ACSC — Cloud Computing Security for Cloud Service Providers (bezpieczeństwo przetwarzania w chmurze dla dostawców usług chmurowych) — przegląd wytycznych 2023
Wyłączenie odpowiedzialności
Przedstawione wytyczne dotyczą wyłącznie sposobu, w jaki klienci korzystający z usług chmurowych w sektorze publicznym i organizacje korporacyjne uznane za podmioty regulowane przez Australian Cyber Security Center (ACSC) rozpatrują te wytyczne w odniesieniu wyłącznie do produktów Atlassian Cloud i świadczonych przez firmę usług.
Niniejszy raport ma charakter wyłącznie informacyjny i zawiera wytyczne dla klientów korzystających z usług chmurowych firmy Atlassian na temat jej zgodności z Cloud Computing Security for Cloud Service Providers (bezpieczeństwo przetwarzania w chmurze dla dostawców usług chmury). Równolegle zapewniamy dedykowany oficjalny dokument Wspólna odpowiedzialność, w którym omówiono różne obowiązki spoczywające na CSP i klientach. Model wspólnej odpowiedzialności nie zwalnia klientów korzystających z produktów Atlassian Cloud z odpowiedzialności ani nie eliminuje ryzyka, które ponoszą, jednak pomaga ich odciążyć, ponieważ to my zarządzamy komponentami systemu i je kontrolujemy, a także sprawujemy fizyczną kontrolę nad obiektami. Ponadto w ten sposób część kosztów związanych z zapewnianiem bezpieczeństwa i zgodności z przepisami zostaje przeniesiona z klientów na firmę Atlassian.
Więcej informacji o naszym zobowiązaniu do ochrony danych klientów można znaleźć na naszej stronie Praktyk bezpieczeństwa.
Ryzyko | Odniesienie | Ograniczanie ryzyka | Odpowiedź Atlassian |
---|---|---|---|
Najskuteczniejsze środki ograniczania ryzyka, które mają zastosowanie do wszystkich rodzajów usług chmurowych | |||
Ogólny brak zachowania poufności, integralności i dostępności danych dzierżawcy | Odniesienie 1 — Ogólne | Ograniczanie ryzyka Ocena usługi chmurowej i podstawowej infrastruktury (wyraźnie odnosząca się do środków ograniczania ryzyka w niniejszej publikacji) w stosunku do ISM [1] na odpowiednim poziomie klasyfikacji wymaganym do przetwarzania danych dzierżawcy. | Odpowiedź Atlassian Atlassian dysponuje solidnymi mechanizmami zapewniającymi zgodność z Zasadami ramowymi dotyczącymi ochrony prywatności danych, możliwość odwołania się dla osób dotkniętych nieprzestrzeganiem niniejszych Zasad oraz konsekwencje ich nieprzestrzegania. Dokonujemy tego przez okresową i doraźną samoocenę, a w razie potrzeby także okresowe audyty zewnętrzne i przeglądy zgodności. W szczególności corocznie współpracujemy z firmą TrustArc, dostawcą zewnętrznym, który poświadcza, że nasze praktyki dotyczące prywatności są zgodne z Zasadami ramowymi ochrony prywatności danych. Stoi on za naszą certyfikacją własną, a także świadczy niezależne usługi mediacji w sporach w przypadku skarg klientów związanych z ochroną prywatności. Śledzimy i monitorujemy również zgodność ze zgłoszeniami Jira, które mogą być wykorzystane jako ścieżka audytu, wraz z naszymi ocenami własnymi, audytami zewnętrznymi / przeglądami zgodności oraz wszelkimi planami naprawczymi, które opracowujemy od czasu do czasu. Monitorujemy praktyki przetwarzania danych i prowadzimy program dotyczący naruszeń prywatności danych w celu śledzenia incydentów/naruszeń związanych z prywatnością danych. |
| Odniesienie 2 — Postanowienia ogólne | Ograniczanie ryzyka Wdrażanie zarządzania bezpieczeństwem obejmujące wskazywanie kierunków i koordynowanie przez kierownictwo wyższego szczebla działań związanych z bezpieczeństwem, w tym skuteczne zarządzanie zmianami, a także posiadanie pracowników o kwalifikacjach technicznych na określonych stanowiskach związanych z bezpieczeństwem. | Odpowiedź Atlassian Dyrektorem ds. bezpieczeństwa informacji (CISO) w firmie Atlassian jest Bala Sathiamurthy, który pracuje w naszym biurze w San Francisco, a nasz zespół ds. bezpieczeństwa obejmuje ponad 230 członków rozsianych po zespołach ds. bezpieczeństwa produktów, wykrywania i reagowania, architektury bezpieczeństwa, zaufania, ryzyka i zgodności oraz zespołach programistycznych i inżynierii niezawodności lokacji w naszych biurach w Sydney, Amsterdamie, Austin, Bengarulu, Mountain View, San Francisco i Nowym Jorku, a także wielu członków zespołów zdalnych. |
