ACSC - Cloud Computing Security for Cloud Service Providers - Revisione delle linee guida 2023
Esclusione di responsabilità
Le linee guida vengono fornite esclusivamente con lo scopo di illustrare le modalità con cui i clienti Cloud del settore pubblico nonché le organizzazioni aziendali, classificate come entità regolamentate dall'Australian Cyber Security Center (ACSC), le utilizzano esclusivamente in relazione ai prodotti Atlassian Cloud e ai servizi offerti.
Questo report è riservato esclusivamente alle informazioni e alle linee guida fornite da Atlassian ai suoi clienti Cloud su come ci allineiamo alla Cloud Computing Security for Cloud Service Providers. Parallelamente, disponiamo di un white paper dedicato alle responsabilità condivise che prende in esame le diverse responsabilità dei CSP e dei clienti. Il modello di responsabilità condivisa non elimina la responsabilità e il rischio per i clienti che utilizzano i prodotti Atlassian Cloud, ma contribuisce a ridurre l'impegno della gestione e del controllo dei componenti del sistema e del controllo fisico delle strutture, oltre a trasferire una parte dei costi relativi alla sicurezza e alla conformità dai clienti ad Atlassian.
Per saperne di più sul nostro impegno per la salvaguardia dei dati dei clienti, visita la nostra pagina sulle pratiche di sicurezza.
Rischio | Riferimento | Mitigazioni | Risposta di Atlassian |
---|---|---|---|
Le più efficaci misure di mitigazione dei rischi, valide in genere per tutti i tipi di servizi cloud | |||
Incapacità generale di mantenere la riservatezza, l'integrità e la disponibilità dei dati del tenant | Riferimento 1 - Generale | Mitigazioni Valuta il servizio cloud e l'infrastruttura sottostante (affrontando esplicitamente le mitigazioni contenute in questa pubblicazione) rispetto all'ISM [1], al livello di classificazione appropriato richiesto per gestire i dati del tenant. | Risposta di Atlassian Atlassian dispone di solidi meccanismi per garantire la conformità ai Principi del framework sulla privacy dei dati, il ricorso per le persone interessate dalla mancata conformità a questi Principi e le conseguenze in caso di mancato rispetto dei Principi. Eseguiamo un'autovalutazione periodica e ad hoc, nonché audit esterni e revisioni della conformità di tanto in tanto, se necessario. In particolare, collaboriamo ogni anno con TrustArc, un fornitore di terze parti che certifica che le nostre pratiche relative alla privacy sono conformi ai Principi del framework sulla privacy dei dati. TrustArc supporta la nostra autocertificazione e fornisce anche servizi indipendenti di mediazione delle controversie per i reclami relativi alla privacy effettuati dai clienti. Monitoriamo anche la conformità con i ticket Jira che possono essere utilizzati come audit trail e ne teniamo traccia, insieme alle nostre autovalutazioni, agli audit/alle revisioni della conformità esterni e a qualsiasi programma correttivo che potremmo stabilire di tanto in tanto. Monitoriamo le pratiche di gestione dei dati e gestiamo un programma per individuare la violazione della privacy dei dati al fine di tenere traccia degli imprevisti/delle violazioni della privacy dei dati. |
| Riferimento 2 - Generale | Mitigazioni Implementare la governance della sicurezza coinvolgendo i Senior Manager che dirigono e coordinano le attività relative alla sicurezza, inclusa una solida gestione delle modifiche, oltre a disporre di personale tecnicamente qualificato in ruoli di sicurezza definiti. | Risposta di Atlassian Il CISO di Atlassian è Bala Sathiamurthy, che lavora presso il nostro ufficio di San Francisco, e il nostro team di sicurezza è composto da oltre 230 membri suddivisi tra Product Security, Detection and Response, Security Architecture, Trust, Risk and Compliance e un team di sviluppo e SRE nei nostri uffici di Sydney, Amsterdam, Austin, Bangalore, Mountain View, San Francisco e New York, oltre a diversi membri del team remoto. |
