ACSC - Cloud Computing Security for Cloud Service Providers (Cloudcomputingbeveiliging voor cloudserviceproviders) - herziene richtlijnen 2023

1 - Algemeen

Beoordeel de cloudservice en de onderliggende infrastructuur (waarbij in deze publicatie expliciet aandacht wordt besteed aan de risicobeperkende maatregelen) aan de hand van het ISM [1] op het juiste classificatieniveau dat vereist is om de gegevens van de tenant te verwerken.

Atlassian beschikt over robuuste mechanismen. Deze mechanismen zorgen ervoor dat de principes voor het framework van gegevensprivacy worden nageleefd, dat er beroep kan worden gedaan op personen die zijn getroffen doordat ze de principes niet hebben nageleefd en dat er gevolgen zijn wanneer de principes niet worden nageleefd. Deze naleving wordt gehandhaafd door middel van periodieke en incidentele zelfevaluaties. Verder worden er, indien nodig, ook sporadisch externe audits en nalevingsbeoordelingen uitgevoerd. We werken voornamelijk samen met TrustArc, een externe provider die eens per jaar verklaart of onze privacypraktijken in overeenstemming zijn met de principes van het framework voor gegevensprivacy. Ze staan achter onze zelfcertificering en bieden ook onafhankelijke diensten voor geschillenbemiddeling bij privacygerelateerde klachten van klanten. Verder volgen en monitoren we of Jira-tickets worden nageleefd. Deze kunnen worden gebruikt als audittrail samen met onze zelfevaluaties, externe audits/nalevingsbeoordelingen en mogelijke oplossingsplannen die we van tijd tot tijd hebben. We houden toezicht op de verwerking van gegevens en handhaven een programma voor gegevenslekken om incidenten/inbreuken op de privacy van gegevens op te sporen.

2 - Algemeen

Implementeer toezicht op beveiliging zodat het senior management de activiteiten op het gebied van beveiliging, zoals een robuust verandermanagement en het inzetten van technisch geschoold personeel voor bepaalde beveiligingsfuncties, kan sturen en coördineren.

Bala Sathiamurthy is de CISO van Atlassian en werkt op ons kantoor in San Francisco. Ons beveiligingsteam bestaat uit meer dan 230 teamleden die zijn verdeeld over de teams Product Security, Security Intelligence, Security Architecture, Trust, Risk and Compliance and a development en het SRE-team. Deze teams zijn verdeeld over onze kantoren in Sydney, Amsterdam, Austin, Bengarulu, Mountain View, San Francisco en New York, maar er werken ook een aantal teamleden op afstand.

3 - Algemeen

Implementeer een plan voor incidentrespons op het gebied van cyberbeveiliging en test dit plan jaarlijks. Voor dit plan moet de tenant worden voorzien van contactgegevens voor noodgevallen, toegang tot het verkrijgen van forensisch bewijs dat normaal niet toegankelijk is voor de tenant en de melding van incidenten.

We hebben een gedocumenteerd beleid en plan voor beveiligingsincidentrespons. De belangrijkste principes hiervan omvatten het volgende:

• Anticipeer op beveiligingsincidenten en bereid je voor op incidentrespons
• Werk aan het inperken, uitroeien en herstellen van incidenten
• Investeer in onze mensen, processen en technologieën om ervoor te zorgen dat we de mogelijkheid hebben om een beveiligingsincident te detecteren en te analyseren wanneer het zich voordoet
• Geef de bescherming van persoonsgegevens en klantgegevens de hoogste prioriteit tijdens beveiligingsincidenten
• Oefen het proces voor beveiligingsincidentrespons regelmatig
• Leer van en verbeter de functie voor het beheersen van beveiligingsincidenten
• Communiceer kritieke beveiligingsincidenten naar de Atlassian Leadership Group

4 - Algemeen

Ondersteun en gebruik de door ASD goedgekeurde cryptografische controles om gegevens te beschermen tijdens de doorvoer van de tenant naar de CSP, bijv. applicatielaag TLS of IPsec VPN met goedgekeurde algoritmen, de lengte van de code en codebeheer.

Alle klantgegevens in Atlassian-cloudproducten en -services worden met behulp van Transport Layer Security (TLS) 1.2+ met Perfect Forward Secrecy (PFS) onderweg versleuteld bij openbare netwerken. Zo wordt ongeautoriseerde openbaarmaking of verandering voorkomen. Dankzij onze implementatie van TLS zijn sterke versleuteling en sleutellengtes verplicht, waar deze ondersteund worden door de browser.

Harde schijven op servers die klantgegevens en bijlagen bevatten in Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie en Trello gebruiken de standaard AES-256-versleuteling voor de volledige schijf in rust.

Voor versleuteling in rust versleutelen we met name klantgegevens die op een schijf zijn opgeslagen, zoals gegevens van Jira-issues (details, opmerkingen, bijlagen) of gegevens van de Confluence-pagina's (pagina-inhoud, opmerkingen, bijlagen). Gegevensversleuteling in rust biedt bescherming tegen ongeautoriseerde toegang en zorgt ervoor dat gegevens alleen toegankelijk zijn voor geautoriseerde functies en diensten met gecontroleerde toegang tot de versleutelingscodes.

