa los indicadores de compromiso. Nuestros equipos de SRE utilizan la plataforma para supervisar problemas de disponibilidad o rendimiento. Los registros se conservan durante 30 días en copia de seguridad en caliente y 365 días en copia de seguridad en frío. | |
Datos del inquilino comprometidos por personal malintencionado del CSP o por un tercero malintencionado | Referencia 10. General | Mitigaciones Permitir al inquilino descargar registros detallados sincronizados en el tiempo y obtener alertas en tiempo real generadas por el servicio en la nube utilizado por el inquilino, p. ej. sistema operativo, servidor web y registros de aplicaciones. | Respuesta de Atlassian Utilizamos Casper (https://www.jamf.com) y OSQuery (https://osquery.io/) para gestionar todo lo que se registra y el tiempo que se conservan los registros. Los registros se almacenan en un sistema separado de manera lógica y el acceso de escritura a los registros está restringido a los miembros del equipo de seguridad. Las alertas se envían al equipo de seguridad o al centro de asistencia cuando se identifican acciones o eventos específicos en los registros. Nuestro servicio de registro centralizado está integrado en nuestra infraestructura de análisis de seguridad para el análisis automatizado y se crean alertas para identificar posibles problemas.Nuestros escáneres de vulnerabilidades internos y externos alertan sobre la apertura inesperada de cualquier puerto u otros cambios de configuración (por ejemplo, los perfiles TLS de los servidores de escucha). Las alertas se envían al equipo de seguridad o al centro de asistencia cuando se identifican acciones o eventos específicos en los registros. |
Referencia 11. General | Mitigaciones Informar de los países y jurisdicciones legales en los que se almacenan, se realizan copias de seguridad y se procesan los datos de los inquilinos (ahora o en los próximos meses) y desde los que el personal del CSP accede a ellos para la resolución de problemas, la administración remota y la atención al cliente. | Respuesta de Atlassian Atlassian utiliza Amazon Web Services (AWS) en las regiones de Este de EE. UU., Oeste de EE. UU., Irlanda, Fráncfort, Singapur y Sídney (Confluence y Jira). Para obtener más información, consulta: Infraestructura de alojamiento en la nube | |
Referencia 12. General | Mitigaciones Comprobar los antecedentes del personal del CSP según su nivel de acceso a los sistemas y los datos. Mantener las autorizaciones de seguridad para el personal con acceso a datos muy confidenciales [7]. | Respuesta de Atlassian Sí. A los nuevos Atlassians de todo el mundo se les exige completar una verificación de antecedentes. A los empleados recién contratados como resultado de una adquisición se les realiza una verificación de antecedentes tras la fecha de adquisición. Se realiza una comprobación de antecedentes penales a todos los nuevos empleados y los contratistas independientes; a la que se suma una verificación de educación, una verificación de empleo o una verificación de solvencia si el puesto o el nivel del puesto lo exigen. Realizamos verificaciones completas de antecedentes para puestos de ejecutivos sénior y contabilidad. | |
Referencia 13. General | Mitigaciones Usar centros de datos y oficinas físicamente seguros que almacenen los datos de los inquilinos o que puedan acceder a los datos de los inquilinos [8]. Verificar y registrar la identidad de todo el personal y las visitas. Acompañar a los visitantes para evitar que accedan a los datos sin autorización. | Respuesta de Atlassian Nuestras oficinas de Atlassian se guían por nuestra política interna de seguridad física y ambiental, que incluye el control de los puntos de entrada y salida físicos. Nuestros centros de datos asociados cuentan con varios certificados de cumplimiento. Estas certificaciones abordan la seguridad física, la disponibilidad de los sistemas, el acceso a la red y a redes troncales de IP, el aprovisionamiento de clientes y la gestión de problemas. El acceso a los centros de datos está limitado únicamente al personal autorizado y se controla mediante medidas de verificación biométrica de la identidad. Las medidas de seguridad física incluyen: guardias de seguridad locales, vigilancia por vídeo en circuito cerrado, trampas para personas y medidas adicionales de protección contra intrusiones. AWS cuenta con varias certificaciones para la protección de sus centros de datos. Puedes encontrar la información sobre la garantía de protección física de AWS en: http://aws.amazon.com/compliance/ | |