| Riferimento 3 - Generale | Mitigazioni Implementare e testare annualmente un programma di risposta agli imprevisti di sicurezza informatica fornendo al tenant i dati di contatto di emergenza, la capacità di accedere alle prove forensi normalmente inaccessibili e la notifica degli imprevisti. | Risposta di Atlassian Abbiamo una policy e un programma documentati di risposta agli imprevisti di sicurezza, i cui principi chiave includono:
|
Dati del tenant compromessi in transito da terze parti malintenzionate | Riferimento 4 - Generale | Mitigazioni Supportare e utilizzare i controlli crittografici approvati dall'ASD per proteggere i dati in transito tra il tenant e il CSP (Cloud Service Provider, provider di servizi cloud), ad es. VPN TLS o IPSec a livello applicativo con algoritmi approvati, lunghezza e gestione delle chiavi. | Risposta di Atlassian Tutti i dati dei clienti archiviati nei prodotti e nei servizi Atlassian Cloud sono crittografati in transito su reti pubbliche utilizzando il protocollo Transport Layer Security (TLS) 1.2+ con Perfect Forward Secrecy (PFS) per proteggerli da divulgazioni o modifiche non autorizzate. La nostra implementazione di TLS impone l'utilizzo di chiavi di crittografia e lunghezze di chiavi complesse, se supportate dal browser. |
Riferimento 5 - Generale | Mitigazioni Utilizzare i controlli crittografici approvati dall'ASD per proteggere i dati in transito tra i data center del CSP su canali di comunicazione non sicuri come l'infrastruttura Internet pubblica. | Risposta di Atlassian Atlassian rispetta le policy di crittografia e codifica e le relative linee guida di implementazione. Questa policy viene rivista e aggiornata ogni anno in linea con il nostro Policy Management Program (PMP). Per ulteriori informazioni, consulta il nostro Atlassian Trust Management System (ATMS) | |
Riferimento 6 - Generale | Mitigazioni Supportare e utilizzare i controlli crittografici approvati dall'ASD per proteggere i dati inattivi sui supporti di archiviazione in transito tramite posta/corriere tra il tenant e il CSP durante il trasferimento dei dati nell'ambito dell'onboarding o dell'offboarding. | Risposta di Atlassian Tutti i dati dei clienti archiviati nei prodotti e nei servizi Atlassian Cloud sono crittografati in transito su reti pubbliche utilizzando il protocollo Transport Layer Security (TLS) 1.2+ con Perfect Forward Secrecy (PFS) per proteggerli da divulgazioni o modifiche non autorizzate. La nostra implementazione di TLS impone l'utilizzo di chiavi di crittografia e lunghezze di chiavi complesse, se supportate dal browser. | |
Credenziali dell'account del servizio cloud del tenant compromesse da terze parti malintenzionate [2] [3] [4] [5] | Riferimento 7 - Generale | Mitigazioni Fornire la gestione delle identità e degli accessi, ad esempio l'autenticazione a più fattori e i ruoli dell'account con privilegi variabili [6] affinché il tenant possa utilizzare e amministrare il servizio cloud tramite il pannello di controllo del sito web e l'API del CSP. | Risposta di Atlassian Sì. Per quanto riguarda Confluence, Jira, l'autenticazione a più fattori è disponibile per i singoli account. Per ulteriori informazioni su come abilitare l'autenticazione a più fattori, consulta: Applicare la verifica in due passaggi |
Riferimento 8 - Generale | Mitigazioni Supportare e utilizzare i controlli crittografici approvati dall'ASD per proteggere le credenziali e le attività amministrative in transito quando il tenant utilizza e amministra il servizio cloud tramite il pannello di controllo del sito web e l'API del CSP. | Risposta di Atlassian Tutti i dati dei clienti archiviati nei prodotti e nei servizi Atlassian Cloud sono crittografati in transito su reti pubbliche utilizzando il protocollo Transport Layer Security (TLS) 1.2+ con Perfect Forward Secrecy (PFS) per proteggerli da divulgazioni o modifiche non autorizzate. La nostra implementazione di TLS impone l'utilizzo di chiavi di crittografia e lunghezze di chiavi complesse, se supportate dal browser. | |