| Odniesienie 3 — Postanowienia ogólne | Ograniczanie ryzyka Wdrażanie i corocznie testowanie planu reagowania na incydenty dotyczące cyberbezpieczeństwa, zapewniającego dzierżawie dane kontaktowe w nagłych wypadkach, możliwość dostępu do zwykle niedostępnych dla niej dowodów kryminalistycznych oraz powiadamianie o incydentach. | Odpowiedź Atlassian Mamy udokumentowane Politykę i Plan reagowania na incydenty dotyczące bezpieczeństwa, których najważniejsze zasady są następujące:
|
Dane dzierżawy zagrożone podczas transportu przez złośliwą stronę trzecią | Odniesienie 4 — Postanowienia ogólne | Ograniczanie ryzyka Wspieranie i używanie zatwierdzonych przez ASD kontroli kryptograficznych w celu ochrony danych w transporcie między dzierżawą a dostawcą usług w chmurze (CSP), np. sieci VPN z zabezpieczeniami TLS lub IPsec w warstwie aplikacji z zatwierdzonymi algorytmami, długością klucza i zarządzaniem kluczami. | Odpowiedź Atlassian Wszystkie dane klientów przechowywane w produktach i usługach Atlassian Cloud są szyfrowane w trakcie przesyłania przez sieci publiczne przy użyciu protokołu Transport Layer Security (TLS) 1.2+ z doskonałym utajnianiem z wyprzedzeniem (ang. Perfect Forward Secrecy, PFS) w celu ochrony przed nieupoważnionym ujawnieniem lub modyfikacją. Nasza implementacja protokołu TLS wymusza stosowanie silnych szyfrów i odpowiednich długości kluczy, jeśli są obsługiwane przez przeglądarkę. |
Odniesienie 5 — Postanowienia ogólne | Ograniczanie ryzyka Korzystanie z zatwierdzonych przez ASD kontroli kryptograficznych w celu ochrony danych przesyłanych między centrami danych CSP za pośrednictwem niezabezpieczonych kanałów komunikacji, takich jak publiczna infrastruktura internetowa. | Odpowiedź Atlassian Atlassian stosuje zasady szyfrowania i kryptografii oraz wytyczne dotyczące ich wdrażania. Niniejsza polityka jest corocznie weryfikowana i aktualizowana zgodnie z naszym programem zarządzania zasadami (Policy Management Program, PMP). Aby uzyskać więcej informacji, zobacz: Atlassian Trust Management System (ATMS) | |
Odniesienie 6 — Postanowienia ogólne | Ograniczanie ryzyka Wsparcie i korzystanie z zatwierdzonych przez ASD kontroli kryptograficznych w celu ochrony danych podczas magazynowania na nośniku pamięci podczas transportu za pośrednictwem poczty/kuriera między dzierżawą a CSP w przypadku przesyłania danych w ramach procesów, takich jak on-boarding lub off-boarding. | Odpowiedź Atlassian Wszystkie dane klientów przechowywane w produktach i usługach Atlassian Cloud są szyfrowane w trakcie przesyłania przez sieci publiczne przy użyciu protokołu Transport Layer Security (TLS) 1.2+ z doskonałym utajnianiem z wyprzedzeniem (ang. Perfect Forward Secrecy, PFS) w celu ochrony przed nieupoważnionym ujawnieniem lub modyfikacją. Nasza implementacja protokołu TLS wymusza stosowanie silnych szyfrów i odpowiednich długości kluczy, jeśli są obsługiwane przez przeglądarkę. | |
Dane uwierzytelniające konta usługi w chmurze dzierżawy zagrożone przez złośliwą stronę trzecią [2] [3] [4] [5] | Odniesienie 7 — Postanowienia ogólne | Ograniczanie ryzyka Zapewnienie zarządzania tożsamością i dostępem, np. uwierzytelnianie wieloskładnikowe i role konta z różnymi uprawnieniami [6], aby dzierżawa mogła korzystać z usługi w chmurze i administrować nią za pośrednictwem panelu sterowania witryny CSP i interfejsu API. | Odpowiedź Atlassian Tak. W przypadku Confluence, Jira uwierzytelnianie wieloskładnikowe jest dostępne dla poszczególnych kont. Aby uzyskać więcej informacji na temat włączania uwierzytelniania wieloskładnikowego, zobacz: Wymuszanie weryfikacji dwuetapowej |
