ACSC: безопасность облачных вычислений для поставщиков облачных услуг — обзор рекомендаций на 2023 год
Разъяснительное замечание
Работающие в облаке клиенты из числа организаций государственного сектора, а также предприятий, которые Австралийский центр кибербезопасности (ACSC) считает регулируемыми субъектами, должны рассматривать эти рекомендации только применительно к продуктам Atlassian Cloud и предоставляемым компанией Atlassian услугам.
Данный отчет содержит только информацию и рекомендации, предоставляемые компанией Atlassian клиентам Cloud и касающиеся того, как мы обеспечиваем соответствие принципам безопасности облачных вычислений для поставщиков облачных услуг. Кроме того, мы составили специальный технический документ «Общая ответственность», в котором описаны обязанности, возлагаемые как на поставщика облачных услуг (CSP), так и на клиентов. Модель общей ответственности не избавляет клиентов, использующих продукты Atlassian Cloud, от ответственности и рисков, но облегчает задачу по обеспечению безопасности, которая с нашей стороны подразумевает управление компонентами системы и физическую защиту объектов. Кроме того, благодаря ей часть расходов на обеспечение безопасности и соответствия нормативным требованиям переносится с клиентов на Atlassian.
Подробнее об обязательствах Atlassian по защите данных клиентов см. на странице о принципах безопасности.
Риск | Ссылка | Меры по снижению рисков | Ответ Atlassian |
---|---|---|---|
Наиболее эффективные меры по снижению рисков, применимые ко всем типам облачных услуг | |||
Глобальное несоблюдение принципов конфиденциальности, целостности и доступности данных держателя | Ссылка 1. Общее | Меры по снижению рисков Оцените облачную услугу и базовую инфраструктуру (применяя меры по снижению рисков, приведенные в этой публикации) в соответствии с рекомендациями ISM [1] на соответствующем уровне классификации, необходимом для обработки данных держателя. | Ответ Atlassian В Atlassian действуют надежные механизмы, обеспечивающие соблюдение основных принципов конфиденциальности данных, и средства правовой защиты для лиц, пострадавших от несоблюдения этих принципов, а также предусмотрены меры в случае их нарушения. Для этого мы проводим периодические и специальные мероприятия по самостоятельной оценке, а также организуем внешний аудит и проверки соответствия, когда это необходимо. В частности, мы ежегодно сотрудничаем с компанией TrustArc, которая является сторонним поставщиком и подтверждает, что наши процедуры соответствуют основным принципам обеспечения конфиденциальности данных. Они поддерживают нашу самостоятельную сертификацию, а также предоставляют услуги независимого посредничества при рассмотрении жалоб клиентов, связанных с конфиденциальностью. Мы также отслеживаем и контролируем соблюдение требований с помощью заявок Jira. Их можно использовать в качестве контрольного журнала наряду с нашими программами самостоятельной оценки, внешним аудитом и проверками соответствия, а также любыми планами по исправлению, которые мы периодически составляем. Мы контролируем методы обработки данных, а также поддерживаем программу отслеживания инцидентов и нарушений, связанных с конфиденциальностью данных. |
| Ссылка 2. Общее | Меры по снижению рисков Внедрите управление безопасностью с участием руководителей высшего звена, направляющих и координирующих соответствующие мероприятия, в том числе эффективное управление изменениями, а также компетентных сотрудников, выполняющих определенные функции в области безопасности. | Ответ Atlassian Бала Сатьямурти — директор Atlassian по ИТ-безопасности. Он работает в офисе в Сан-Франциско. В нашей команде по безопасности более 230 сотрудников: они занимаются защитой продуктов, сбором и анализом данных по безопасности, созданием архитектуры безопасности и разработкой принципов доверия, оценки рисков и обеспечения соответствия. Кроме того, есть сотрудники отдела разработки и обеспечения надежности, находящиеся в офисах в Сиднее, Амстердаме, Остине, Бангалоре, Маунтин-Вью, Сан-Франциско и Нью-Йорке, и участники команды, работающие удаленно. |
| Ссылка 3. Общее | Меры по снижению рисков Внедрите и ежегодно тестируйте план реагирования на инциденты в сфере кибербезопасности, чтобы предоставить держателю контактные данные на случай чрезвычайных ситуаций, доступ к судебным доказательствам (который обычно не предоставляется держателям) и уведомления об инцидентах. | Ответ Atlassian Мы располагаем документированной политикой и планом реагирования на инциденты в сфере безопасности, ключевые принципы которых включают:
|