Riferimento 9 - Generale | Mitigazioni Consentire al tenant di scaricare log dettagliati sincronizzati nel tempo e di ottenere avvisi in tempo reale generati per gli account del servizio cloud del tenant utilizzati per accedere, e soprattutto per amministrare, il servizio cloud. | Risposta di Atlassian I log di sistema chiave vengono inoltrati da ciascun sistema a una piattaforma centralizzata dove i log sono di sola lettura. Il team Atlassian Security crea avvisi sulla nostra piattaforma di analisi della sicurezza (Splunk) e monitora gli indicatori di compromissione. I nostri team SRE utilizzano la piattaforma per monitorare i ticket di disponibilità o prestazioni. I log vengono conservati per 30 giorni in un backup a caldo e per 365 giorni in un backup a freddo. | |
Dati del tenant compromessi da personale malintenzionato del CSP o da terze parti malintenzionate | Riferimento 10 - Generale | Mitigazioni Consentire al tenant di scaricare log dettagliati sincronizzati nel tempo e di ottenere avvisi in tempo reale generati dal servizio cloud utilizzato dal tenant, ad es. log del sistema operativo, del server web e delle applicazioni. | Risposta di Atlassian Utilizziamo Casper (https://www.jamf.com) e OSQuery (https://osquery.io/) per gestire gli elementi registrati e per quanto tempo vengono conservati. I log sono archiviati in un sistema separato logicamente e l'accesso in scrittura ai log è limitato ai membri del team di sicurezza. Gli avvisi vengono inviati al team di sicurezza o al Service Desk quando nei log si identificano azioni o eventi specifici. Il nostro servizio di creazione di log centralizzato (Splunk) è integrato con la nostra infrastruttura di analisi della sicurezza per l'analisi automatizzata e vengono creati avvisi per identificare potenziali problemi. |
Riferimento 11 - Generale | Mitigazioni Divulgare i Paesi e le giurisdizioni legali in cui i dati dei tenant sono (o saranno nei prossimi mesi) archiviati, sottoposti a backup, elaborati e accessibili dal personale del CSP per la risoluzione dei problemi, l'amministrazione remota e l'assistenza clienti. | Risposta di Atlassian Atlassian utilizza Amazon Web Services (AWS) nelle seguenti località: Stati Uniti occidentali e orientali, Irlanda, Francoforte, Singapore e Sydney (Confluence e Jira). Per ulteriori informazioni, consulta: Infrastruttura di hosting nel cloud | |
Riferimento 12 - Generale | Mitigazioni Eseguire controlli dei precedenti del personale del CSP in base al loro livello di accesso a sistemi e dati. Mantenere le autorizzazioni di sicurezza per il personale con accesso a dati altamente sensibili [7]. | Risposta di Atlassian Sì, i nuovi Atlassiani a livello globale sono tenuti a completare un controllo dei precedenti personali. I neo dipendenti assunti a seguito di un'acquisizione devono essere sottoposti a un controllo dei precedenti personali dopo la data di acquisizione. Viene eseguito un controllo dei precedenti penali su tutti i neoassunti e i terzisti indipendenti, a cui si aggiungono la verifica dei titoli di studio, la verifica dei precedenti rapporti di impiego o i controlli creditizi qualora il ruolo o il livello della posizione lo richiedano. Eseguiamo controlli dei precedenti personali completi per i ruoli dirigenziali e contabili di alto livello. | |