Odniesienie 8 — Postanowienia ogólne | Ograniczanie ryzyka Wspieranie i używanie zatwierdzonych przez ASD kontroli kryptograficznych w celu ochrony danych uwierzytelniających i działań administracyjnych podczas transportu, gdy dzierżawa korzysta z usługi w chmurze i administruje nią za pośrednictwem panelu sterowania witryny CSP i interfejsu API. | Odpowiedź Atlassian Wszystkie dane klientów przechowywane w produktach i usługach Atlassian Cloud są szyfrowane w trakcie przesyłania przez sieci publiczne przy użyciu protokołu Transport Layer Security (TLS) 1.2+ z doskonałym utajnianiem z wyprzedzeniem (ang. Perfect Forward Secrecy, PFS) w celu ochrony przed nieupoważnionym ujawnieniem lub modyfikacją. Nasza implementacja protokołu TLS wymusza stosowanie silnych szyfrów i odpowiednich długości kluczy, jeśli są obsługiwane przez przeglądarkę. | |
Odniesienie 9 — Postanowienia ogólne | Ograniczanie ryzyka Umożliwienie dzierżawie pobierania szczegółowych dzienników synchronizowanych w czasie i otrzymywania powiadomień w czasie rzeczywistym generowanych dla kont usługi w chmurze dzierżawy, służących do uzyskiwania dostępu do usługi w chmurze, a zwłaszcza do administrowania nią. | Odpowiedź Atlassian Dzienniki kluczowych systemów są przekazywane z każdego systemu do scentralizowanej platformy dzienników, gdzie są dostępne tylko do odczytu. Zespół ds. bezpieczeństwa Atlassian tworzy alerty na naszej platformie analizy zabezpieczeń (Splunk) i monitoruje wskaźniki pod kątem naruszeń. Nasze zespoły inżynierów ds. niezawodności lokalizacji (SRE) wykorzystują tę platformę do monitorowania problemów z dostępnością lub wydajnością. Dzienniki są przechowywane przez 30 dni w dynamicznej kopii zapasowej i przez 365 dni w kopii zapasowej offline. | |
Dane dzierżawy zagrożone przez złośliwych pracowników CSP lub złośliwą stronę trzecią | Odniesienie 10 — Postanowienia ogólne | Ograniczanie ryzyka Umożliwienie dzierżawie pobierania szczegółowych dzienników synchronizowanych w czasie i otrzymywania alertów w czasie rzeczywistym generowanych przez usługę w chmurze używaną przez dzierżawę, np. system operacyjny, serwer WWW i dzienniki aplikacji. | Odpowiedź Atlassian Korzystamy z narzędzi Casper (https://www.jamf.com) i OSQuery (https://osquery.io/) w celu zarządzania tym, co jest rejestrowane i jak długo przechowywane są dzienniki. Dzienniki są przechowywane w logicznie oddzielnym systemie, a dostęp do zapisu w dziennikach jest ograniczony do członków zespołu ds. bezpieczeństwa. W przypadku zidentyfikowania określonych czynności lub zdarzeń w dziennikach do zespołu ds. bezpieczeństwa lub centrum obsługi wysyłane są alerty. Nasza scentralizowana usługa rejestrowania (Splunk) jest zintegrowana z naszą infrastrukturą analizy zabezpieczeń w celu przeprowadzania automatycznych analiz i generowania alertów pozwalających zidentyfikować potencjalne problemy. |
Odniesienie 11 — Postanowienia ogólne | Ograniczanie ryzyka Ujawnienie krajów i jurysdykcji prawnych, w których dane dzierżawy są (lub będą w nadchodzących miesiącach) przechowywane, poddawane tworzeniu kopii zapasowych, przetwarzane i używane przez pracowników CSP w celu rozwiązywania problemów, zdalnego administrowania i obsługi klientów. | Odpowiedź Atlassian Atlassian korzysta z usług Amazon Web Services (AWS) w regionach US-East, US-West, Irlandii, Frankfurtu, Singapuru i Sydney (Confluence i Jira). Aby uzyskać więcej informacji, zobacz: Infrastruktura hostingu w chmurze | |
Odniesienie 12 — Postanowienia ogólne | Ograniczanie ryzyka Sprawdzanie przeszłości pracowników CSP proporcjonalne do poziomu dostępu do systemów i danych. Utrzymanie poświadczeń bezpieczeństwa dla personelu z dostępem do wysoce wrażliwych danych [7]. | Odpowiedź Atlassian Tak. Nowi pracownicy firmy Atlassian na całym świecie są zobowiązani do poddania się sprawdzeniu przeszłości. W przypadku pracowników podejmujących pracę w firmie Atlassian w wyniku przejęcia przeszłość sprawdza się po dacie przejęcia. Wszyscy nowi pracownicy i niezależni wykonawcy przechodzą sprawdzenie pod kątem karalności, sprawdza się również ich wykształcenie, historię zatrudnienia oraz sytuację kredytową, jeśli rola lub stanowisko tego wymagają. Kierownictwo wyższego szczebla oraz księgowi przechodzą pełne sprawdzenie przeszłości. | |
