ACSC: безопасность облачных вычислений для поставщиков облачных услуг — обзор рекомендаций на 2023 год

1. Общее

Оцените облачную услугу и базовую инфраструктуру (применяя меры по снижению рисков, приведенные в этой публикации) в соответствии с рекомендациями ISM [1] на соответствующем уровне классификации, необходимом для обработки данных держателя.

В Atlassian действуют надежные механизмы, обеспечивающие соблюдение основных принципов конфиденциальности данных, и средства правовой защиты для лиц, пострадавших от несоблюдения этих принципов, а также предусмотрены меры в случае их нарушения. Для этого мы проводим периодические и специальные мероприятия по самостоятельной оценке, а также организуем внешний аудит и проверки соответствия, когда это необходимо. В частности, мы ежегодно сотрудничаем с компанией TrustArc, которая является сторонним поставщиком и подтверждает, что наши процедуры соответствуют основным принципам обеспечения конфиденциальности данных. Они поддерживают нашу самостоятельную сертификацию, а также предоставляют услуги независимого посредничества при рассмотрении жалоб клиентов, связанных с конфиденциальностью. Мы также отслеживаем и контролируем соблюдение требований с помощью заявок Jira. Их можно использовать в качестве контрольного журнала наряду с нашими программами самостоятельной оценки, внешним аудитом и проверками соответствия, а также любыми планами по исправлению, которые мы периодически составляем. Мы контролируем методы обработки данных, а также поддерживаем программу отслеживания инцидентов и нарушений, связанных с конфиденциальностью данных.

2. Общее

Внедрите управление безопасностью с участием руководителей высшего звена, направляющих и координирующих соответствующие мероприятия, в том числе эффективное управление изменениями, а также компетентных сотрудников, выполняющих определенные функции в области безопасности.

Бала Сатьямурти — директор Atlassian по ИТ-безопасности. Он работает в офисе в Сан-Франциско. В нашей команде по безопасности более 230 сотрудников: они занимаются защитой продуктов, сбором и анализом данных по безопасности, созданием архитектуры безопасности и разработкой принципов доверия, оценки рисков и обеспечения соответствия. Кроме того, есть сотрудники отдела разработки и обеспечения надежности, находящиеся в офисах в Сиднее, Амстердаме, Остине, Бангалоре, Маунтин-Вью, Сан-Франциско и Нью-Йорке, и участники команды, работающие удаленно.

3. Общее

Внедрите и ежегодно тестируйте план реагирования на инциденты в сфере кибербезопасности, чтобы предоставить держателю контактные данные на случай чрезвычайных ситуаций, доступ к судебным доказательствам (который обычно не предоставляется держателям) и уведомления об инцидентах.

Мы располагаем документированной политикой и планом реагирования на инциденты в сфере безопасности, ключевые принципы которых включают:

• Прогнозирование инцидентов в сфере безопасности и подготовку к реакции на инциденты.
• Сдерживание последствий инцидентов, их устранение и восстановление систем.
• Принятие мер, направленных на то, чтобы наши сотрудники, процессы и технологии были полностью готовы к выявлению и анализу инцидентов в сфере безопасности в случае их возникновения.
• Защиту персональных данных и данных клиентов в качестве нашей главной задачей во время инцидентов в сфере безопасности.
• Регулярную проверку процедуры реагирования на инциденты в сфере безопасности.
• Накопление опыта и совершенствование функции управления инцидентами в сфере безопасности.
• Информирование руководящей группы Atlassian о критических инцидентах в сфере безопасности.

4. Общее

Поддерживайте и применяйте криптографические решения, подтвержденные ASD, для защиты данных, передаваемых между держателем и поставщиком облачных услуг (CSP). Такие решения могут включать TLS на уровне приложений или IPsec VPN с утвержденными алгоритмами, длиной ключа и управлением ключами.

Все данные клиентов, хранящиеся в продуктах и службах Atlassian Cloud, шифруются при передаче в публичных сетях с помощью протокола TLS 1.2 (или более поздней версии) с полной безопасностью пересылки (PFS) для защиты от несанкционированного раскрытия или изменения. Наша реализация TLS обеспечивает использование криптостойких шифров и ключей нужной длины, если это поддерживается браузером.

Данные наших клиентов и вложенные файлы Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie и Trello, хранящиеся на жестких дисках наших серверов, защищены с помощью стандартного в отрасли шифрования AES-256.

При хранении мы, в частности, шифруем хранящиеся на диске данные клиентов, например данные о задачах Jira (подробности, комментарии, вложения) и данные страниц Confluence (содержимое страниц, комментарии, вложения). Шифрование данных при хранении помогает защитить их от несанкционированного доступа и обеспечивает доступ к данным только авторизованным ролям и службам с контролируемым доступом к ключам шифрования.