Riferimento 13 - Generale | Mitigazioni Utilizzare data center e uffici fisicamente sicuri che archiviano i dati dei tenant o che possono accedere ai dati dei tenant [8]. Verificare e registrare l'identità di tutto il personale e dei visitatori. Accompagnare i visitatori per limitare l'accesso ai dati senza autorizzazione. | Risposta di Atlassian I nostri uffici Atlassian sono guidati dalla nostra policy interna di Sicurezza fisica e ambientale, che include il monitoraggio dei punti fisici di ingresso e di uscita. I data center dei nostri partner dispongono di diverse certificazioni di conformità che riguardano la sicurezza fisica, la disponibilità dei sistemi, l'accesso alla rete e al backbone IP, il provisioning degli utenti e la gestione dei problemi. L'accesso ai data center è limitato al personale autorizzato e controllato mediante misure di verifica biometrica dell'identità. Le misure di sicurezza fisica includono: guardie di sicurezza sul posto, monitoraggio tramite video a circuito chiuso, porte a tornello e misure aggiuntive di protezione dalle intrusioni. AWS dispone di diverse certificazioni per la protezione dei propri data center. Le informazioni sulla garanzia della protezione fisica di AWS sono disponibili all'indirizzo: http://aws.amazon.com/compliance/ | |
Riferimento 14 - Generale | Mitigazioni Limitare l'accesso privilegiato del personale del CSP ai sistemi e ai dati in base alle mansioni lavorative [9]. Richiedere una nuova approvazione ogni tre mesi per il personale del CSP che richiede un accesso privilegiato. Revocare l'accesso in caso di cessazione del rapporto di lavoro con il personale del CSP. | Risposta di Atlassian Atlassian applica restrizioni sul personale che necessita di questo accesso per il proprio ruolo e le proprie responsabilità lavorative. Tutti i sistemi di livello 1 sono gestiti tramite una soluzione centralizzata di Single Sing-On (SSO) e directory Atlassian. Agli utenti vengono concessi i diritti di accesso appropriati in base a questi profili, gestiti tramite il flusso di lavoro del nostro sistema di gestione delle risorse umane. Atlassian utilizza l'autenticazione a più fattori per accedere a tutti i sistemi di primo livello. Abbiamo abilitato l'autenticazione a due fattori per la console di gestione dell'hypervisor, l'API AWS e un report di audit giornaliero su tutti gli accessi alle funzioni di gestione dell'hypervisor. Gli elenchi di accesso alla console di gestione degli hypervisor e all'API AWS vengono esaminati trimestralmente. Effettuiamo anche una sincronizzazione ogni 8 ore tra il sistema delle risorse umane e l'archivio delle identità. | |
Riferimento 15 - Generale | Mitigazioni Analizzare tempestivamente i registri delle azioni del personale del CSP che sono registrati su un server di log sicuro e isolato. Implementare la separazione dei compiti richiedendo che l'analisi dei log sia eseguita dal personale del CSP che non ha altri privilegi o ruoli lavorativi. | Risposta di Atlassian La segregazione delle funzioni è in vigore per i prodotti Atlassian principali. L'elenco parziale include:
| |
Riferimento 16 - Generale | Mitigazioni Eseguire una due diligence dei fornitori prima di ottenere software, hardware o servizi, per valutare il potenziale aumento del profilo di rischio per la sicurezza del CSP. | Risposta di Atlassian I nuovi fornitori di Atlassian sono tenuti ad accettare le policy e l'addendum in materia di privacy e sicurezza presenti nei nostri contratti. I reparti legali e di approvvigionamento di Atlassian esaminano i contratti, gli SLA e le policy interne dei fornitori per determinare se questi ultimi soddisfano i requisiti di sicurezza, disponibilità e riservatezza. Atlassian mantiene questa pagina pubblica: Lista dei sub-responsabili del trattamento dei dati | |