Odniesienie 13 — Postanowienia ogólne | Ograniczanie ryzyka Korzystanie z fizycznie bezpiecznych centrów danych i biur, które przechowują dane dzierżawy lub mają dostęp do danych dzierżawy [8]. Weryfikacja i rejestrowanie tożsamości wszystkich pracowników i gości. Towarzyszenie gościom, aby ograniczyć ich dostęp do danych bez upoważnienia. | Odpowiedź Atlassian Biura Atlassian podlegają wewnętrznym zasadom dotyczącym bezpieczeństwa fizycznego i środowiskowego, w tym monitorowaniu fizycznych punktów wejścia i wyjścia. Nasze partnerskie centra danych mają wiele certyfikatów zgodności. Te certyfikaty dotyczą bezpieczeństwa fizycznego, dostępności systemu, dostępu do sieci oraz sieci szkieletowej IP, aprowizacji klientów i zarządzania problemami. Dostęp do centrów danych jest ograniczony wyłącznie do upoważnionego personelu i sprawdzany przy użyciu biometrycznych mechanizmów weryfikacji tożsamości. Zabezpieczenia fizyczne obejmują: ochronę na terenie firmy, monitoring wizyjny w obwodzie zamkniętym, śluzy oraz dodatkowe środki ochrony przed włamaniem. AWS posiada wiele certyfikatów potwierdzających ochronę ich centrów danych. Informacje na temat zapewniania bezpieczeństwa fizycznego AWS można znaleźć na stronie: http://aws.amazon.com/compliance/ | |
Odniesienie 14 — Postanowienia ogólne | Ograniczanie ryzyka Ograniczenie uprzywilejowanego dostępu pracowników CSP do systemów i danych w oparciu o ich zadania [9]. Wymaganie ponownego zatwierdzania co trzy miesiące pracowników CSP wymagających uprzywilejowanego dostępu. Cofnięcie dostępu po zakończeniu zatrudnienia pracowników CSP. | Odpowiedź Atlassian Firma Atlassian ogranicza dostęp do personelu, który potrzebuje tego dostępu ze względu na swoją rolę i obowiązki. Wszystkie systemy warstwy 1 są zarządzane za pośrednictwem scentralizowanej usługi logowania jednokrotnego (SSO) oraz katalogu Atlassian. Użytkownicy otrzymują odpowiednie prawa dostępu w oparciu o te profile, sterowane za pomocą przepływu pracy z naszego systemu zarządzania HR. W przypadku dostępu do wszystkich systemów warstwy 1 firma Atlassian stosuje uwierzytelnianie wieloskładnikowe. Włączyliśmy usługę uwierzytelniania dwuskładnikowego w konsoli zarządzania usługą hipernadzorcy oraz w interfejsie API AWS, a także codzienny raport z audytu na temat wszystkich prób uzyskania dostępu do funkcji zarządzania usługą hipernadzorcy. Listy dostępu do konsoli zarządzania usługą hipernadzorcy oraz interfejsu API AWS są przeglądane co kwartał. Co 8 godzin przeprowadzamy również synchronizację naszego systemu HR i magazynu tożsamości. | |
Odniesienie 15 — Postanowienia ogólne | Ograniczanie ryzyka Szybka analiza dzienników działań pracowników CSP, które są rejestrowane na zabezpieczonym i izolowanym serwerze dzienników. Wprowadzenie podziału obowiązków przez wymaganie, aby analiza dziennika była wykonywana przez pracowników CSP, którzy nie mają innych uprawnień ani ról. | Odpowiedź Atlassian Stosowane są mechanizmy kontroli segregacji obowiązków w odniesieniu do podstawowych produktów Atlassian i obejmują one między innymi:
| |
Odniesienie 16 — Postanowienia ogólne | Ograniczanie ryzyka Przeprowadzenie badania due diligence dostawców przed uzyskaniem oprogramowania, sprzętu lub usług, aby ocenić potencjalny wzrost profilu ryzyka dla bezpieczeństwa CSP. | Odpowiedź Atlassian Nowi dostawcy Atlassian są zobowiązani do wyrażenia zgody na załącznik oraz zasady ochrony prywatności i bezpieczeństwa zawarte w naszych umowach. Zespoły prawne i zakupowe Atlassian sprawdzają umowy, umowy SLA i wewnętrzne zasady dostawców, aby określić, czy dostawca spełnia wymagania dotyczące bezpieczeństwa, dostępności i poufności. Atlassian prowadzi następującą stronę publiczną: Lista podwykonawców przetwarzania danych. | |