Для управления ключами компания Atlassian использует AWS Key Management Service (KMS). Процесс шифрования, дешифрования и управления ключами регулярно проверяется и контролируется AWS в рамках внутренних процессов валидации. Для каждого ключа назначается владелец, который отвечает за применение для него методов защиты соответствующего уровня.

5. Общее

Применяйте криптографические решения, подтвержденные ASD, для защиты данных, передаваемых между центрами обработки данных, принадлежащих поставщику облачных услуг (CSP), по незащищенным каналам связи, таким как общедоступная интернет-инфраструктура.

В Atlassian разработана и поддерживается политика шифрования и криптографии, а также используются рекомендации по ее внедрению. Эта политика ежегодно пересматривается и обновляется в соответствии с нашей Программой управления политиками (PMP). Подробнее см. в разделе Наша система Atlassian Trust Management System (ATMS).

6. Общее

Поддерживайте и применяйте криптографические решения, подтвержденные ASD, для защиты данных на носителях информации, передаваемых почтой/курьером между держателем и поставщиком облачных услуг (CSP) при обмене сведениями в рамках адаптации или увольнения персонала.

Все данные клиентов, хранящиеся в продуктах и службах Atlassian Cloud, шифруются при передаче в публичных сетях с помощью протокола TLS 1.2 (или более поздней версии) с полной безопасностью пересылки (PFS) для защиты от несанкционированного раскрытия или изменения. Наша реализация TLS обеспечивает использование криптостойких шифров и ключей нужной длины, если это поддерживается браузером.

Данные наших клиентов и вложенные файлы Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie и Trello, хранящиеся на жестких дисках наших серверов, защищены с помощью стандартного в отрасли шифрования AES-256.

При хранении мы, в частности, шифруем хранящиеся на диске данные клиентов, например данные о задачах Jira (подробности, комментарии, вложения) и данные страниц Confluence (содержимое страниц, комментарии, вложения). Шифрование данных при хранении помогает защитить их от несанкционированного доступа и обеспечивает доступ к данным только авторизованным ролям и службам с контролируемым доступом к ключам шифрования.

Для управления ключами компания Atlassian использует AWS Key Management Service (KMS). Процесс шифрования, дешифрования и управления ключами регулярно проверяется и контролируется AWS в рамках внутренних процессов валидации. Для каждого ключа назначается владелец, который отвечает за применение для него методов защиты соответствующего уровня.

7. Общее

Обеспечьте идентификацию и управление доступом, например многофакторную аутентификацию и роли аккаунтов с различными правами [6], чтобы держатель мог взаимодействовать с облачной службой посредством панели управления сайтом, принадлежащей поставщику облачных услуг (CSP), и API.

Да. Если говорить о Confluence и Jira, то многофакторная аутентификация доступна для отдельных аккаунтов. Дополнительные сведения о том, как включить многофакторную аутентификацию, см. в разделе Принудительная двухфакторная аутентификация.

BBC по-прежнему поддерживает двухфакторную аутентификацию по состоянию на февраль 2022 года, обладает интеграцией с Atlassian Access и поддерживает дополнительные функции, предлагаемые Access. Принудительную многофакторную аутентификацию можно настроить на уровне организации с помощью Atlassian Access. Дополнительные сведения см. в разделе Принудительная двухфакторная аутентификация.

Информация о конкретных продуктах. В Bitbucket поддерживается использование разных вариантов SSO на основе MFA. Дополнительные сведения см. в разделе Принудительная двухфакторная аутентификация | Bitbucket Cloud

В Halp используется система единого входа через Slack OAuth и MS Teams. Slack и MS Teams предоставляют несколько вариантов многофакторной аутентификации. Дополнительные сведения см. в разделах Система единого входа на базе SAML и Azure AD Connect: простая система единого входа.
В Opsgenie поддерживается использование разных вариантов SSO на основе MFA. Дополнительные сведения см. в разделе Настройка SSO для Opsgenie.
В Statuspage поддерживается использование разных вариантов SSO на основе MFA.
В Trello поддерживается многофакторная аутентификация. Дополнительные сведения о том, как включить многофакторную аутентификацию, см. в разделе «Включение двухфакторной аутентификации для аккаунта Trello». В Jira Align поддерживается использование разных вариантов SSO на основе MFA.

8. Общее

Поддерживайте и применяйте криптографические решения, подтвержденные ASD, для защиты учетных данных и сведений об административной деятельности при передаче, когда держатель взаимодействует с облачной службой посредством панели управления сайтом, принадлежащей поставщику облачных услуг (CSP), и API.