Referencia 14. General | Mitigaciones Restringir el acceso privilegiado del personal del CSP a los sistemas y datos en función de sus tareas laborales [9]. Exigir una nueva aprobación cada tres meses para el personal del CSP que requiera acceso privilegiado. Revocar el acceso tras el despido del personal del CSP. | Respuesta de Atlassian Atlassian mantiene las restricciones al personal que necesite este acceso para realizar sus funciones y responsabilidades laborales. Todos los sistemas del nivel 1 se gestionan mediante una solución centralizada de inicio de sesión único (SSO) y directorio de Atlassian. Los usuarios reciben los derechos de acceso adecuados en función de estos perfiles, según el flujo de trabajo de nuestro sistema de gestión de recursos humanos. Atlassian utiliza la MFA para acceder a todos los sistemas del nivel 1. Hemos habilitado la autenticación de dos factores en la consola de gestión del hipervisor y en la API de AWS , así como un informe de auditoría diario sobre todos los accesos a las funciones de gestión del hipervisor. Las listas de acceso a la consola de gestión del hipervisor y a la API de AWS se revisan trimestralmente. También mantenemos una sincronización de 8 horas entre nuestro sistema de recursos humanos y nuestro almacén de identidades. | |
Referencia 15. General | Mitigaciones Analizar rápidamente los registros de las acciones del personal del CSP que se registran en un servidor de registro seguro y aislado. Implementar la separación de funciones exigiendo que el personal del CSP, que no tiene otros privilegios o funciones laborales, realice el análisis del registro. | Respuesta de Atlassian Los principales productos de Atlassian cuentan con controles de segregación de tareas, lo que incluye, entre otras cosas:
| |
Referencia 16. General | Mitigaciones Realizar una revisión de diligencia debida de los proveedores antes de obtener el software, el hardware o los servicios para evaluar el posible aumento del perfil de riesgo de seguridad del CSP. | Respuesta de Atlassian Los nuevos proveedores de Atlassian deben aceptar las políticas de privacidad y seguridad de nuestros contratos. Los departamentos jurídicos y de adquisiciones de Atlassian revisan los contratos, los SLA y las políticas internas de los proveedores para determinar si el proveedor cumple los requisitos de seguridad, disponibilidad y confidencialidad. Atlassian mantiene esta página pública: Lista de subprocesadores de datos | |
Referencia 17. General | Mitigaciones Usar los controles criptográficos aprobados por la ASD para proteger los datos altamente confidenciales en reposo. Depurar los medios de almacenamiento antes de repararlos, eliminarlos y retirar a los inquilinos con un acuerdo de confidencialidad para los datos de las copias de seguridad residuales. | Respuesta de Atlassian El departamento de Tecnología del lugar de trabajo se encarga de este proceso: el equipo se desinfecta y desmagnetiza adecuadamente. Atlassian no gestiona ningún soporte físico que sea compatible con nuestros productos y servicios en la nube. | |
Datos del inquilino comprometidos por otro inquilino malintencionado o comprometido [10] [11] [12] [13] [14] [15] [16] [17] [18] | Referencia 18. General | Mitigaciones Implementar mecanismos de inquilino múltiple para evitar que otros inquilinos accedan a los datos del inquilino. Aislar el tráfico de red, el almacenamiento, la memoria y el procesamiento del ordenador. Depurar los medios de almacenamiento antes de reutilizarlos. | Respuesta de Atlassian Atlassian es una aplicación de SaaS para varios inquilinos. La solución con varios inquilinos es una función clave de Atlassian Cloud que permite a varios clientes compartir una instancia de la capa de aplicaciones de Jira o Confluence y, al mismo tiempo, aislar los datos de las aplicaciones de cada inquilino del cliente. Atlassian Cloud lo logra a través del Servicio de contexto de inquilino (TCS). Cada ID de usuario está asociado exactamente a un inquilino, que se utiliza para acceder a las aplicaciones de Atlassian Cloud. Para obtener más información, consulta: Prácticas de seguridad |