Odniesienie 17. — Postanowienia ogólne | Ograniczanie ryzyka Użycie zatwierdzonych przez ASD kontroli kryptograficznych, aby chronić wysoce wrażliwe dane w trakcie magazynowania. Sanityzacja nośników pamięci przed naprawą, utylizacją i wycofaniem dzierżawy za pomocą umowy o nieujawnianiu danych w pozostałych kopiach zapasowych. | Odpowiedź Atlassian Proces ten obsługuje zespół ds. technologii w miejscu pracy. Sprzęt jest poddawany sanityzacji danych i odpowiednio rozmagnesowywany. Firma Atlassian nie zarządza żadnymi nośnikami fizycznymi, które obsługują jej produkty i usługi w chmurze.Dyski serwerowe, na których są przechowywane dane i załączniki z produktów Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Confluence Cloud, Bitbucket Cloud, Statuspage, Opsgenie i Trello, są w całości szyfrowane podczas magazynowania przy użyciu metody AES-256, będącej standardem branżowym. | |
Dane dzierżawy zagrożone przez inną złośliwą/zagrożoną dzierżawę [10] [11] [12] [13] [14] [15] [16] [17] [18] | Odniesienie 18 — Postanowienia ogólne | Ograniczanie ryzyka Wdrożenie mechanizmów wielodostępu, aby zapobiec dostępowi do danych dzierżawy przez inne dzierżawy. Odizolowanie ruchu sieciowego, pamięci masowej, pamięci RAM i przetwarzania komputerowego. Sanityzacja nośników pamięci przed ich ponownym użyciem. | Odpowiedź Atlassian Atlassian to aplikacja SaaS z wielodostępem. Jedną z kluczowych cech rozwiązania Atlassian Cloud jest wielodostęp, który umożliwia wielu klientom współdzielenie jednej instancji warstwy aplikacji Jira lub Confluence, jednocześnie zapewniając odizolowanie danych aplikacji każdej dzierżawy. Atlassian Cloud realizuje to za pośrednictwem usługi TCS (Tenant Context Service). Każdy identyfikator użytkownika jest powiązany z dokładnie jedną dzierżawą, która następnie służy do uzyskania dostępu do aplikacji Atlassian Cloud. Więcej informacji można znaleźć na stronie: Praktyki dotyczące bezpieczeństwa |
Dane dzierżawcy są niedostępne z powodu uszkodzenia, usunięcia [19] lub zakończenia/zamknięcia konta lub usługi przez CSP | Odniesienie 19 — Ogólne | Ograniczanie ryzyka Umożliwienie dzierżawcy wykonywania bieżących kopii zapasowych w formacie, który pozwala uniknąć blokady CSP. W przypadku zamknięcia konta lub zakończenia usługi w chmurze należy niezwłocznie powiadomić o tym dzierżawcę i zapewnić co najmniej miesiąc na pobranie danych. | Odpowiedź Atlassian Firma Atlassian przestrzega standardów dotyczących przechowywania i niszczenia danych, które określają, jak długo musimy zatrzymywać różnego rodzaju dane. Dane są klasyfikowane zgodnie z zasadami firmy Atlassian dotyczącymi bezpieczeństwa danych i cyklu życia informacji i na tej podstawie wdrażane są środki kontroli. W przypadku danych klienta w momencie rozwiązania umowy z firmą Atlassian dane należące do zespołu klienta zostaną usunięte z aktywnej produkcyjnej bazy danych, a wszystkie pliki załączników przekazane bezpośrednio do firmy Atlassian zostaną usunięte w ciągu 14 dni. Dane zespołu zostaną zachowane w zaszyfrowanych kopiach zapasowych przez 60 dni, a następnie zniszczone zgodnie z zasadami przechowywania danych firmy Atlassian. Jeśli w ciągu 60 dni od zażądania usunięcia danych konieczne okaże się przywrócenie bazy danych, zespół odpowiedzialny za eksploatację systemów ponownie usunie dane możliwie jak najszybciej po pełnym przywróceniu aktywnego systemu produkcyjnego. Aby uzyskać więcej informacji, zobacz temat: Monitorowanie pamięci masowej i przenoszenie danych między produktami |
Dane dzierżawcy są niedostępne lub naruszone z powodu bankructwa CSP lub innych działań prawnych | Odniesienie 20 — Ogólne | Ograniczanie ryzyka Zapewnienie w umowie, że dzierżawca zachowuje prawną własność swoich danych. | Odpowiedź Atlassian Klienci Atlassian ponoszą odpowiedzialność za dopilnowanie, aby korzystanie z naszych usług odbywało się z poszanowaniem obowiązujących przepisów prawa i regulacji. Więcej informacji na temat naszych konkretnych umów prawnych i zasad można znaleźć na naszej stronie zasobów prawnych: https://www.atlassian.com/legal |