Все данные клиентов, хранящиеся в продуктах и службах Atlassian Cloud, шифруются при передаче в публичных сетях с помощью протокола TLS 1.2 (или более поздней версии) с полной безопасностью пересылки (PFS) для защиты от несанкционированного раскрытия или изменения. Наша реализация TLS обеспечивает использование криптостойких шифров и ключей нужной длины, если это поддерживается браузером.

Данные наших клиентов и вложенные файлы Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie и Trello, хранящиеся на жестких дисках наших серверов, защищены с помощью стандартного в отрасли шифрования AES-256.

При хранении мы, в частности, шифруем хранящиеся на диске данные клиентов, например данные о задачах Jira (подробности, комментарии, вложения) и данные страниц Confluence (содержимое страниц, комментарии, вложения). Шифрование данных при хранении помогает защитить их от несанкционированного доступа и обеспечивает доступ к данным только авторизованным ролям и службам с контролируемым доступом к ключам шифрования.

Для управления ключами компания Atlassian использует AWS Key Management Service (KMS). Процесс шифрования, дешифрования и управления ключами регулярно проверяется и контролируется AWS в рамках внутренних процессов валидации. Для каждого ключа назначается владелец, который отвечает за применение для него методов защиты соответствующего уровня.

9. Общее

Разрешите держателю загружать подробные синхронизированные по времени журналы и получать оповещения в реальном времени для аккаунтов держателя в облачной службе, которые используются для доступа к службе, в частности для ее администрирования.

Основные системные журналы передаются из каждой системы на централизованную платформу журналов, причем они доступны только для чтения. Команда по обеспечению безопасности Atlassian создает оповещения на нашей платформе аналитики безопасности (Splunk) и отслеживает признаки угрозы. С помощью этой платформы наши команды по обеспечению надежности отслеживают проблемы, влияющие на доступность и производительность. Журналы хранятся в течение 30 дней в архивах «горячего» резервирования и в течение 365 дней в архивах «холодного» резервирования.

Подробные сведения об основных журналах см. в разделе Отслеживание деятельности организации с помощью журнала.

10. Общее

Разрешите держателю загружать подробные синхронизированные по времени журналы и получать оповещения в реальном времени, генерируемые облачной службой, которую использует держатель, например журналы операционной системы, веб-сервера и приложений.

Мы можем выбирать, какие данные записать в журналы и как долго эти журналы следует хранить. Для этого используются Casper (https://www.jamf.com) и osquery (https://osquery.io/). Журналы хранятся в логическом разделе системы, а доступ на запись в них предоставляется только участникам команды по обеспечению безопасности. При обнаружении в журналах определенных действий или событий сотрудники команды по обеспечению безопасности или службы поддержки получают оповещения. Наш централизованный сервис ведения журналов (Splunk) встроен в инфраструктуру аналитики безопасности, тем самым реализуя возможность автоматического анализа и оповещения для выявления потенциальных проблем.

Наши внутренние и внешние средства обнаружения уязвимостей способны отправлять оповещения обо всех открытых без видимой причины портах или других изменениях конфигурации (например, о профилях TLS серверов прослушивания). При обнаружении в журналах определенных действий или событий сотрудники команды по обеспечению безопасности или службы поддержки получают оповещения.

11. Общее

Раскрывайте информацию о странах и правовых юрисдикциях, в которых данные держателя хранятся (или будут храниться в течение ближайших месяцев), добавляются к резервным копиям, обрабатываются и к которым получают доступ сотрудники CSP для устранения неполадок, удаленного администрирования и поддержки клиентов.

Компания Atlassian использует решения Amazon Web Services (AWS) в следующих регионах: Восток США, Запад США, Ирландия, Франкфурт, Сингапур и Сидней (Confluence и Jira). Дополнительные сведения см. в разделе Инфраструктура облачного хостинга.

Информация о конкретных продуктах. Решение Trello доступно в AWS в регионе «Восток США» (штат Огайо). Jira Align: физическое местоположение клиентских данных можно запросить, обратившись в службу поддержки. См. раздел Служба поддержки Jira Align.

Сервис Statuspage доступен в регионах AWS «Запад США» (штаты Орегон, Калифорния) и «Восток США» (штат Огайо). У Opsgenie есть аккаунты AWS как в США, так и в Европе. При регистрации клиент должен выбрать в AWS регион «США» (штаты Орегон, Калифорния) или «ЕС» (Франкфурт).

Сервис Halp размещен в AWS в регионах «Восток-2 США» и «Запад-2 США». Репозитории Bitbucket и основные функции приложений размещены в AWS в регионах «Восток США» и «Запад США».

12. Общее

Проводите проверку биографии сотрудников CSP в соответствии с уровнем их доступа к системам и данным. Следите за допуском сотрудников, имеющих доступ к особо конфиденциальным данным [7].