Данные держателя скомпрометированы при передаче в результате злонамеренных действий третьей стороны | Ссылка 4. Общее | Меры по снижению рисков Поддерживайте и применяйте криптографические решения, подтвержденные ASD, для защиты данных, передаваемых между держателем и поставщиком облачных услуг (CSP). Такие решения могут включать TLS на уровне приложений или IPsec VPN с утвержденными алгоритмами, длиной ключа и управлением ключами. | Ответ Atlassian Все данные клиентов, хранящиеся в продуктах и службах Atlassian Cloud, шифруются при передаче в публичных сетях с помощью протокола TLS 1.2 (или более поздней версии) с полной безопасностью пересылки (PFS) для защиты от несанкционированного раскрытия или изменения. Наша реализация TLS обеспечивает использование криптостойких шифров и ключей нужной длины, если это поддерживается браузером. |
Ссылка 5. Общее | Меры по снижению рисков Применяйте криптографические решения, подтвержденные ASD, для защиты данных, передаваемых между центрами обработки данных, принадлежащих поставщику облачных услуг (CSP), по незащищенным каналам связи, таким как общедоступная интернет-инфраструктура. | Ответ Atlassian В Atlassian разработана и поддерживается политика шифрования и криптографии, а также используются рекомендации по ее внедрению. Эта политика ежегодно пересматривается и обновляется в соответствии с нашей Программой управления политиками (PMP). Подробнее см. в разделе Наша система Atlassian Trust Management System (ATMS). | |
Ссылка 6. Общее | Меры по снижению рисков Поддерживайте и применяйте криптографические решения, подтвержденные ASD, для защиты данных на носителях информации, передаваемых почтой/курьером между держателем и поставщиком облачных услуг (CSP) при обмене сведениями в рамках адаптации или увольнения персонала. | Ответ Atlassian Все данные клиентов, хранящиеся в продуктах и службах Atlassian Cloud, шифруются при передаче в публичных сетях с помощью протокола TLS 1.2 (или более поздней версии) с полной безопасностью пересылки (PFS) для защиты от несанкционированного раскрытия или изменения. Наша реализация TLS обеспечивает использование криптостойких шифров и ключей нужной длины, если это поддерживается браузером. | |
Учетные данные держателя, относящиеся к аккаунту в облачной службе, скомпрометированы в результате злонамеренных действий третьей стороны [2] [3] [4] [5] | Ссылка 7. Общее | Меры по снижению рисков Обеспечьте идентификацию и управление доступом, например многофакторную аутентификацию и роли аккаунтов с различными правами [6], чтобы держатель мог взаимодействовать с облачной службой посредством панели управления сайтом, принадлежащей поставщику облачных услуг (CSP), и API. | Ответ Atlassian Да. Если говорить о Confluence и Jira, то многофакторная аутентификация доступна для отдельных аккаунтов. Дополнительные сведения о том, как включить многофакторную аутентификацию, см. в разделе Принудительная двухфакторная аутентификация. |
Ссылка 8. Общее | Меры по снижению рисков Поддерживайте и применяйте криптографические решения, подтвержденные ASD, для защиты учетных данных и сведений об административной деятельности при передаче, когда держатель взаимодействует с облачной службой посредством панели управления сайтом, принадлежащей поставщику облачных услуг (CSP), и API. | Ответ Atlassian Все данные клиентов, хранящиеся в продуктах и службах Atlassian Cloud, шифруются при передаче в публичных сетях с помощью протокола TLS 1.2 (или более поздней версии) с полной безопасностью пересылки (PFS) для защиты от несанкционированного раскрытия или изменения. Наша реализация TLS обеспечивает использование криптостойких шифров и ключей нужной длины, если это поддерживается браузером. | |
Ссылка 9. Общее | Меры по снижению рисков Разрешите держателю загружать подробные синхронизированные по времени журналы и получать оповещения в реальном времени для аккаунтов держателя в облачной службе, которые используются для доступа к службе, в частности для ее администрирования. | Ответ Atlassian Основные системные журналы передаются из каждой системы на централизованную платформу журналов, причем они доступны только для чтения. Команда по обеспечению безопасности Atlassian создает оповещения на нашей платформе аналитики безопасности (Splunk) и отслеживает признаки угрозы. С помощью этой платформы наши команды по обеспечению надежности отслеживают проблемы, влияющие на доступность и производительность. Журналы хранятся в течение 30 дней в архивах «горячего» резервирования и в течение 365 дней в архивах «холодного» резервирования. | |