Usługa w chmurze jest niedostępna z powodu niewystarczającej łączności sieciowej CSP | Odniesienie 21 — Ogólne | Ograniczanie ryzyka Wspieranie odpowiednio wysokiej przepustowości, małych opóźnień i niezawodnej łączności sieciowej między dzierżawcą a usługą w chmurze w celu zapewnienia deklarowanego poziomu dostępności wymaganego przez dzierżawcę. | Odpowiedź Atlassian Monitorujemy wszystkie instancje Cloud pod kątem wydajności i dostępności, ale obecnie nie oferujemy formalnej umowy SLA w zakresie dostępności aplikacji. Nasz zespół wsparcia oferuje umowę SLA dotyczącą początkowego czasu odpowiedzi i choć nie mamy oficjalnych umów SLA dotyczących rozwiązywania problemów w ramach wsparcia, dążymy do rozwiązania wszystkich przypisanych przypadków w ciągu 48 godzin. Atlassian udostępnia statystyki dotyczące najnowszych danych na temat statusu systemów Cloud na stronie: https://status.atlassian.com. |
Usługa Cloud jest niedostępna z powodu błędu CSP, planowanego przestoju, awarii sprzętu lub siły wyższej | Odniesienie 22 — Ogólne | Ograniczanie ryzyka Opracowanie architektury spełniającej żądany poziom dostępności wymagany przez dzierżawcę, np. minimalne pojedyncze punkty awarii, klastrowanie i równoważenie obciążenia, replikacja danych, automatyczne przełączanie w tryb awaryjny i monitorowanie dostępności w czasie rzeczywistym. | Odpowiedź Atlassian W przypadku naszych usług Atlassian Cloud plany ciągłości działalności biznesowej i odzyskiwania awaryjnego są testowane co najmniej raz na kwartał. Dostępność w wielu regionach jest monitorowana w czasie rzeczywistym. Automatyczne testy pracy w trybie awaryjnym na poziomie regionalnym są przeprowadzane co tydzień w środowisku przedprodukcyjnym. Automatyczne testy przywracania danych konfiguracyjnych są wykonywane codziennie w środowisku produkcyjnym. |
Odniesienie 23 — Ogólne | Ograniczanie ryzyka Opracowanie i coroczne testowanie planu odzyskiwania awaryjnego i planu ciągłości działalności biznesowej w celu spełnienia żądanego poziomu dostępności wymaganego przez dzierżawcę, np. określonego na wypadek incydentów, które powodują trwałą utratę personelu lub infrastruktury CSP. | Odpowiedź Atlassian Obowiązują zasady „Zachowanie ciągłości działalności biznesowej i odzyskiwanie awaryjne” oraz „Plan odzyskiwania awaryjnego i ciągłości działalności biznesowej”. Są one co roku poddawane przeglądowi przez komitet sterujący ds. ciągłości działalności biznesowej / odzyskiwania awaryjnego. Wszyscy właściciele systemów, procesów lub usług o znaczeniu krytycznym zapewniają odpowiednią ciągłość działalności biznesowej i/lub odzyskiwanie awaryjne (BCDR) na poziomie odpowiadającym tolerancji na zakłócenia w razie awarii. Plany BCDR są testowane co kwartał, a wszelkie stwierdzone problemy są rozwiązywane. Więcej informacji można znaleźć na stronach praktyk w zakresie bezpieczeństwa i podejścia Atlassian do odporności. | |
Usługa w chmurze niedostępna z powodu rzeczywistego wzrostu zapotrzebowania lub ataku typu „odmowa usługi” ze względu na przepustowość/procesor | Odniesienie 24 — Ogólne | Ograniczanie ryzyka Wdrożenie zabezpieczeń przed atakami typu „odmowa usługi” w celu spełnienia deklarowanego poziomu dostępności wymaganego przez dzierżawcę, np. nadmiarowa łączność z siecią zewnętrzną i wewnętrzną o dużej przepustowości z ograniczaniem i filtrowaniem ruchu. | Odpowiedź Atlassian Dział bezpieczeństwa firmy Atlassian wykorzystuje technologie IPS, które są wdrożone w naszych środowiskach biurowych. Ochrona przed zagrożeniami sieciowymi jest realizowana przez AWS, co obejmuje ochronę przed atakami DDoS oraz stosowanie określonych funkcji zapór aplikacji internetowych. |
Odniesienie 25 — Ogólne | Ograniczanie ryzyka Zapewnienie potencjał infrastruktury i responsywnego automatycznego skalowania, aby spełnić deklarowany poziom dostępności wymagany przez dzierżawcę. | Odpowiedź Atlassian Atlassian planuje potencjał wykonawczy z wyprzedzeniem 6–12 miesięcy, a planowanie strategiczne na wysokim szczeblu obejmuje okres 36 miesięcy. | |