Riferimento 17 - Generale | Mitigazioni Usare i controlli crittografici approvati dall'ASD per proteggere i dati altamente sensibili a riposo. Disinfetta i supporti di archiviazione prima della riparazione, dello smaltimento e dell'offboarding dei tenant con un accordo di non divulgazione dei dati nei backup residui. | Risposta di Atlassian Il team Workplace Technology gestisce questo processo, le apparecchiature vengono disinfettate e smagnetizzate in modo appropriato. Atlassian non gestisce alcun supporto fisico compatibile con i nostri prodotti e servizi cloud. | |
Dati del tenant compromessi da un altro tenant malintenzionato/compromesso [10] [11] [12] [13] [14] [15] [16] [17] [18] | Riferimento 18 - Generale | Mitigazioni Implementare meccanismi di multi-tenancy per impedire l'accesso ai dati del tenant da parte di altri tenant. Isolare il traffico di rete, l'archiviazione, la memoria e l'elaborazione del computer. Disinfettare i supporti di archiviazione prima del loro riutilizzo. | Risposta di Atlassian Atlassian è un'applicazione SaaS multi-tenant. La multi-tenancy è una funzionalità chiave di Atlassian Cloud che consente a più clienti di condividere un'istanza del livello applicativo Jira o Confluence, isolando al contempo i dati dell'applicazione di ogni tenant del cliente. Atlassian Cloud realizza questo obiettivo tramite il Tenant Context Service (TCS). Ogni ID utente è associato esattamente a un tenant, che viene poi utilizzato per accedere alle applicazioni Atlassian Cloud. Per ulteriori informazioni, consulta: Pratiche di sicurezza |
Dati del tenant non disponibili perché danneggiati, eliminati [19] o a causa della chiusura dell'account/servizio da parte del CSP | Riferimento 19 - Generale | Mitigazioni Consenti al tenant di eseguire backup aggiornati in un formato che eviti il blocco del CSP. Se un account o un servizio cloud viene chiuso, avvisa immediatamente il tenant e consentigli almeno un mese di tempo per scaricare i dati. | Risposta di Atlassian Atlassian applica uno standard di conservazione e distruzione dei dati che indica per quanto tempo è tenuta a conservare dati di diversi tipi. I dati sono classificati in linea con la policy sulla sicurezza dei dati e la gestione del ciclo di vita delle informazioni di Atlassian e i controlli sono implementati in base a quanto previsto da tale policy. Per quanto riguarda i dati dei clienti al momento della cessazione di un contratto Atlassian, i dati appartenenti a un team addetto ai clienti saranno rimossi dal database di produzione in tempo reale e tutti gli allegati caricati direttamente su Atlassian saranno rimossi entro 14 giorni. I dati del team rimarranno nei backup crittografati fino alla scadenza della finestra di conservazione dei backup di 60 giorni e saranno distrutti in conformità alla policy di conservazione dei dati di Atlassian. Qualora sia necessario eseguire il ripristino del database entro 60 giorni dalla richiesta di eliminazione dei dati, il team delle operazioni provvederà a eliminare di nuovo i dati non appena ragionevolmente possibile dopo il ripristino completo del sistema di produzione live. Per ulteriori informazioni, consulta: Monitoraggio dell'archiviazione e spostamento dei dati tra prodotti |
Dati del tenant non disponibili o compromessi a causa del fallimento del CSP o di altre azioni legali | Riferimento 20 - Generale | Mitigazioni Garantisci tramite contratto il mantenimento della proprietà legale dei propri dati da parte del tenant. | Risposta di Atlassian I clienti Atlassian hanno la responsabilità di garantire che il loro utilizzo del nostro servizio sia conforme alle leggi e ai regolamenti applicabili. Maggiori dettagli sui nostri specifici contratti legali e sulle nostre policy sono disponibili nella pagina delle risorse legali: https://www.atlassian.com/legal |