Los datos del inquilino no están disponibles debido a un daño, a una eliminación [19] o a que un CSP canceló la cuenta o el servicio | Referencia 19. General | Mitigaciones Permitir al inquilino realizar copias de seguridad actualizadas en un formato que evite el bloqueo del CSP. Si se cancela una cuenta o un servicio en la nube, notifica inmediatamente al inquilino y dale al menos un mes para descargar sus datos. | Respuesta de Atlassian Atlassian mantiene un estándar de retención y destrucción de datos que determina cuánto tiempo necesitamos conservar los distintos tipos de datos. Los datos se clasifican de acuerdo con nuestra política de seguridad de datos y ciclo de vida de la información de Atlassian y los controles se implementan en función de ella. En cuanto a los datos de los clientes, al rescindir un contrato de Atlassian, los datos que pertenezcan al equipo del cliente se eliminarán de la base de datos de producción en vivo y todos los archivos adjuntos subidos directamente a Atlassian se eliminarán en un plazo de 14 días. Los datos del equipo permanecerán en copias de seguridad cifradas hasta que esas copias de seguridad superen el período de retención de 60 días y se destruyan de acuerdo con la política de retención de datos de Atlassian. En caso de que sea necesario restaurar una base de datos en un plazo de 60 días a partir de la solicitud de eliminación de los datos, el equipo de operaciones volverá a borrar los datos en cuanto sea razonablemente posible una vez que el sistema de producción en vivo esté completamente restaurado. Para obtener más información, consulta: Supervisar el almacenamiento y transferir datos entre productos |
Los datos del inquilino no están disponibles o están comprometidos debido a la quiebra de un CSP u otras acciones legales | Referencia 20. General | Mitigaciones Asegurarse contractualmente de que el inquilino conserve la propiedad legal de sus datos. | Respuesta de Atlassian Los clientes de Atlassian tienen la responsabilidad de garantizar que el uso de nuestro servicio cumpla con las leyes y los reglamentos aplicables. Encontrarás más información sobre nuestras políticas y acuerdos legales específicos en nuestra página de recursos jurídicos: https://www.atlassian.com/legal |
El servicio en la nube no está disponible debido a la inadecuada conectividad de red del CSP | Referencia 21. General | Mitigaciones Admitir un ancho de banda alto, una latencia baja y una conectividad de red fiable entre el inquilino y el servicio en la nube para cumplir con el nivel de disponibilidad solicitado por el inquilino. | Respuesta de Atlassian Supervisamos el rendimiento y la disponibilidad de todas las instancias de Cloud, pero actualmente no ofrecemos un SLA formal de disponibilidad de las aplicaciones. Nuestro equipo de soporte proporciona un SLA con tiempo de respuesta inicial y, aunque no tenemos un SLA oficial de resolución de soporte, nuestro objetivo interno es resolver todos los casos asignados en un plazo de 48 horas. Atlassian muestra las estadísticas del estado más reciente del sistema de Cloud aquí: https://status.atlassian.com. |
El servicio en la nube no está disponible debido a un error del CSP, una interrupción planificada, un fallo de hardware o una causa de fuerza mayor | Referencia 22. General | Mitigaciones Arquitecto para cumplir con el nivel de disponibilidad solicitado por el inquilino, p. ej. puntos únicos de fallo mínimos, agrupamiento y equilibrio de carga, replicación de datos, conmutación por error automática y supervisión de la disponibilidad en tiempo real. | Respuesta de Atlassian Para nuestros servicios de Atlassian Cloud, los planes de continuidad empresarial y recuperación ante desastres se prueban al menos trimestralmente. La disponibilidad en varias regiones se controla en tiempo real. Cada semana se realizan pruebas de conmutación por error regionales automatizadas en el entorno de preproducción. Las pruebas automatizadas de restauración de datos de configuración se realizan a diario en producción. |
Referencia 23. General | Mitigaciones Desarrollar y probar anualmente un plan de recuperación ante desastres y un plan de continuidad empresarial para cumplir con el nivel de disponibilidad solicitado por el inquilino, p. ej. promulgado para los incidentes que provoquen pérdidas duraderas de personal o infraestructura del CSP. | Respuesta de Atlassian Existe tanto una política como un plan de continuidad empresarial y recuperación ante desastres que revisa anualmente el comité directivo dedicado a ambos temas. Todos los propietarios de sistemas, procesos o servicios críticos garantizan una continuidad empresarial o una recuperación ante desastres adecuadas que se ajusta a la tolerancia a las interrupciones en caso de desastre. Los planes BCDR se prueban trimestralmente y se abordan todas las incidencias identificadas. Para obtener más información, consulta las prácticas de seguridad y el enfoque de Atlassian en materia de resiliencia. | |