Atlassian gebruikt de AWS Key Management Service (KMS) voor sleutelbeheer. De processen voor versleuteling, ontsleuteling en sleutelbeheer worden regelmatig intern geïnspecteerd en geverifieerd door AWS als onderdeel van hun bestaande interne validatieprocessen. Er wordt een eigenaar toegewezen aan iedere sleutel. Deze eigenaar is er verantwoordelijk voor dat het juiste niveau van beveiligingscontroles wordt toegepast op de sleutels.

5 - Algemeen

Gebruik de door ASD goedgekeurde cryptografische controles om gegevens te beschermen tijdens de doorvoer tussen de datacenters van de CSP via onveilige communicatiekanalen, zoals een openbare internetinfrastructuur.

Atlassian hanteert een beleid voor versleuteling en cryptografie en implementatierichtlijnen. Dit beleid wordt jaarlijks herzien en bijgewerkt in overeenstemming met ons Policy Management Program (PMP). Voor meer informatie, bekijk: ons Atlassian Trust Management System (ATMS)

6 - Algemeen

Wanneer gegevens worden overgedragen als onderdeel van het onboarden of het offboarden, is het belangrijk dat de door ASD goedgekeurde cryptografische controles worden ondersteund en gecontroleerd om gearchiveerde gegevens te beschermen tijdens de doorvoer van de tenant naar de CSP via de post/koerier.

Alle klantgegevens in Atlassian-cloudproducten en -services worden met behulp van Transport Layer Security (TLS) 1.2+ met Perfect Forward Secrecy (PFS) onderweg versleuteld bij openbare netwerken. Zo wordt ongeautoriseerde openbaarmaking of verandering voorkomen. Dankzij onze implementatie van TLS zijn sterke versleuteling en sleutellengtes verplicht, waar deze ondersteund worden door de browser.

Harde schijven op servers die klantgegevens en bijlagen bevatten in Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie en Trello gebruiken de standaard AES-256-versleuteling voor de volledige schijf in rust.

Voor versleuteling in rust versleutelen we met name klantgegevens die op een schijf zijn opgeslagen, zoals gegevens van Jira-issues (details, opmerkingen, bijlagen) of gegevens van de Confluence-pagina's (pagina-inhoud, opmerkingen, bijlagen). Gegevensversleuteling in rust biedt bescherming tegen ongeautoriseerde toegang en zorgt ervoor dat gegevens alleen toegankelijk zijn voor geautoriseerde functies en diensten met gecontroleerde toegang tot de versleutelingscodes.

Atlassian gebruikt de AWS Key Management Service (KMS) voor sleutelbeheer. De processen voor versleuteling, ontsleuteling en sleutelbeheer worden regelmatig intern geïnspecteerd en geverifieerd door AWS als onderdeel van hun bestaande interne validatieprocessen. Er wordt een eigenaar toegewezen aan iedere sleutel. Deze eigenaar is er verantwoordelijk voor dat het juiste niveau van beveiligingscontroles wordt toegepast op de sleutels.

7 - Algemeen

Zorg voor identiteits- en toegangsbeheer, bijvoorbeeld meervoudige verificatie en rollen met verschillende bevoegdheden. [6] Zo kan de tenant de cloudservice gebruiken en beheren met het bedieningspaneel van de website en de API van de CSP.

Ja. Meervoudige verificatie is beschikbaar voor individuele accounts van Confluence en Jira. Voor meer informatie over hoe je meervoudige verificatie kunt inschakelen, bekijk: Tweestapsverificatie verplichten

BBC maakt al gebruik van 2FA vanaf februari 2022. Deze 2FA is over het algemeen geïntegreerd met Atlassian Access en ondersteunt aanvullende functionaliteit die door Access wordt aangeboden. Verplichte meervoudige verificatie kan worden ingesteld op organisatieniveau met Atlassian Access. Voor meer informatie, bekijk: Tweestapsverificatie verplichten

Specifieke producten: Bitbucket ondersteunt het gebruik van op MFA gebaseerde SSO-oplossingen. Voor meer informatie, bekijk: Tweestapsverificatie verplichten | Bitbucket Cloud

Halp gebruikt SSO via Slack OAuth en MS Teams. Slack en MS Teams bieden meerdere opties voor meervoudige verificatie. Voor meer informatie, bekijk: SAML eenmalige aanmelding en Azure AD Connect: eenmalige aanmelding
Opsgenie ondersteunt het gebruik van op MFA gebaseerde SSO-oplossingen. Voor meer informatie, bekijk: SSO configureren voor Opsgenie.
Statuspage ondersteunt het gebruik van op MFA gebaseerde SSO-oplossingen.
Trello ondersteunt meervoudige verificatie. Voor meer informatie over hoe je meervoudige verificatie kunt inschakelen, bekijk: Tweestapsverificatie gebruiken voor je Trello-account. Jira Align ondersteunt het gebruik van op MFA gebaseerde SSO-oplossingen.

8 - Algemeen

Wanneer de tenant de cloudservice gebruikt en beheert via het bedieningspaneel van de website en de API van de CSP, ondersteun en gebruik dan de door ASD goedgekeurde cryptografische controles om de toegangsgegevens en administratieve activiteiten te beschermen tijdens de doorvoer.