Servizio cloud non disponibile a causa di connettività di rete inadeguata del CSP | Riferimento 21 - Generale | Mitigazioni Supporta una larghezza di banda sufficientemente elevata, una bassa latenza e una connettività di rete affidabile tra il tenant e il servizio cloud per soddisfare il livello di disponibilità dichiarato e richiesto dal tenant. | Risposta di Atlassian Monitoriamo le prestazioni e la disponibilità di tutte le istanze Cloud, ma al momento non offriamo uno SLA formale sulla disponibilità delle applicazioni. Il nostro team di assistenza fornisce uno SLA iniziale sui tempi di risposta e, sebbene non abbiamo uno SLA ufficiale per la risoluzione delle richieste di assistenza, il nostro obiettivo interno è risolvere tutti i casi assegnati entro 48 ore. All'indirizzo https://status.atlassian.com sono disponibili le statistiche di Atlassian relative allo stato più recente del nostro sistema Cloud |
Servizio cloud non disponibile a causa di errore, interruzione pianificata, guasto hardware del CSP o cause naturali | Riferimento 22 - Generale | Mitigazioni Progetta un'architettura capace di soddisfare il livello di disponibilità dichiarato e richiesto dal tenant, ad es. singoli punti di errore minimi, clustering e bilanciamento del carico, replica dei dati, failover automatizzato e monitoraggio della disponibilità in tempo reale. | Risposta di Atlassian Per i nostri servizi Atlassian Cloud, i piani di continuità aziendale e ripristino di emergenza vengono testati almeno trimestralmente. La disponibilità in più regioni viene monitorata in tempo reale. I test automatici di failover regionale vengono eseguiti ogni settimana nell'ambiente di preproduzione. I test automatici di ripristino dei dati di configurazione vengono eseguiti quotidianamente in produzione. |
Riferimento 23 - Generale | Mitigazioni Sviluppa e testa con cadenza annuale un programma di ripristino di emergenza e continuità aziendale per soddisfare il livello di disponibilità dichiarato e richiesto dal tenant, ad es. un programma implementato per gli imprevisti che causano perdite permanenti del personale o dell'infrastruttura del CSP. | Risposta di Atlassian Sono in vigore policy e programmi di continuità aziendale e ripristino di emergenza che vengono rivisti su base annuale dal comitato direttivo per la continuità aziendale e il ripristino di emergenza. I responsabili di sistemi, processi o servizi mission critical devono garantire continuità aziendale e/o ripristino di emergenza adeguati che siano in linea con la tolleranza alle interruzioni prevista in caso di emergenza. I piani BCDR vengono testati trimestralmente e tutti i problemi identificati vengono risolti. Per ulteriori informazioni, consulta Pratiche di sicurezza e Approccio di Atlassian alla resilienza. | |
Servizio cloud non disponibile a causa di un reale picco della domanda o di un evento Denial of Service che riguarda la larghezza di banda/CPU | Riferimento 24 - Generale | Mitigazioni Implementa misure di mitigazione degli eventi Denial of Service per soddisfare il livello di disponibilità dichiarato e richiesto dal tenant, ad es. connettività di rete esterna e interna ridondante ad elevata larghezza di banda con limitazione e filtro del traffico. | Risposta di Atlassian Atlassian Security Engineering utilizza tecnologie IPS implementate nei nostri uffici. La protezione dalle minacce di rete viene eseguita da AWS, inclusa la protezione DDoS e alcune funzioni del firewall delle applicazioni Web. |
Riferimento 25 - Generale | Mitigazioni Fornisci capacità di infrastruttura e scalabilità automatizzata e reattiva per soddisfare il livello di disponibilità dichiarato e richiesto dal tenant. | Risposta di Atlassian Atlassian pianifica la capacità con 6-12 mesi di anticipo, con una programmazione strategica di alto livello della durata di 36 mesi. | |