Новые сотрудники Atlassian по всему миру проходят проверку биографии в обязательном порядке. Сотрудники, перешедшие в компанию в результате поглощения, проходят такую проверку после даты поглощения. Проверку отсутствия судимости проходят все сотрудники и независимые подрядчики. Сведения об образовании и опыте работы, а также кредитная история сотрудника проверяются, если того требует уровень должности или характер выполняемой работы. Мы проводим полную проверку биографических данных руководителей высшего звена и бухгалтеров.

13. Общее

Используйте физически защищенные центры обработки данных и офисы в случае, если в них хранятся данные держателей или есть доступ к этим данным [8]. Проверяйте и регистрируйте всех сотрудников и посетителей. Сопровождайте посетителей, чтобы предотвратить несанкционированный доступ к данным.

В офисах Atlassian следуют внутренней политике обеспечения физической защиты и безопасности среды, в которой, помимо прочего, описывается порядок мониторинга физических точек входа и выхода. Для подтверждения соответствия требованиям наши партнеры, предоставляющие центры обработки данных, проходят множество сертификаций. Они касаются физической защиты, доступности системы, доступа к сети и IP-магистрали, подготовки клиентских аккаунтов и управления проблемами. Доступ к центрам обработки данных осуществляется только уполномоченным персоналом после биометрической аутентификации. Меры физической безопасности включают охрану на месте, видеонаблюдение по замкнутому контуру, ловушки и дополнительные меры защиты от вторжения. AWS обладает множеством сертификатов, относящихся к защите собственных центров обработки данных. Подробнее об обеспечении физической защиты на объектах AWS см. на странице http://aws.amazon.com/compliance/.

14. Общее

Ограничивайте привилегированный доступ сотрудников CSP к системам и данным в зависимости от их рабочих задач [9]. Требуйте повторного подтверждения каждые три месяца для сотрудников CSP, которым требуется привилегированный доступ. Запрещайте доступ сотрудникам CSP после их увольнения.

В Atlassian ограничен круг сотрудников, которым необходим этот уровень доступа для выполнения работы и исполнения обязанностей. Для управления всеми системами 1-го уровня используется централизованное решение Atlassian, за счет которого реализована система единого входа (SSO) и каталоги пользователей. Пользователям предоставляются права доступа на основании этих профилей, которые формируются рабочим процессом в нашей системе управления кадрами. Для доступа ко всем системам 1-го уровня используется многофакторная аутентификация. Для доступа к консоли управления гипервизором и API AWS нужно пройти двухфакторную аутентификацию. Кроме того, ежедневно составляется отчет о проверке, в котором содержатся данные обо всех случаях получения доступа к функциям управления гипервизором. Списки доступа к консоли управления гипервизором и API AWS пересматриваются ежеквартально. Синхронизация между системой управления кадрами и хранилищем учетных данных происходит каждые 8 часов.

15. Общее

Оперативно анализируйте журналы действий сотрудников CSP, которые регистрируются на защищенном и изолированном сервере журналов. Внедрите разделение обязанностей: требуйте, чтобы анализ журналов выполнялся сотрудниками CSP, не имеющими других привилегий или должностных обязанностей.

В основных продуктах Atlassian предусмотрены средства контроля за разделением обязанностей, в том числе:

• Проверка средств управления доступом.
• Группы безопасности, контролируемые приложением по управлению персоналом.
• Подтверждение, экспертная оценка и реализация изменений (PRGB).
• Средства управления рабочим процессом.

16. Общее

Проводите комплексную проверку поставщиков перед приобретением программного, аппаратного обеспечения или услуг, чтобы оценить потенциальное повышение рисков безопасности CSP.

Новые поставщики Atlassian должны согласиться с нашим приложением и политиками конфиденциальности и безопасности в договорах. Юридический отдел и отдел закупок Atlassian анализируют договоры, SLA и внутренние политики поставщиков и проверяют их на соответствие требованиям безопасности, доступности и конфиденциальности. Компания Atlassian ведет общедоступную страницу Список субобработчиков данных.

17. Общее

Применяйте криптографические решения, подтвержденные ASD, для защиты конфиденциальных данных при хранении. Очищайте носители информации перед их ремонтом или утилизацией, а также перед увольнением держателей в соответствии с соглашением о неразглашении данных, имеющихся в остаточных резервных копиях.

Этим процессом управляет команда по технологиям рабочего места. Оборудование соответствующим образом очищается и размагничивается. Компания Atlassian не управляет физическими носителями, поддерживающими свои облачные продукты и услуги.

Данные наших клиентов и вложенные файлы Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Confluence Cloud, Bitbucket Cloud, Statuspage, Opsgenie и Trello, хранящиеся на жестких дисках наших серверов, защищены с помощью отраслевого стандарта шифрования AES-256.