Alle klantgegevens in Atlassian-cloudproducten en -services worden met behulp van Transport Layer Security (TLS) 1.2+ met Perfect Forward Secrecy (PFS) onderweg versleuteld bij openbare netwerken. Zo wordt ongeautoriseerde openbaarmaking of verandering voorkomen. Dankzij onze implementatie van TLS zijn sterke versleuteling en sleutellengtes verplicht, waar deze ondersteund worden door de browser.

Harde schijven op servers die klantgegevens en bijlagen bevatten in Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie en Trello gebruiken de standaard AES-256-versleuteling voor de volledige schijf in rust.

Voor versleuteling in rust versleutelen we met name klantgegevens die op een schijf zijn opgeslagen, zoals gegevens van Jira-issues (details, opmerkingen, bijlagen) of gegevens van de Confluence-pagina's (pagina-inhoud, opmerkingen, bijlagen). Gegevensversleuteling in rust biedt bescherming tegen ongeautoriseerde toegang en zorgt ervoor dat gegevens alleen toegankelijk zijn voor geautoriseerde functies en diensten met gecontroleerde toegang tot de versleutelingscodes.

Atlassian gebruikt de AWS Key Management Service (KMS) voor sleutelbeheer. De processen voor versleuteling, ontsleuteling en sleutelbeheer worden regelmatig intern geïnspecteerd en geverifieerd door AWS als onderdeel van hun bestaande interne validatieprocessen. Er wordt een eigenaar toegewezen aan iedere sleutel. Deze eigenaar is er verantwoordelijk voor dat het juiste niveau van beveiligingscontroles wordt toegepast op de sleutels.

9 - Algemeen

Maak het mogelijk voor de tenant om gedetailleerde tijdgesynchroniseerde logs te downloaden en realtime meldingen te ontvangen die worden gegenereerd voor het account dat de tenant gebuikt voor toegang tot en het beheren van de cloudservice.

Sleutelsysteemlogs worden vanaf elk systeem doorgestuurd naar een gecentraliseerd logplatform, waar logs alleen gelezen kunnen worden. Het Beveiligingsteam van Atlassian maakt waarschuwingen aan op ons platform voor beveiligingsanalyses (Splunk) en controleert op tekenen van schade. Onze SRE-teams gebruiken het platform om te controleren op problemen met beschikbaarheid of prestaties. Logs worden 30 dagen bewaard in de hot back-up en 365 dagen in de cold back-up.

Gedetailleerde sleutellogs: Volg de activiteiten van de organisatie op basis van het auditlog

10 - Algemeen

Maak het mogelijk voor de tenant om gedetailleerde tijdgesynchroniseerde logs te downloaden en realtime meldingen te ontvangen die worden gegenereerd door de cloudservice en door de tenant worden gebruikt, bijv. logs van het besturingssysteem, de webserver en de applicatie.

We gebruiken Casper (https://www.jamf.com) en OSQuery (https://osquery.io/) om te beheren wat er wordt gelogd en hoe lang de logs worden bewaard. Logs worden opgeslagen in een logisch gescheiden systeem en schrijftoegang tot de logs is beperkt tot leden van het beveiligingsteam. Waarschuwingen worden naar het beveiligingsteam of de servicedesk gestuurd wanneer er bepaalde acties of gebeurtenissen in de logs worden geïdentificeerd. Onze centrale logservice (Splunk) is geïntegreerd met onze infrastructuur voor beveiligingsanalyses voor geautomatiseerde analyses en er worden waarschuwingen aangemaakt om mogelijke problemen te identificeren.

Onze interne en externe kwetsbaarheidsscanners waarschuwen onder meer voor onverwachte open poorten of andere wijzigingen in de configuratie (bijvoorbeeld TLS-profielen van luisterservers). Waarschuwingen worden naar het beveiligingsteam of de servicedesk gestuurd wanneer er bepaalde acties of gebeurtenissen in de logs worden geïdentificeerd.

11 - Algemeen

Maak bekend in welke landen en rechtsgebieden gegevens van tenants worden opgeslagen, geback-upt en verwerkt en toegankelijk zijn voor CSP-medewerkers voor probleemoplossing, beheer op afstand en klantenondersteuning.

Atlassian gebruikt Amazon Web Services (AWS) in de regio's VS-Oost, VS-West, Ierland, Frankfurt, Singapore en Sydney (Confluence en Jira). Voor meer informatie, bekijk: Infrastructuur cloudhosting

Voor specifieke producten: Trello is beschikbaar op AWS in de regio VS-Oost (Ohio). Jira Align: de fysieke locatie van klantgegevens kan worden opgevraagd door middel van een supportticket. Bekijk: Jira Align-support

Statuspage is beschikbaar op AWS in de regio's VS-West (Oregon, Californië) en VS-Oost (Ohio). OpsGenie heeft AWS-accounts in zowel de Verenigde Staten als Europa. Bij aanmelding moet de klant moet zich aanmelden voor AWS VS (Oregon, Californië) of EU (Frankfurt).

Halp wordt gehost door AWS in de regio's VS-Oost-2 en VS-West 2. Repository's van Bitbucket en functies van de belangrijkste applicaties worden gehost door AWS in VS-Oost en VS-West.