El servicio en la nube no está disponible debido a un aumento real de la demanda o a una denegación de servicio del ancho de banda o la CPU | Referencia 24. General | Mitigaciones Implementar mitigaciones de denegación de servicio para cumplir con el nivel de disponibilidad solicitado por el inquilino, p. ej. conectividad de red externa e interna redundante de gran ancho de banda con limitación y filtrado del tráfico. | Respuesta de Atlassian La ingeniería de seguridad en Atlassian utiliza tecnologías IPS que se implementan en nuestros entornos de oficina. La protección contra las amenazas de la red la lleva a cabo AWS, incluida la protección contra DDoS y algunas funciones del cortafuegos de las aplicaciones web. |
Referencia 25. General | Mitigaciones Proporcionar capacidad de infraestructura y una escalabilidad automática con capacidad de respuesta para cumplir con el nivel de disponibilidad solicitado por el inquilino. | Respuesta de Atlassian Atlassian planifica la capacidad con una antelación de 6 a 12 meses, y la planificación estratégica general se hace con 36 meses de anticipación. | |
Consecuencias financieras de un aumento real de la demanda o de una denegación de servicio del ancho de banda o la CPU | Referencia 26. General | Mitigaciones Permitir al inquilino gestionar el coste de un aumento real de la demanda o la denegación de servicio mediante límites de gastos contractuales, alertas en tiempo real y límites máximos configurables para el uso de la capacidad de infraestructura del CSP. | Respuesta de Atlassian Para nuestras ofertas de SaaS, no facturamos a los clientes en función del uso. Actualmente no compartimos la capacidad ni los informes de los usuarios con los inquilinos. |
La infraestructura del CSP comprometida por un inquilino malintencionado o un tercero malintencionado | Referencia 27. General | Mitigaciones Usa ordenadores seguros y aprobados por la empresa, servidores de salto, cuentas dedicadas, contraseñas seguras y autenticación de varios factores para proporcionar atención al cliente y administrar los servicios e infraestructuras en la nube. | Respuesta de Atlassian Los empleados deben requerir la autenticación en dos fases cuando esté disponible y utilizar un gestor de contraseñas con contraseñas seguras y aleatorias. Los empleados autorizados acceden al entorno de producción autenticándose en la VPN con contraseñas seguras únicas y autenticación en dos fases basada en TOTP y, a continuación, solo a través de conexiones de terminales SSH mediante certificados RSA personales protegidos con frases de contraseña. Se requieren SSO, SSH, autenticación de dos fases y VPN. |
Referencia 28. General | Mitigaciones Usa los controles criptográficos aprobados por la ASD para proteger las credenciales y la actividad administrativa en tránsito a través de canales de comunicación inseguros entre el centro de datos del CSP y el administrador o el personal de atención al cliente del CSP. | Respuesta de Atlassian Todos los datos de los clientes que se almacenan en los productos y servicios de Atlassian Cloud se cifran durante el tránsito por las redes públicas mediante el protocolo de Seguridad de la capa de transporte (TLS) 1.2+ con confidencialidad directa total (PFS) para protegerlos contra la divulgación o modificación no autorizada. Nuestra implementación de TLS impone el uso de códigos y longitudes de clave eficaces cuando lo admite el navegador. | |
Referencia 29. General | Mitigaciones Implementar la segmentación y la segregación de la red [20] entre Internet, la infraestructura de CSP utilizada por los inquilinos, la red que el CSP utiliza para administrar los servicios e infraestructuras en la nube y la LAN corporativa del CSP. | Respuesta de Atlassian Los datos de los clientes nunca se replicarán fuera del entorno de producción, que se almacena en los servidores seguros de AWS. El cortafuegos tiene normas estrictas con las que se limita al entorno de producción el acceso a nuestra red VPN y sistemas autorizados. La VPN requiere una autenticación de varios factores. Los principales productos de Atlassian cuentan con controles de segregación de tareas, lo que incluye, entre otras cosas:
| |
Referencia 30. General | Mitigaciones Utilizar prácticas de programación seguras para el software desarrollado por el CSP [21] [22] [23]. | Respuesta de Atlassian Atlassian utiliza prácticas de desarrollo seguras en todas las fases del ciclo de vida del desarrollo. Consulta: Seguridad en el desarrollo de software en Atlassian para obtener más información. | |