Konsekwencje finansowe rzeczywistego wzrostu zapotrzebowania lub ataku typu „odmowa usługi” ze względu na przepustowość/procesor | Odniesienie 26 — Ogólne | Ograniczanie ryzyka Umożliwienie dzierżawcy zarządzania kosztami rzeczywistego wzrostu zapotrzebowania lub ataku typu „odmowa usługi” poprzez umowne limity wydatków, alerty w czasie rzeczywistym i konfigurowalne maksymalne limity wykorzystania potencjału infrastruktury CSP. | Odpowiedź Atlassian W przypadku naszych ofert SaaS nie rozliczamy klientów zgodnie z użyciem. Obecnie nie udostępniamy dzierżawcom raportów na temat potencjału wykonawczego ani użytkowników. |
Infrastruktura CSP zagrożona przez złośliwego dzierżawcę lub złośliwą stronę trzecią | Odniesienie 27 — Ogólne | Ograniczanie ryzyka Używanie zatwierdzonych i zabezpieczonych przez firmę komputerów, serwerów przesiadkowych, dedykowanych kont, silnych haseł i uwierzytelniania wieloskładnikowego w celu zapewnienia klientom wsparcia oraz administrowania usługami i infrastrukturą w chmurze. | Odpowiedź Atlassian Pracownicy są zobowiązani do egzekwowania 2FA, gdy jest ono dostępne, i korzystania z menedżera haseł z losowymi, bezpiecznymi hasłami. Autoryzowani pracownicy uzyskują dostęp do środowiska produkcyjnego poprzez uwierzytelnianie się do sieci VPN przy użyciu unikatowych silnych haseł i 2FA opartego na TOTP, a następnie tylko za pośrednictwem połączeń terminalowych ssh przy użyciu osobistych certyfikatów RSA chronionych hasłem. SSO, SSH, 2FA, VPN są obowiązkowe. |
Odniesienie 28 — Ogólne | Ograniczanie ryzyka Używanie zatwierdzonych przez ASD kontroli kryptograficznych w celu ochrony danych uwierzytelniających i aktywności administracyjnej w trakcie przesyłania przez niezabezpieczone kanały komunikacyjne między centrum danych CSP a administratorem CSP / personelem obsługi klienta. | Odpowiedź Atlassian Wszystkie dane klientów przechowywane w produktach i usługach Atlassian Cloud są szyfrowane w trakcie przesyłania przez sieci publiczne przy użyciu protokołu Transport Layer Security (TLS) 1.2+ z doskonałym utajnianiem z wyprzedzeniem (ang. Perfect Forward Secrecy, PFS) w celu ochrony przed nieupoważnionym ujawnieniem lub modyfikacją. Nasza implementacja protokołu TLS wymusza stosowanie silnych szyfrów i odpowiednich długości kluczy, jeśli są obsługiwane przez przeglądarkę. | |
Odniesienie 29 — Ogólne | Ograniczanie ryzyka Wdrożenie segmentacji i segregacji sieci [20] między Internetem, infrastrukturą CSP używaną przez dzierżawców, siecią używaną przez CSP do administrowania usługami i infrastrukturą w chmurze oraz firmową siecią LAN CSP. | Odpowiedź Atlassian Dane klientów w żadnym wypadku nie mogą być powielane poza środowiskiem produkcyjnym, które jest przechowywane na bezpiecznych serwerach AWS. Stosowane są rygorystyczne reguły zapory, co ogranicza dostęp do środowiska produkcyjnego wyłącznie do naszej sieci VPN i autoryzowanych systemów. Dostęp do sieci VPN wymaga uwierzytelniania wieloskładnikowego. Stosowane są mechanizmy kontroli segregacji obowiązków w odniesieniu do podstawowych produktów Atlassian i obejmują one między innymi:
| |
Odniesienie 30 — Ogólne | Ograniczanie ryzyka Korzystanie z bezpiecznych praktyk programowania dla oprogramowania opracowanego przez CSP [21] [22] [23]. | Odpowiedź Atlassian Atlassian stosuje bezpieczne praktyki programistyczne na wszystkich etapach cyklu tworzenia produktów. Aby uzyskać więcej informacji, zobacz temat: Bezpieczeństwo w procesie tworzenia oprogramowania w Atlassian. | |
Odniesienie 31 — Ogólne | Ograniczanie ryzyka Przeprowadzanie bezpiecznej konfiguracji, bieżące zarządzanie lukami w zabezpieczeniach, szybkie wprowadzanie poprawek, coroczne przeglądy bezpieczeństwa przeprowadzane przez strony trzecie oraz testy penetracyjne usług w chmurze i infrastruktury bazowej. | Odpowiedź Atlassian Angażujemy zewnętrzne firmy konsultingowe w celu przeprowadzania corocznych testów penetracyjnych aplikacji skierowanych na zewnątrz. Testy te uzupełniamy również o mniejsze, ciągłe testy bezpieczeństwa przeprowadzane przez nasz zespół ds. testowania bezpieczeństwa wewnętrznego. Pisma potwierdzające przeprowadzanie tych testów penetracyjnych wraz z informacjami na temat procedury testowania można znaleźć tutaj: Podejście do zewnętrznych testów zabezpieczeń | |