12 - Algemeen

Voer antecedentenonderzoeken uit naar CSP-medewerkers voor wat betreft hun niveau van toegang tot systemen en gegevens. Handhaaf veiligheidsmachtigingen voor personeel met toegang tot zeer gevoelige gegevens [7].

Ja. Wereldwijd worden nieuwe Atlassians verplicht om een antecedentenonderzoek te ondergaan. Bij nieuwe werknemers als gevolg van een acquisitie wordt na de acquisitiedatum een antecedentenonderzoek uitgevoerd. Bij alle nieuwe werknemers en onafhankelijke contractanten wordt een strafrechtelijke controle uitgevoerd. Er worden ook opleidingsverificatie, tewerkstellingsverificatie of kredietcontroles toegevoegd als de functie of het niveau van de functie dat vereist. We voeren volledige antecedentenonderzoeken uit voor leidinggevende en boekhoudkundige functies.

13 - Algemeen

Gebruik fysiek beveiligde datacenters en kantoren waar de gegevens van tenants worden opgeslagen of waar ze toegang hebben tot gegevens van huurders [8]. Verifieer en registreer de identiteit van alle medewerkers en bezoekers. Begeleid bezoekers om te voorkomen dat ze zonder toestemming toegang krijgen tot gegevens.

Onze Atlassian-kantoren laten zich leiden door ons interne beleid inzake fysieke beveiliging en omgevingsbeveiliging, waaronder het monitoren van fysieke in- en uitgangen. De datacenters van onze partners beschikken over meerdere conformiteitscertificaten. Deze certificeringen hebben betrekking op fysieke beveiliging, systeembeschikbaarheid, netwerk- en IP-backbone-toegang, klantprovisioning en probleembeheer. Toegang tot de Data Centers wordt beperkt tot bevoegd personeel en gecontroleerd met biometrische identiteitscontroles. Fysieke beveiligingsmaatregelen omvatten: on-premise-bewakers, videobewaking met gesloten circuit, toegangssluizen en aanvullende beveiligingsmaatregelen tegen inbraak. AWS beschikt over meerdere certificeringen voor de bescherming van hun datacenters. Informatie over de fysieke bescherming van AWS is te vinden op: http://aws.amazon.com/compliance/

14 - Algemeen

Beperk de bevoorrechte toegang van CSP-medewerkers tot systemen en gegevens op basis van hun taken [9]. Elke drie maanden is een nieuwe goedkeuring vereist voor CSP-medewerkers die bevoorrechte toegang nodig hebben. Trek de toegang in na de beëindiging van het dienstverband van CSP-medewerkers.

Atlassian handhaaft beperkingen voor het personeel dat deze toegang nodig heeft voor hun functie en verantwoordelijkheden. Alle niveau 1-systemen worden beheerd via de centrale enkelvoudige aanmelding (SSO) en mapoplossing van Atlassian. Gebruikers krijgen de juiste toegangsrechten op basis van deze profielen, aangestuurd via de workflow van ons HR-beheersysteem. Atlassian maakt gebruik van MFA voor toegang tot alle niveau 1-systemen. We hebben tweefactorauthenticatie mogelijk gemaakt voor de hypervisorbeheerconsole en de AWS-API, en we geven een dagelijks auditrapport uit over alle toegang tot de hypervisorbeheerfuncties. De toegangslijsten voor de hypervisorbeheerconsole en de AWS-API worden elk kwartaal herzien. We zorgen ook voor een synchronisatie van elke 8 uur tussen ons HR-systeem en ons identiteitsarchief.

15 - Algemeen

Analyseer logs van de acties van CSP-medewerkers direct. Deze logs worden gelogd op een beveiligde en geïsoleerde logserver. Implementeer een scheiding van taken door loganalyses te eisen van CSP-medewerkers die geen andere bevoegdheden of functies hebben.

Voor de kernproducten van Atlassian zijn er controles op het gebied van functiescheiding, waaronder, maar niet beperkt tot:

• Beoordelingen van toegangsbeheer
• Beveiligingsgroepen die door HR-applicaties worden beheerd
• Goedkeuring van wijziging/peerreview/implementatie (PRGB)
• Workflowcontroles

16 - Algemeen

Om te beoordelen of het beveiligingsrisicoprofiel van de CSP toeneemt, raden we je aan om een due diligence-onderzoek uit te voeren naar leveranciers voordat je software, hardware of services aanschaft.

Nieuwe leveranciers bij Atlassian moeten in onze contracten instemmen met ons addendum en beleid voor privacy en veiligheid. De juridische en inkoopafdelingen van Atlassian beoordelen contracten, SLA's en het interne beleid van leveranciers om te bepalen of de leverancier voldoet aan de vereisten voor beveiliging, beschikbaarheid en vertrouwelijkheid. Atlassian onderhoudt deze openbare pagina: Lijst van gegevenssubverwerkers

17 - Algemeen

Gebruik de door ASD goedgekeurde cryptografische controles om zeer gevoelige gearchiveerde gegevens te beschermen. Schoon de opslagmedia op voorafgaand aan de reparatie, de verwijdering en het offboarden van een tenant die een geheimhoudingsverklaring heeft voor gegevens in resterende back-ups.