18. Общее

Внедряйте механизмы коллективной аренды, чтобы предотвратить доступ к данным держателя со стороны других держателей. Изолируйте сетевой трафик, хранилище, память и обработку данных. Очищайте носители данных перед повторным использованием.

Atlassian — это SaaS-приложение, рассчитанное на множество держателей. Архитектура с несколькими держателями является ключевой особенностью Atlassian Cloud, которая позволяет нескольким клиентам совместно использовать один экземпляр уровня приложений Jira или Confluence, изолируя при этом данные приложений каждого держателя. Atlassian Cloud решает эту задачу с помощью службы контекста держателей (TCS). Каждый идентификатор пользователя, используемый для доступа к приложениям Atlassian Cloud, связан ровно с одним держателем. Подробнее см. в разделе Правила и процедуры в сфере безопасности.
Мы соблюдаем логическое и физическое разделение сред на рабочую и нерабочую (т. е. среду разработки) и применяем методы изоляции этих сред.
Для раздела проиндексированных файлов существует логическое разделение (но не физическое), но управляется он процессами контроля изменений и доступа, отвечающими уровню рабочей среды.

19. Общее

Дайте держателю возможность выполнять резервное копирование актуальных данных в формате, исключающем привязку к CSP. Если действие аккаунта или облачной службы будет прекращено, немедленно сообщите об этом держателю и предоставьте ему не менее месяца на загрузку данных.

Компания Atlassian придерживается стандарта по сохранению и уничтожению данных, в котором определены сроки хранения данных разных типов. Данные разделены по категориям в соответствии с политикой Atlassian в отношении безопасности данных и жизненного цикла информации. Кроме того, на основе ее положений реализованы средства управления данными. В случае прекращения действия договора с компанией Atlassian данные, принадлежащие команде клиента, стираются из рабочей базы данных, а все вложенные файлы, загруженные непосредственно в системы Atlassian, удаляются в течение 14 дней. Данные команды будут храниться в зашифрованных резервных копиях в течение 60-дневного периода, после чего их уничтожат в соответствии с политикой Atlassian в отношении хранения данных. Если в течение 60 дней после подачи запроса на стирание информации клиенту потребуется восстановить базу данных, операционная команда повторно удалит данные в разумно возможный кратчайший срок после того, как рабочая система будет полностью восстановлена. Подробнее см. в разделе Просмотр хранилища и перемещение данных между продуктами.

20. Общее

Клиенты Atlassian сохраняют за собой ответственность за то, чтобы использование ими наших услуг соответствовало действующим законодательным и нормативным актам. Подробнее о конкретных юридических соглашениях и политиках компании можно узнать на странице наших правовых ресурсов: https://www.atlassian.com/legal.

21. Общее

Предоставьте достаточную пропускную способность, низкую задержку и надежное сетевое подключение между держателем и облачной службой, чтобы обеспечить заявленный уровень доступности в соответствии с требованиями держателя.

Мы отслеживаем производительность и доступность всех экземпляров Cloud, однако в настоящее время у нас нет официального соглашения SLA с условиями о доступности приложений. Наша служба поддержки предоставляет SLA о первоначальном времени отклика. В отсутствие официального соглашения SLA по решениям поддержки мы стремимся обрабатывать все назначенные обращения в течение 48 часов. Компания Atlassian публикует статистику последних статусов систем Cloud здесь: https://status.atlassian.com.

Да, мы предлагаем гарантии SLA, если вы решите воспользоваться нашими предложениями Premium или Enterprise.

22. Общее

Создайте архитектуру, с помощью которой удастся обеспечить заявленный уровень доступности в соответствии с требованиями держателя. Она может включать такие возможности, как минимально возможное число отдельных точек отказа, кластеризация и балансировка нагрузки, репликация данных, автоматическое аварийное переключение и мониторинг доступности в режиме реального времени.

Мы тестируем планы непрерывной работы и аварийного восстановления для служб Atlassian Cloud по меньшей мере один раз в квартал. Доступность в разных регионах отслеживается в реальном времени. Каждую неделю в среде для подготовки к релизу проводятся автоматические проверки аварийного переключения в регионах. Проверки автоматизированного восстановления конфигурационных данных проводятся ежедневно в рабочей среде.

Все службы Atlassian ежеквартально проходят тестирование отказоустойчивости в зоне доступности в среде для подготовки к релизу. Подробнее о нашей программе непрерывной работы см. на странице https://www.atlassian.com/trust/security/security-practices#faq-d323ae61-59b8-4ddb-96d4-30716b603e3e.

Наши планы аварийного восстановления протестированы и утверждены внешними аудиторами в рамках корпоративной программы соответствия требованиям. Подробнее см. на странице https://www.atlassian.com/trust/compliance/resources.