Conseguenze finanziarie di un reale picco della domanda o di un evento Denial of Service che riguarda la larghezza di banda/CPU | Riferimento 26 - Generale | Mitigazioni Consenti al tenant di gestire il costo di un reale picco della domanda o di un evento Denial of Service tramite limiti di spesa definiti nel contratto, avvisi in tempo reale e limiti configurabili di utilizzo massimo della capacità dell'infrastruttura del CSP. | Risposta di Atlassian Per quanto riguarda le nostre offerte SaaS, le fatture inviate ai clienti non si basano sull'utilizzo. Al momento non condividiamo i report sulla capacità o sugli utenti con i tenant. |
Infrastruttura del CSP compromessa da un tenant o da una terza parte malintenzionati | Riferimento 27 - Generale | Mitigazioni Usa computer, jump server, account dedicati, passphrase complesse e autenticazione a più fattori approvati e protetti dall'azienda per fornire assistenza ai clienti e gestire i servizi e l'infrastruttura cloud. | Risposta di Atlassian I dipendenti sono tenuti ad applicare l'autenticazione a due fattori quando disponibile e a utilizzare un gestore di password con password casuali e sicure. I dipendenti autorizzati accedono all'ambiente di produzione autenticandosi nella VPN con password complesse e univoche e utilizzando l'autenticazione a due fattori basata su TOTP; quindi, effettuano l'accesso solo tramite connessioni terminali SSH utilizzando certificati RSA personali protetti da passphrase. Le tecnologie SSO, SSH, 2FA, VPN sono tutte richieste. |
Riferimento 28 - Generale | Mitigazioni Usa i controlli crittografici approvati dall'ASD per proteggere le credenziali e le attività amministrative in transito su canali di comunicazione non sicuri tra il data center e l'amministrazione/il personale di assistenza clienti del CSP. | Risposta di Atlassian Tutti i dati dei clienti archiviati nei prodotti e nei servizi Atlassian Cloud sono crittografati in transito su reti pubbliche utilizzando il protocollo Transport Layer Security (TLS) 1.2+ con Perfect Forward Secrecy (PFS) per proteggerli da divulgazioni o modifiche non autorizzate. La nostra implementazione di TLS impone l'utilizzo di chiavi di crittografia e lunghezze di chiavi complesse, se supportate dal browser. | |
Riferimento 29 - Generale | Mitigazioni Implementa la segmentazione e la segregazione della rete [20] tra Internet, l'infrastruttura del CSP utilizzata dai tenant, la rete utilizzata dal CSP per gestire i servizi e l'infrastruttura cloud e la LAN aziendale del CSP. | Risposta di Atlassian I dati dei clienti non devono mai essere replicati al di fuori dell'ambiente di produzione, che è archiviato nei server sicuri di AWS. Sono in vigore rigide regole firewall che limitano l'accesso all'ambiente di produzione alla nostra rete VPN e ai sistemi autorizzati. La VPN richiede l'autenticazione a più fattori. La segregazione delle funzioni è in vigore per i prodotti Atlassian principali. L'elenco parziale include:
| |
Riferimento 30 - Generale | Mitigazioni Utilizza pratiche di programmazione sicure per il software sviluppato dal CSP [21] [22] [23]. | Risposta di Atlassian Atlassian si avvale di pratiche sicure in tutte le fasi del ciclo di vita dello sviluppo. Per ulteriori informazioni, consulta: Sicurezza nello sviluppo software in Atlassian. | |
Riferimento 31 - Generale | Mitigazioni Esegui una configurazione sicura, una gestione continua delle vulnerabilità, l'applicazione tempestiva delle patch, revisioni annuali della sicurezza da parte di terze parti e test di penetrazione dei servizi cloud e dell'infrastruttura sottostante. | Risposta di Atlassian Ci avvaliamo di società di consulenza terze per eseguire test di penetrazione annuali su applicazioni rivolte all'esterno. Integriamo questi test anche con interventi minori e continui sulla sicurezza eseguiti dal nostro team interno apposito. Le lettere di valutazione per questi test di penetrazione sono disponibili qui, insieme a ulteriori informazioni sul nostro processo di test: L'approccio ai test di sicurezza esterni | |