Workplace Technology zorgt voor dit proces. Apparatuur wordt op de juiste manier ontsmet en gedemagnetiseerd. Atlassian beheert geen fysieke media die hun cloudproducten en -services ondersteunen.

Harde schijven op servers die klantgegevens en bijlagen bevatten in Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Confluence Cloud, Bitbucket Cloud, Statuspage, Opsgenie en Trello gebruiken de standaard AES-256-versleuteling at rest voor de volledige schijf.

18 - Algemeen

Implementeer mechanismen voor meerdere tenants om te voorkomen dat andere tenants toegang hebben tot de gegevens van de tenant. Isoleer netwerkverkeer, opslag, geheugen en computerverwerking. Schoon de opslagmedia op voordat ze opnieuw worden gebruikt.

Atlassian is een SaaS-applicatie voor meerdere tenants. Het hebben van meerdere tenants is een belangrijk kenmerk van Atlassian Cloud waardoor meerdere klanten één installatie van de Jira- of Confluence-applicatielaag kunnen delen, terwijl de applicatiegegevens van elke tenant van de klant worden geïsoleerd. Atlassian Cloud doet dit via de Tenant Context Service (TCS). Elke gebruikers-ID is gekoppeld aan precies één tenant, die vervolgens wordt gebruikt voor toegang tot de Atlassian Cloud-applicaties. Voor meer informatie, bekijk: Beveiligingsmethoden
We handhaven een logische en fysieke scheiding van productie- en ontwikkelingsomgevingen en methoden voor het isoleren van deze omgevingen.
Onze staging-omgeving is logisch gescheiden (maar niet fysiek gescheiden) en wordt beheerd onder controle- en toegangsprocessen van productiekwaliteit.

19 - Algemeen

Stel de tenant in staat om actuele back-ups uit te voeren in een formaat dat CSP-lock-in voorkomt. Als een account of cloudservice wordt beëindigd, moet je de tenant onmiddellijk op de hoogte brengen en deze persoon minstens een maand de tijd geven om diens gegevens te downloaden.

Atlassian hanteert een standaard voor gegevensbehoud en -vernietiging, die aangeeft hoe lang we verschillende soorten gegevens moeten bewaren. Gegevens worden geclassificeerd in overeenstemming met ons Atlassian-beleid inzake gegevensbeveiliging en levenscyclus van informatie, en op basis daarvan worden controles geïmplementeerd. Voor klantgegevens: na beëindiging van een Atlassian-contract worden de gegevens van een klantenteam verwijderd uit de live productiedatabase en worden alle bestandsbijlagen die rechtstreeks naar Atlassian zijn geüpload binnen 14 dagen verwijderd. De gegevens van het team blijven in versleutelde back-ups staan totdat de bewaartermijn van 60 dagen voor back-ups vervalt. Daarna worden de gegevens vernietigd in overeenstemming met ons Atlassian-beleid voor gegevensbehoud. In het geval dat een databaseherstel nodig is binnen 60 dagen na het verwijderen van de gevraagde gegevens, verwijdert het operationele team opnieuw de gegevens zo snel als redelijkerwijs mogelijk nadat het live productiesysteem volledig is hersteld. Raadpleeg voor meer informatie: opslag bijhouden en gegevens verplaatsen tussen producten

20 - Algemeen

Klanten van Atlassian blijven verantwoordelijk om ervoor te zorgen dat hun gebruik van onze service in overeenstemming is met de toepasselijke wet- en regelgeving. Meer informatie over onze specifieke juridische overeenkomsten en beleidsregels is beschikbaar op onze pagina met juridische bronnen: https://www.atlassian.com/legal

21 - Algemeen

Ondersteun voldoende hoge bandbreedte, lage latentie en betrouwbare netwerkconnectiviteit tussen de tenant en de cloudservice om te voldoen aan het geclaimde beschikbaarheidsniveau zoals vereist door de tenant.

We controleren alle Cloud-installaties op prestaties en beschikbaarheid, maar we bieden momenteel geen formele SLA voor de beschikbaarheid van applicaties. Ons supportteam biedt een SLA voor de eerste reactietijd, en hoewel we geen officiële SLA voor het oplossen hebben, is ons interne doel om alle toegewezen gevallen binnen 48 uur op te lossen. Atlassian toont hier de statistieken over de status van ons laatste Cloud-systeem: https://status.atlassian.com

Als je ervoor kiest om gebruik te maken van ons Premium- of Enterprise-aanbod, zo ja, dan bieden we SLA-garanties.

22 - Algemeen

Architect om te voldoen aan het geclaimde beschikbaarheidsniveau zoals vereist door de tenant, bijv. minimale enkelvoudige foutpunten, clustering en load-balancing, gegevensreplicatie, geautomatiseerde failover en realtime beschikbaarheidsmonitoring.

Voor onze Atlassian Cloud-services worden plannen voor Bedrijfscontinuïteit en Disaster Recovery minstens elk kwartaal getest. De beschikbaarheid in meerdere regio's wordt in realtime gemonitord. Elke week worden er geautomatiseerde regio-failover-tests uitgevoerd in een preproductieomgeving. Tijdens de productie worden dagelijks geautomatiseerde tests voor het herstellen van configuratiegegevens uitgevoerd.