23. Общее

Разработайте и ежегодно тестируйте план аварийного восстановления и непрерывной работы, чтобы обеспечить заявленный уровень доступности в соответствии с требованиями держателя. Это поможет вам подготовиться к таким ситуациям, как инциденты, приводящие к недоступности персонала на стороне поставщика облачных услуг (CSP) или выходу его инфраструктуры из строя на длительное время.

В компании действует Политика непрерывной работы и аварийного восстановления, а также одноименный План, которые ежегодно пересматриваются руководящим комитетом по обеспечению непрерывной работы и аварийному восстановлению. Владельцы критически важных для бизнеса систем, процессов и служб в полной мере реализуют непрерывную работу и (или) аварийное восстановление, которое соответствует должной отказоустойчивости на случай аварии. Планы, касающиеся непрерывной работы и аварийного восстановления, проверяются ежеквартально. Все выявленные проблемы устраняются. Подробнее см. в разделах Принципы безопасности и Подход компании Atlassian к обеспечению отказоустойчивости.

24. Общее

Реализуйте средства защиты от отказа в обслуживании, чтобы обеспечить заявленный уровень доступности в соответствии с требованиями держателя. Такие средства могут включать, например, резервирование внешней и внутренней сети с высокой пропускной способностью, а также дросселирование и фильтрацию трафика.

Команда по обеспечению безопасности Atlassian применяет технологии предотвращения вторжений (IPS), внедренные в наших офисных средах. Компания AWS обеспечивает защиту от сетевых угроз, таких как DDoS-атаки. Кроме того, для защиты служит ряд функций брандмауэра веб-приложений.

Если говорить о конкретных продуктах, в Jira Align используется Cloudflare, что обеспечивает наличие WAF и DNSSEC, а также защиту от DDoS-атак. Мы применяем систему обнаружения вторжений (IDS) от Alert Logic и решение CloudTrail, а также проводим анализ журналов. Сканирование общих сетевых компонентов в стеке Atlassian Cloud осуществляется с помощью Nexpose. Кроме того, мы задействуем специальный метод анализа журналов на базе Splunk.

25. Общее

Предоставьте достаточную пропускную способность инфраструктуры и гибкое автоматическое масштабирование, чтобы обеспечить заявленный уровень доступности в соответствии с требованиями держателя.

Компания Atlassian планирует доступность ресурсов на 6–12 месяцев вперед, а ее горизонт общего стратегического планирования составляет 36 месяцев.

Соглашения и цели по уровню обслуживания (SLA/SLO): для систем Atlassian утверждены конкретные цели, согласованные с их рабочими параметрами.
(1) Во всех системах имеется набор целей по уровню обслуживания (SLO), связанных с основными возможностями этих систем.
(2) Эти цели пересматриваются по меньшей мере ежеквартально.
(3) Некоторым клиентам Atlassian предоставляются соглашения об уровне обслуживания (SLA) в отношении услуг, предоставляемых компанией Atlassian. Эти SLA должны быть подкреплены внутренними SLO.
(4) Команда, не выполнившая одну или несколько целей SLO, должна заняться восстановлением соответствующего показателя, отложив остальные задачи.

26. Общее

Обеспечьте держателю возможность управлять расходами в случае резкого повышения спроса или отказа в обслуживании с помощью обозначенных в договоре расходных лимитов, оповещений в режиме реального времени и настраиваемых максимальных ограничений на использование пропускной способности поставщика облачных услуг (CSP).

Мы не выставляем клиентам счета в соответствии с объемом использования в рамках своих предложений SaaS. В настоящее время мы не предоставляем держателям пользовательские отчеты и данные о пропускной способности.

27. Общее

Поддержка клиентов, а также администрирование облачных служб и инфраструктуры должны осуществляться с помощью подтвержденных и защищенных компанией компьютеров, инсталляционных серверов, выделенных аккаунтов, надежных парольных фраз и многофакторной аутентификации.

Сотрудники должны по возможности использовать двухфакторную аутентификацию (2FA), а также диспетчер паролей со случайно созданными и достаточно безопасными паролями. Уполномоченные сотрудники получают доступ к рабочей среде, проходя аутентификацию в сети VPN с помощью уникальных надежных паролей и двухфакторной аутентификации (2FA) на основе TOTP. Подключение должно осуществляться только через терминал по ssh с использованием личных сертификатов RSA, защищенных парольной фразой. Обязательные требования: SSO, SSH, 2FA и VPN.

28. Общее

Используйте криптографические решения, подтвержденные ASD, для защиты учетных данных и сведений об административной деятельности при передаче по незащищенным каналам связи между центром обработки данных CSP и администратором CSP либо сотрудниками службы поддержки клиентов.