Riferimento 32 - Generale | Mitigazioni Forma il personale del CSP, in particolare gli amministratori, sia all'inizio del rapporto di lavoro che con cadenza annuale, sulla protezione dei dati del tenant, sul mantenimento della disponibilità del servizio cloud e sull'identificazione proattiva degli imprevisti di sicurezza, ad es. tramite una tempestiva analisi dei log. | Risposta di Atlassian Atlassian fornisce corsi di formazione in materia di sicurezza delle informazioni come elemento della formazione di onboarding ("Rocketfuel") per i neoassunti e su base continuativa per tutto il personale. I candidati e i collaboratori esterni sono tenuti a firmare un accordo di riservatezza prima di iniziare la collaborazione con l'azienda. In caso di cambiamento tecnologico o di un altro cambiamento importante, i corsi vengono resi disponibili e annunciati ai dipendenti esistenti tramite la nostra intranet. | |
Mitigazioni del rischio più efficaci, particolarmente rilevanti per IaaS | |||
Macchina virtuale (VM) del tenant compromessa da terze parti malintenzionate [24] | Riferimento 1 - IaaS | Mitigazioni Rendi disponibili controlli di accesso alla rete che consentano al tenant di implementare la segmentazione e la segregazione della rete [25], inclusa la capacità di filtro di rete per impedire l'amministrazione remota delle proprie macchine virtuali, se non dal proprio indirizzo IP. | Risposta di Atlassian Questa mitigazione non è applicabile, poiché Atlassian è un provider SaaS. |
Riferimento 2 - IaaS | Mitigazioni Fornisci al tenant immagini dei modelli della macchina virtuale configurate in modo sicuro e complete di patch. Evita di assegnare una passphrase amministrativa debole alle macchine virtuali appena installate. | Risposta di Atlassian Questa mitigazione non è applicabile, poiché Atlassian è un provider SaaS. | |
Mitigazioni del rischio più efficaci, particolarmente rilevanti per PaaS | |||
Dati del tenant compromessi da terze parti malintenzionate | Riferimento 1 - PaaS | Mitigazioni Rafforza e configura in modo sicuro il sistema operativo, il server Web e il software della piattaforma. Limita la connettività di rete in entrata e in uscita solo alle porte/protocolli richiesti. Esegui tempestivamente l'applicazione di patch e l'analisi dei log. | Risposta di Atlassian Questa mitigazione non è applicabile, poiché Atlassian è un provider SaaS. |
Mitigazioni del rischio più efficaci, particolarmente rilevanti per SaaS | |||
Dati del tenant compromessi da terze parti malintenzionate | Riferimento 1 - SaaS | Mitigazioni Implementa controlli specifici per il servizio cloud, ad esempio, per le e-mail inviate come servizio, fornisci funzionalità come il filtro dei contenuti con l'analisi dinamica automatizzata delle e-mail e degli allegati e-mail. | Risposta di Atlassian Lo forniamo nei nostri prodotti. Atlassian utilizza Proofpoint (https://www.proofpoint.com/au/products/email-protection) per scansionare gli allegati e riscrivere gli URL in modo da bloccare i tentativi di phishing. Atlassian utilizza inoltre protezioni delle e-mail integrate in Google G-Suite (servizi protezione dei dati e sicurezza del cloud) |
Riferimento 2 - SaaS | Mitigazioni Implementa i controlli generali [26] ad es. connettività di rete in entrata e in uscita limitata solo alle porte/ai protocolli richiesti, software antivirus aggiornato quotidianamente, sistemi di prevenzione delle intrusioni e analisi immediata dei log. | Risposta di Atlassian Non applicabile. Atlassian non dispone di anti-malware sui suoi server di produzione, perché non sono scrivibili da nulla tranne che dalla sua pipeline CI/CD. I servizi applicativi Atlassian che ospitano Jira Cloud o Confluence Cloud ospitano solo il codice dell'applicazione e nient'altro. I server Jira e Confluence Cloud non sono scrivibili con nulla tranne che dalla pipeline di distribuzione di distribuzione/pipeline CI/CD di Atlassian. |