Bij alle services van Atlassian wordt elk kwartaal het herstelvermogen getest van de Beschikbaarheidszone in de preproductieomgeving. Voor meer informatie over ons programma voor bedrijfscontinuïteit, zie: https://www.atlassian.com/trust/security/security-practices#faq-d323ae61-59b8-4ddb-96d4-30716b603e3e.

Onze Disaster Recovery-plannen worden getest en gevalideerd door onze externe auditors als onderdeel van ons nalevingsprogramma. Ga voor meer informatie naar: https://www.atlassian.com/trust/compliance/resources.

23 - Algemeen

Ontwikkel en test jaarlijks een Disaster Recovery- en Bedrijfscontinuïteitsplan om te voldoen aan het geclaimde beschikbaarheidsniveau zoals vereist door de tenant, bijv. uitgevaardigd voor incidenten die leiden tot blijvend verlies van CSP-personeel of -infrastructuur.

Er is een beleid en een plan voor Bedrijfscontinuïteit en Disaster Recovery van kracht; deze worden jaarlijks herzien door de stuurgroep voor Bedrijfscontinuïteit/Disaster recovery. Eigenaren van bedrijfskritieke systemen en processen en service-eigenaren moeten zorgen voor goede Bedrijfscontinuïteit en/of Disaster Recovery (BCDR) in overeenstemming met de tolerantie voor verstoring in geval van een ramp. BCDR-plannen worden elk kwartaal getest en alle geïdentificeerde issues worden opgelost. Zie Beveiligingspraktijken en De aanpak van Atlassian voor veerkracht voor meer informatie.

24 - Algemeen

Implementeer maatregelen voor beperking van denial-of-service om te voldoen aan het geclaimde beschikbaarheidsniveau, zoals vereist door de tenant, bijv. redundante externe en interne netwerkconnectiviteit met hoge bandbreedte met verkeersbeperking en filtering.

Atlassian Security Engineering maakt gebruik van IPS-technologieën die in onze kantooromgevingen worden geïmplementeerd. De bescherming tegen netwerkbedreigingen wordt uitgevoerd door AWS, waaronder DDoS-bescherming en enkele firewallfuncties voor webtoepassingen.

Wat specifieke producten betreft, gebruikt Jira Align Cloudflare voor WAF, DDOS en DNS-SEC. We gebruiken Alert Logic IDS, loganalyse en cloudtrail. We gebruiken Nexpose voor het scannen van gedeelde netwerkcomponenten met de Atlassian Cloud Stack. We maken gebruik van een aangepaste Splunk-loganalyse.

25 - Algemeen

Zorg voor infrastructuurcapaciteit en responsieve geautomatiseerde schaalbaarheid om te voldoen aan het geclaimde beschikbaarheidsniveau, zoals vereist door de tenant.

Atlassian plant zijn capaciteit 6-12 maanden van tevoren en strategische planning op hoog niveau duurt 36 maanden.

SLA/SLO's: Atlassian-systemen zijn het eens geworden over doelstellingen voor hun operationele kenmerken
(1) alle systemen hebben een reeks SLO's die gekoppeld zijn aan de kerncapaciteiten van die systemen
(2) die SLO's worden regelmatig op kwartaalbasis (of vaker) beoordeeld
(3) sommige Atlassian-klanten krijgen SLA's aangeboden voor services die door Atlassian worden geleverd. Deze SLA's moeten worden ondersteund door interne SLO's.
(4) Een team dat een of meer SLO's niet haalt, moet prioriteit geven aan de inspanningen om de statistiek te herstellen voordat er ander werk wordt uitgevoerd.

26 - Algemeen

Stel de tenant in staat om de kosten van een echte piek in de vraag of een denial-of-service te beheersen door middel van contractuele uitgavenlimieten, realtime waarschuwingen en configureerbare maximumlimieten voor het gebruik van de infrastructuurcapaciteit van de CSP.

Voor ons SaaS-aanbod factureren we klanten niet op basis van gebruik. We delen momenteel geen capaciteits- of gebruikersrapporten met tenants.

27 - Algemeen

Gebruik door het bedrijf goedgekeurde en beveiligde computers, jump-servers, speciale accounts, sterke wachtwoordzinnen en meervoudige authenticatie om klantenondersteuning te bieden en cloudservices en -infrastructuur te beheren.

Werknemers zijn verplicht om 2FA af te dwingen, indien beschikbaar, en een wachtwoordbeheerder te gebruiken met willekeurige, veilige wachtwoorden. Geautoriseerde werknemers hebben toegang tot de productieomgeving door zich te authenticeren bij de VPN met behulp van unieke sterke wachtwoorden en op TOTP gebaseerde 2FA. Zij hebben dan alleen toegang via ssh-terminalverbindingen met behulp van persoonlijke RSA-certificaten die met een wachtwoord zijn beveiligd. SSO, SSH 2FA VPN zijn allemaal vereist.

28 - Algemeen

Gebruik door ASD goedgekeurde cryptografische controles om toegangsgegevens en administratieve activiteiten onderweg te beschermen via onveilige communicatiekanalen tussen het datacenter van de CSP en het personeel van de CSP-beheerder/klantenondersteuning.