Odniesienie 32 — Ogólne | Ograniczanie ryzyka Szkolenie wszystkich pracowników CSP, w szczególności administratorów, przy rozpoczęciu zatrudnienia i corocznie, w celu ochrony danych dzierżawcy, utrzymania dostępności usług w chmurze i proaktywnego identyfikowania incydentów związanych z zabezpieczeniami, np. poprzez szybką analizę dziennika. | Odpowiedź Atlassian Atlassian zapewnia szkolenia z zakresu bezpieczeństwa informacji jako element szkolenia onboardingowego („Rocketfuel”) dla nowych pracowników, a także ich ciągłość dla wszystkich pracowników. Przed rozpoczęciem pracy w firmie kandydaci i wykonawcy są zobowiązani do podpisania umowy o zachowaniu poufności. W przypadku zmiany technologii lub innej poważnej zmiany są udostępniane i ogłaszane obecnym pracownikom za pośrednictwem naszego intranetu. | |
Najskuteczniejsze środki ograniczania ryzyka szczególnie istotne dla IaaS | |||
Maszyna wirtualna (VM) dzierżawcy zagrożona przez złośliwą stronę trzecią [24] | Odniesienie 1 — IaaS | Ograniczanie ryzyka Zapewnienie środków kontroli dostępu do sieci umożliwiających dzierżawcy wdrożenie segmentacji i segregacji sieci [25], w tym funkcjonalność filtrowania sieci, aby uniemożliwić zdalne administrowanie maszynami wirtualnymi spoza adresu IP dzierżawcy. | Odpowiedź Atlassian Nie dotyczy. Atlassian jest dostawcą SaaS. |
Odniesienie 2 — IaaS | Ograniczanie ryzyka Zapewnienie dzierżawcy bezpiecznie skonfigurowanych i poprawionych obrazów szablonów maszyn wirtualnych. Zakaz przypisywania słabego hasła administracyjnego do nowo udostępnionych maszyn wirtualnych. | Odpowiedź Atlassian Nie dotyczy. Atlassian jest dostawcą SaaS. | |
Najskuteczniejsze środki ograniczania ryzyka szczególnie istotne dla PaaS | |||
Dane dzierżawcy zagrożone przez złośliwą stronę trzecią | Odniesienie 1 — PaaS | Ograniczanie ryzyka Ochrona i bezpieczna konfiguracja systemu operacyjnego, serwera WWW i oprogramowania platformy. Ograniczenie przychodzącej i wychodzącej łączności sieciową tylko do wymaganych portów/protokołów. Natychmiastowe wykonywanie poprawek i analizy dziennika. | Odpowiedź Atlassian Nie dotyczy. Atlassian jest dostawcą SaaS. |
Najskuteczniejsze środki ograniczania ryzyka szczególnie istotne dla SaaS | |||
Dane dzierżawcy zagrożone przez złośliwą stronę trzecią | Odniesienie 1 — SaaS | Ograniczanie ryzyka Wdrożenie środków kontroli specyficznych dla usługi w chmurze, np. w przypadku wiadomości e-mail dostarczanych jako usługa zapewnienie funkcji obejmujących filtrowanie treści ze zautomatyzowaną dynamiczną analizą wiadomości e-mail i załączników do wiadomości e-mail. | Odpowiedź Atlassian Zapewniamy to w naszych produktach. Usługi Atlassian korzystają z technologii Proofpoint (https://www.proofpoint.com/au/products/email-protection) do skanowania załączników i przepisywania adresów URL w celu blokowania prób phishingu. Używamy też zabezpieczeń e-mail wbudowanych w Google G Suite (Bezpieczeństwo i ochrona danych w usłudze Cloud). |
Odniesienie 2 — SaaS | Ograniczanie ryzyka Wdróż ogólne rozwiązania kontrolne [26], takie jak ograniczona łączność sieciowa przychodząca i wychodząca wyłącznie z wymaganymi portami/protokołami, codziennie aktualizowane oprogramowanie antywirusowe, systemy zapobiegania włamaniom czy błyskawiczna analiza dzienników. | Odpowiedź Atlassian Nie dotyczy. Atlassian nie stosuje ochrony przed złośliwym oprogramowaniem na swoich serwerach produkcyjnych, ponieważ zapisu na nich można dokonywać wyłącznie za pośrednictwem naszego pipeline'u CI/CD. Usługi aplikacji Atlassian obsługujące Jira Cloud i Confluence Cloud hostują wyłącznie kod aplikacji — i nic więcej. Na serwerach Jira i Confluence Cloud zapisu można dokonać wyłącznie za pośrednictwem pipeline'u wdrożeń Atlassian lub CI/CD. |