Все данные клиентов, хранящиеся в продуктах и службах Atlassian Cloud, шифруются при передаче в публичных сетях с помощью протокола TLS 1.2 (или более поздней версии) с полной безопасностью пересылки (PFS) для защиты от несанкционированного раскрытия или изменения. Наша реализация TLS обеспечивает использование криптостойких шифров и ключей нужной длины, если это поддерживается браузером.

Данные наших клиентов и вложенные файлы Jira Software Cloud, Jira Service Desk Cloud, Jira Core Cloud, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie и Trello, хранящиеся на жестких дисках наших серверов, защищены с помощью стандартного в отрасли шифрования AES-256.

При хранении мы, в частности, шифруем хранящиеся на диске данные клиентов, например данные о задачах Jira (подробности, комментарии, вложения) и данные страниц Confluence (содержимое страниц, комментарии, вложения). Шифрование данных при хранении помогает защитить их от несанкционированного доступа и обеспечивает доступ к данным только авторизованным ролям и службам с контролируемым доступом к ключам шифрования.

Для управления ключами компания Atlassian использует AWS Key Management Service (KMS). Процесс шифрования, дешифрования и управления ключами регулярно проверяется и контролируется AWS в рамках внутренних процессов валидации. Для каждого ключа назначается владелец, который отвечает за применение для него методов защиты соответствующего уровня.

29. Общее

Реализуйте сегментирование и разделение сети [20] между Интернетом, инфраструктурой CSP, используемой держателями, сетью, которую поставщик облачных услуг (CSP) использует для администрирования облачных служб и инфраструктуры, и корпоративной локальной сетью CSP.

Данные клиентов не подлежат копированию с последующим переносом за пределы рабочей среды, которая размещена на защищенных серверах AWS. Действуют строгие правила брандмауэра, согласно которым доступ к рабочей среде предоставляется только нашей сети VPN и авторизованным системам. Для доступа к сети VPN требуется многофакторная аутентификация. В основных продуктах Atlassian предусмотрены средства контроля за разделением обязанностей, в том числе:

• Проверка средств управления доступом.
• Группы безопасности, контролируемые приложением по управлению персоналом.
• Подтверждение, экспертная оценка и реализация изменений (PRGB).
• Средства управления рабочим процессом.

30. Общее

Используйте методы безопасного программирования для ПО, разработанного CSP [21] [22] [23].

Методы обеспечения безопасности Atlassian охватывают каждый этап жизненного цикла разработки. Подробнее см. в разделе Обеспечение безопасности при разработке ПО в Atlassian.

На этапе создания дизайна соблюдение требований к безопасности обеспечивается с помощью таких методов, как моделирование угроз, оценка дизайна, а также реализация стандартов безопасности из регулярно обновляемой библиотеки.

В ходе разработки проводится обязательная проверка коллегами, которая играет роль проверки безопасности первого уровня. Проверка предполагает автоматический статический анализ (SAST) и ручное тестирование безопасности и выполняется как штатными специалистами, так и сторонними экспертами согласно внутренней процедуре оценки рисков. Разработка ведется в том числе при поддержке обучающих программ по безопасности приложений, а также базы знаний, которую регулярно пополняет команда безопасности.

Оценка формальной готовности к запуску и процессы контроля изменений обеспечивают развертывание только подтвержденных изменений. После развертывания регулярно проводится автоматизированное сканирование на предмет уязвимостей, а также используется ведущая в отрасли программа вознаграждения за найденные ошибки (https://bugcrowd.com/atlassian), которая обеспечивает непрерывную проверку безопасности наших приложений.

31. Общее

Работая с облачными службами и базовой инфраструктурой, обеспечивайте должный уровень безопасности с помощью конфигурации, непрерывное управление уязвимостями, своевременное устранение ошибок, ежегодные проверки безопасности сторонними организациями и тестирование на проникновение.

Мы привлекаем сторонних консультантов для проведения ежегодных тестов на проникновение во внешние приложения. Кроме того, мы дополняем эти тесты более мелкими текущими работами по проверке безопасности, которые выполняет наша команда внутреннего тестирования безопасности. Письма об оценке тестов на проникновение и дополнительную информацию о нашей процедуре тестирования можно найти в разделе Подход к внешнему тестированию безопасности.

Кроме того, мы вместе с Bugcrowd поддерживаем работу программы вознаграждения за найденные ошибки (Bug Bounty), что позволяет нам обеспечить непрерывную оценку уязвимостей в собственных общедоступных продуктах и услугах. Подробнее о программе см. на странице https://bugcrowd.com/atlassian. Мы публикуем результаты текущего тестирования на проникновение в рамках программы Bug Bounty. Подробные сведения см. в разделе Подход к внешнему тестированию безопасности.