Alle klantgegevens in Atlassian-cloudproducten en -services worden met behulp van Transport Layer Security (TLS) 1.2+ met Perfect Forward Secrecy (PFS) onderweg versleuteld bij openbare netwerken. Zo wordt ongeautoriseerde openbaarmaking of verandering voorkomen. Dankzij onze implementatie van TLS zijn sterke versleuteling en sleutellengtes verplicht, waar deze ondersteund worden door de browser.

Harde schijven op servers die klantgegevens en bijlagen bevatten in Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie en Trello gebruiken de standaard AES-256-versleuteling voor de volledige schijf in rust.

Voor versleuteling in rust versleutelen we met name klantgegevens die op een schijf zijn opgeslagen, zoals gegevens van Jira-issues (details, opmerkingen, bijlagen) of gegevens van de Confluence-pagina's (pagina-inhoud, opmerkingen, bijlagen). Gegevensversleuteling in rust biedt bescherming tegen ongeautoriseerde toegang en zorgt ervoor dat gegevens alleen toegankelijk zijn voor geautoriseerde functies en diensten met gecontroleerde toegang tot de versleutelingscodes.

Atlassian gebruikt de AWS Key Management Service (KMS) voor sleutelbeheer. De processen voor versleuteling, ontsleuteling en sleutelbeheer worden regelmatig intern geïnspecteerd en geverifieerd door AWS als onderdeel van hun bestaande interne validatieprocessen. Er wordt een eigenaar toegewezen aan iedere sleutel. Deze eigenaar zorgt ervoor dat het juiste niveau van beveiligingscontroles wordt toegepast op de sleutels.

29 - Algemeen

Implementeer netwerksegmentatie en -segregatie [20] tussen het internet, de CSP-infrastructuur die door tenants wordt gebruikt, het netwerk dat de CSP gebruikt voor het beheer van cloudservives en -infrastructuur, en het bedrijfs-LAN van de CSP.

Klantgegevens mogen nooit worden gereproduceerd buiten de productieomgeving, die wordt opgeslagen op de beveiligde servers van AWS. Er gelden strikte firewallregels, waardoor de toegang tot de productieomgeving tot ons VPN-netwerk en geautoriseerde systemen wordt beperkt. VPN vereist meervoudige verificatie. Voor de kernproducten van Atlassian zijn er controles op het gebied van functiescheiding, waaronder, maar niet beperkt tot:

• Beoordelingen van toegangsbeheer
• Beveiligingsgroepen die door HR-applicaties worden beheerd
• Goedkeuring van wijziging/peerreview/implementatie (PRGB)
• Workflowcontroles

30 - Algemeen

Gebruik veilige programmeermethoden voor software die is ontwikkeld door de CSP [21] [22] [23].

Atlassian hanteert veilige ontwikkelingsmethoden in alle fasen van de ontwikkelingscyclus. Zie: Beveiliging tijdens softwareontwikkeling bij Atlassian voor meer informatie.

Tijdens de ontwerpfase worden praktijken als dreigingsmodellering, ontwerpbeoordeling en onze regelmatig bijgewerkte bibliotheek met beveiligingsnormen ingezet. Deze zorgen ervoor dat er rekening wordt gehouden met de juiste beveiligingsvereisten.

Tijdens de ontwikkeling vertrouwen we op een verplicht peer review-proces als eerste lijn van beveiligingsbeoordeling. Dit proces wordt ondersteund door geautomatiseerde statische analysecontroles (SAST) en handmatige beveiligingstests (zowel door interne teams als externe experts, zoals bepaald door ons risicobeoordelingsproces). De ontwikkeling wordt ook ondersteund door trainingsprogramma's voor applicatiebeveiliging en een kennisdatabase voor beveiliging die wordt onderhouden door het beveiligingsteam.

Formele operationele gereedheid en veranderingscontroleprocessen zorgen er vervolgens voor dat alleen goedgekeurde wijzigingen in productie worden geïmplementeerd. Na de implementatie maken we regelmatig gebruik van geautomatiseerde kwetsbaarheidscans en een toonaangevend bug bounty-programma (https://bugcrowd.com/atlassian) om continue zekerheid van onze applicaties te bieden.

31 - Algemeen

Voer veilige configuratie, doorlopend kwetsbaarheidsbeheer, snelle patching, jaarlijkse externe beveiligingsbeoordelingen en penetratietests uit van cloudservices en onderliggende infrastructuur.

We schakelen externe adviesbureaus in om jaarlijkse penetratietests uit te voeren op extern gerichte applicaties. We vullen deze tests ook aan met kleinere, doorlopende beveiligingstests, uitgevoerd door ons interne beveiligingstestteam. De beoordelingsbrieven voor deze penetratietests zijn hier te vinden, samen met meer informatie over ons testproces: Hoe wij externe beveiligingstests aanpakken

Daarnaast werken we samen met BugCrowd om een Bug Bounty-programma te onderhouden, om doorlopende kwetsbaarheidsbeoordelingen uit te voeren van onze openbaar verkrijgbare producten en services. Het programma is beschikbaar op: https://bugcrowd.com/atlassian. We delen de lopende pentestresultaten van ons Bug Bounty-programma op: Hoe wij externe beveiligingstests aanpakken