Referencia 31. General | Mitigaciones Realizar una configuración segura, una gestión continua de las vulnerabilidades, la aplicación rápida de parches, las revisiones anuales de seguridad de terceros y las pruebas de penetración de los servicios en la nube y la infraestructura subyacente. | Respuesta de Atlassian Contratamos consultorías externas para que realicen pruebas de penetración anuales en las aplicaciones externas. También complementamos estas pruebas con pruebas de seguridad más pequeñas y continuas realizadas por nuestro equipo interno de pruebas de seguridad. Puedes encontrar las cartas de evaluación de estas pruebas de penetración aquí, junto con más información sobre nuestro proceso de pruebas: Enfoque de las pruebas de seguridad externas | |
Referencia 32. General | Mitigaciones Formar a todo el personal del CSP, especialmente a los administradores, al empezar a trabajar y anualmente, para proteger los datos de los inquilinos, mantener la disponibilidad de los servicios en la nube e identificar de forma proactiva los incidentes de seguridad, p. ej. mediante un análisis de registros inmediatos. | Respuesta de Atlassian Atlassian ofrece formación sobre la seguridad de la información como parte de la formación de incorporación ("Rocketfuel") para los que empiezan y de forma continua a todo el personal. A los candidatos y los contratistas se les pide que firmen un acuerdo de confidencialidad antes de empezar a trabajar en la empresa. En caso de un cambio tecnológico u otro cambio importante, los cursos están disponibles y se anuncian a los empleados actuales a través de nuestra intranet. | |
Las mitigaciones de riesgos más eficaces y particularmente relevantes para la IaaS | |||
La máquina virtual (VM) del inquilino comprometida por un tercero malintencionado [24] | Referencia 1. IaaS | Mitigaciones Proporcionar controles de acceso a la red que permitan al inquilino implementar la segmentación y la segregación de la red [25], incluida una función de filtrado de red para impedir la administración remota de sus máquinas virtuales excepto desde su dirección IP. | Respuesta de Atlassian Esto no procede. Atlassian es un proveedor de SaaS. |
Referencia 2. IaaS | Mitigaciones Proporcionar al inquilino imágenes de plantillas de máquina virtual configuradas y parcheadas de forma segura. Evita asignar una contraseña administrativa débil a las máquinas virtuales recién aprovisionadas. | Respuesta de Atlassian Esto no procede. Atlassian es un proveedor de SaaS. | |
Las mitigaciones de riesgos más eficaces y particularmente relevantes para la PaaS | |||
Los datos del inquilino comprometidos por un tercero malintencionado | Referencia 1. PaaS | Mitigaciones Reforzar y configurar de forma segura el software del sistema operativo, el servidor web y la plataforma. Limitar la conectividad de red entrante y saliente solo a los puertos y protocolos necesarios. Realizar análisis de parches y registros rápidamente. | Respuesta de Atlassian Esto no procede. Atlassian es un proveedor de SaaS. |
Las mitigaciones de riesgos más eficaces y particularmente relevantes para el SaaS | |||
Los datos del inquilino comprometidos por un tercero malintencionado | Referencia 1. SaaS | Mitigaciones Implementar controles específicos del servicio en la nube, por ejemplo, para el correo electrónico entregado como servicio, proporcionar funciones como el filtrado de contenido con un análisis dinámico automático de los correos electrónicos y los archivos adjuntos de los correos electrónicos. | Respuesta de Atlassian Lo incluimos en nuestros productos. Atlassian utiliza Proofpoint (https://www.proofpoint.com/au/products/email-protection) para escanear los archivos adjuntos y reescribir las URL para bloquear los intentos de suplantación de identidad. Atlassian también utiliza las protecciones de correo electrónico integradas en Google G-Suite (servicios de seguridad en la nube y protección de datos) |
Referencia 2 - SaaS | Mitigaciones Implementa los controles generales [26] p. ej. conectividad de red entrante y saliente limitada únicamente a los puertos o protocolos necesarios, software antivirus actualizado a diario, sistemas de prevención de intrusiones y análisis de registros inmediatos. | Respuesta de Atlassian No procede. Atlassian no tiene antimalware en los servidores de producción, ya que solo se puede escribir en ellos a través de la canalización de CI/CD. Los servicios de aplicaciones de Atlassian que alojan Jira Cloud o Confluence Cloud solo almacenan el código de la aplicación. No se puede escribir en los servidores de Jira y Confluence Cloud, excepto a través de la canalización de implementación de Atlassian o la canalización de CI/CD. |