Все найденные уязвимости подпадают под действие нашей политики исправления ошибок, связанных с безопасностью. В ней определены цели по уровню обслуживания (SLO), рассчитанные на основе степени серьезности конкретной проблемы безопасности. Сроки решения проблем и подробную информацию о политике можно найти в разделе Правила исправления ошибок, связанных с безопасностью. Чтобы узнать больше о нашей программе управления уязвимостями, см. раздел Подход Atlassian к управлению уязвимостями.

Подробнее о том, как мы обеспечиваем безопасность собственных методов разработки, можно прочесть в разделе Обеспечение безопасности при разработке ПО в Atlassian.

32. Общее

Обучайте всех сотрудников CSP, особенно администраторов, при вступлении в должность, а затем ежегодно, чтобы защитить данные держателя, а также обеспечить доступность облачных служб и своевременное выявление инцидентов безопасности, например с помощью оперативного анализа журналов.

Компания Atlassian проводит обучение по вопросам безопасности в рамках адаптации новых сотрудников (Rocketfuel) и на постоянной основе для всего персонала. Перед началом работы в компании кандидатам и подрядчикам необходимо подписать соглашение о конфиденциальности. В случае технологических или других серьезных изменений курсы становятся доступными во внутренней сети (действующие сотрудники получают соответствующее уведомление).

Помимо этого обучения по общим мерам и правилам безопасности, наши разработчики могут пройти специальное обучение по безопасному программированию. Оно включено в программу для специалистов по безопасности в составе команд. Компания Atlassian также проводит постоянное обучение по актуальным вопросам безопасности, связанным с вредоносными программами, фишингом и другими проблемами. Сотрудники и подрядчики Atlassian подлежат идентификации и проверке разрешений на работу.

1. IaaS-инфраструктура

Обеспечьте возможности управления доступом к сети, с помощью которых держатель сможет реализовать сегментирование и разделение сети [25], включая возможность ее фильтрации с целью разрешить удаленное администрирование своих виртуальных машин только с нужных IP-адресов.

Это неприменимо. Компания Atlassian является поставщиком услуг SaaS.

2. IaaS-инфраструктура

Предоставьте держателю шаблоны виртуальных машин, где конфигурация обеспечивает должный уровень безопасности и где устранены известные ошибки. Избегайте ситуаций, когда новым виртуальным машинам назначаются слабые парольные фразы администратора.

Это неприменимо. Компания Atlassian является поставщиком услуг SaaS.

1. PaaS

Обеспечьте безопасность и надежную конфигурацию для операционной системы, веб-сервера и ПО платформы. Разрешите входящие и исходящие сетевые подключения только для необходимых портов и протоколов. Оперативно устраняйте ошибки и анализируйте журналы.

Это неприменимо. Компания Atlassian является поставщиком услуг SaaS.

1. SaaS

Внедрите средства управления для облачной службы, например для электронной почты, предоставляемой как услуга. Обеспечьте функции фильтрации контента с автоматическим динамическим анализом электронных писем и вложенных файлов.

Такие возможности обеспечиваются в наших продуктах. Компания Atlassian применяет решение Proofpoint (https://www.proofpoint.com/au/products/email-protection) для сканирования вложенных файлов и переопределения URL-адресов, чтобы блокировать попытки фишинга. Кроме того, в Atlassian используются средства защиты электронной почты, встроенные в Google G Suite (службы безопасности и защиты данных в облаке).

2. SaaS

Внедрить общие средства управления [26], в частности. разрешение входящих и исходящих сетевых подключений только по необходимым портам или протоколам, ежедневное обновление антивирусного ПО, системы предотвращения вторжений и оперативный анализ журналов.

Неприменимо. На рабочих серверах Atlassian нет средств защиты от вредоносного ПО, так как запись данных на них осуществляется только через наш конвейер CI/CD. Службы приложений Atlassian, в которых размещаются Jira Cloud или Confluence Cloud, содержат только код приложений и ничего больше. Запись данных на серверы Jira и Confluence Cloud разрешена только через конвейер развертывания Atlassian / конвейер CI/CD.

Весь контент, создаваемый пользователями, хранится на серверах баз данных или RDS, все вложения и другие элементы сохраняются в общем сервисе Media Services, который, по сути, является просто интерфейсом для корзины S3. Команда Atlassian по противодействию злоупотреблениям может удалять из Media Services вложения, идентифицированные как вредоносные программы или другие неприемлемые материалы, но не сканирует их на наличие вредоносных программ. Мы полагаемся на наши возможности обнаружения конечных точек и средства обнаружения клиентских вредоносных программ.

На всех серверах Windows Atlassian использует систему Crowdstrike Falcon. Atlassian ежедневно обновляет сигнатуры из Crowdstrike, чтобы включить в них все вредоносное ПО, известное поставщику Crowdstrike к этому моменту.