Alle gevonden kwetsbaarheden zijn onderworpen aan ons beleid voor het oplossen van beveiligingsbugs, waarin Service Level Objectives (SLO's) worden gedefinieerd. Deze worden berekend op basis van de ernstniveaus voor elk beveiligingsprobleem. De tijdskaders voor probleemoplossing hiervoor en meer informatie over het beleid zijn te vinden op: Beveiligingsbugfixbeleid Details over ons programma voor kwetsbaarheidsbeheer zijn te vinden op: Kwetsbaarheidsbeheer bij Atlassian

Voor meer informatie over hoe we beveiliging integreren in onze ontwikkelingspraktijken, zie: Beveiliging tijdens softwareontwikkeling bij Atlassian

32 - Algemeen

Train al het CSP-personeel, met name beheerders, bij aanvang van hun dienstverband en jaarlijks om de gegevens van tenants te beschermen, de beschikbaarheid van cloudservices te handhaven en proactief beveiligingsincidenten te identificeren, bijv. via een snelle loganalyse.

Atlassian biedt informatiebeveiligingstrainingen als onderdeel van een onboardingtraining ('Rocketfuel') voor nieuwe medewerkers en doorlopend voor al het personeel. Kandidaten en contractanten moeten een vertrouwelijkheidsovereenkomst ondertekenen voordat ze bij het bedrijf kunnen beginnen. In het geval van een technologische verandering of een andere grote verschuiving, worden cursussen beschikbaar gesteld en aangekondigd aan bestaande werknemers via ons intranet.

Naast deze algemene informatiebeveiligingstraining worden onze ontwikkelaars gerichter getraind op het gebied van veilig coderen. Deze wordt ondersteund door ons programma voor geïntegreerde beveiligingsingenieurs. Atlassian geeft ook doorlopende actuele trainingen over malware, phishing en andere beveiligingsproblemen. Personeel en contractanten van Atlassian zijn onderworpen aan identificatie en verificatie van de geschiktheid van werknemers.

1 - IaaS

Zorg voor netwerktoegangscontroles waarmee de tenant netwerksegmentatie en -segregatie kan implementeren [25], waaronder een netwerkfiltermogelijkheid om extern beheer van diens VM's niet toe te staan, behalve vanaf het eigen IP-adres.

Dit is niet van toepassing. Atlassian is een SaaS-provider.

2 - IaaS

Voorzie de tenant van veilig geconfigureerde en gepatchte VM-sjabloonafbeeldingen. Vermijd het toekennen van een zwak administratief wachtwoord aan nieuw geregistreerde VM's.

Dit is niet van toepassing. Atlassian is een SaaS-provider.

1 - PaaS

Versterk en configureer de software voor het besturingssysteem, de webserver en het platform op een veilige manier. Beperk de inkomende en uitgaande netwerkconnectiviteit tot alleen de vereiste poorten/protocollen. Voer onmiddellijk patching en logboekanalyses uit.

Dit is niet van toepassing. Atlassian is een SaaS-provider.

1 - SaaS

Implementeer specifieke besturingselementen voor de cloudservice, bijvoorbeeld voor e-mails die als een service worden geleverd, en bied functies zoals het filteren van inhoud met geautomatiseerde dynamische analyse van e-mails en e-mailbijlagen.

Dit is inbegrepen in onze producten. Atlassian maakt gebruik van Proofpoint (https://www.proofpoint.com/au/products/email-protection) om bijlagen te scannen en URL's te herschrijven om pogingen tot phishing tegen te gaan. Atlassian maakt ook gebruik van ingebouwde e-mailbeveiliging in Google G-Suite (diensten voor cloudbeveiliging en gegevensbescherming)

2 - SaaS

Implementeer algemene controles [26], bijv. beperkte inkomende en uitgaande netwerkconnectiviteit enkel voor de vereiste poorten/protocollen, antivirussoftware die dagelijks wordt bijgewerkt, systemen voor inbraakpreventie en onmiddelijke logboekanalyse.

Niet van toepassing. Bij Atlassian hebben we geen antimalware op de productieservers, omdat deze enkel kunnen worden overschreven door onze CI/CD-pipeline. De applicatieservices van Atlassian die Jira Cloud of Confluence Cloud hosten, hosten enkel de applicatiecode en niets anders. De servers van Jira en Confluence Cloud kunnen enkel worden overschreven door de implementatie-pipeline of de CI/CD-pipeline van Atlassian.

Alle content die door klanten is gegenereerd, wordt opgeslagen op de databaseservers of RDS. Alle bijlagen of andere items worden opgeslagen in een algemene Media Services-service, die in feite een front-end is voor een S3-bucket. Het team van Atlassian dat misbruik tegengaat kan bijlagen die geïdentificeerd zijn als malware of ander ongewenst materiaal in Media Services verwijderen. Er wordt echter niet actief op malware gescand. We vertrouwen op onze mogelijkheden voor eindpuntdetectie en op de detectie van malware door klanten.

Atlassian gebruikt Crowdstrike Falcon op alle Windows-servers. Atlassian werkt de handtekeningen van Crowdstrike dagelijks bij, waaronder alle malware waarvan de leverancier Crowdstrike op de hoogte is.