Данные держателя скомпрометированы в результате злонамеренных действий поставщика облачных услуг (CSP) или третьей стороны | Ссылка 10. Общее | Меры по снижению рисков Разрешите держателю загружать подробные синхронизированные по времени журналы и получать оповещения в реальном времени, генерируемые облачной службой, которую использует держатель, например журналы операционной системы, веб-сервера и приложений. | Ответ Atlassian Мы можем выбирать, какие данные записать в журналы и как долго эти журналы следует хранить. Для этого используются Casper (https://www.jamf.com) и osquery (https://osquery.io/). Журналы хранятся в логическом разделе системы, а доступ на запись в них предоставляется только участникам команды по обеспечению безопасности. При обнаружении в журналах определенных действий или событий сотрудники команды по обеспечению безопасности или службы поддержки получают оповещения. Наш централизованный сервис ведения журналов (Splunk) встроен в инфраструктуру аналитики безопасности, тем самым реализуя возможность автоматического анализа и оповещения для выявления потенциальных проблем. |
Ссылка 11. Общее | Меры по снижению рисков Раскрывайте информацию о странах и правовых юрисдикциях, в которых данные держателя хранятся (или будут храниться в течение ближайших месяцев), добавляются к резервным копиям, обрабатываются и к которым получают доступ сотрудники CSP для устранения неполадок, удаленного администрирования и поддержки клиентов. | Ответ Atlassian Компания Atlassian использует решения Amazon Web Services (AWS) в следующих регионах: Восток США, Запад США, Ирландия, Франкфурт, Сингапур и Сидней (Confluence и Jira). Дополнительные сведения см. в разделе Инфраструктура облачного хостинга. | |
Ссылка 12. Общее | Меры по снижению рисков Проводите проверку биографии сотрудников CSP в соответствии с уровнем их доступа к системам и данным. Следите за допуском сотрудников, имеющих доступ к особо конфиденциальным данным [7]. | Ответ Atlassian Новые сотрудники Atlassian по всему миру проходят проверку биографии в обязательном порядке. Сотрудники, перешедшие в компанию в результате поглощения, проходят такую проверку после даты поглощения. Проверку отсутствия судимости проходят все сотрудники и независимые подрядчики. Сведения об образовании и опыте работы, а также кредитная история сотрудника проверяются, если того требует уровень должности или характер выполняемой работы. Мы проводим полную проверку биографических данных руководителей высшего звена и бухгалтеров. | |
Ссылка 13. Общее | Меры по снижению рисков Используйте физически защищенные центры обработки данных и офисы в случае, если в них хранятся данные держателей или есть доступ к этим данным [8]. Проверяйте и регистрируйте всех сотрудников и посетителей. Сопровождайте посетителей, чтобы предотвратить несанкционированный доступ к данным. | Ответ Atlassian В офисах Atlassian следуют внутренней политике обеспечения физической защиты и безопасности среды, в которой, помимо прочего, описывается порядок мониторинга физических точек входа и выхода. Для подтверждения соответствия требованиям наши партнеры, предоставляющие центры обработки данных, проходят множество сертификаций. Они касаются физической защиты, доступности системы, доступа к сети и IP-магистрали, подготовки клиентских аккаунтов и управления проблемами. Доступ к центрам обработки данных осуществляется только уполномоченным персоналом после биометрической аутентификации. Меры физической безопасности включают охрану на месте, видеонаблюдение по замкнутому контуру, ловушки и дополнительные меры защиты от вторжения. AWS обладает множеством сертификатов, относящихся к защите собственных центров обработки данных. Подробнее об обеспечении физической защиты на объектах AWS см. на странице http://aws.amazon.com/compliance/. | |
Ссылка 14. Общее | Меры по снижению рисков Ограничивайте привилегированный доступ сотрудников CSP к системам и данным в зависимости от их рабочих задач [9]. Требуйте повторного подтверждения каждые три месяца для сотрудников CSP, которым требуется привилегированный доступ. Запрещайте доступ сотрудникам CSP после их увольнения. | Ответ Atlassian В Atlassian ограничен круг сотрудников, которым необходим этот уровень доступа для выполнения работы и исполнения обязанностей. Для управления всеми системами 1-го уровня используется централизованное решение Atlassian, за счет которого реализована система единого входа (SSO) и каталоги пользователей. Пользователям предоставляются права доступа на основании этих профилей, которые формируются рабочим процессом в нашей системе управления кадрами. Для доступа ко всем системам 1-го уровня используется многофакторная аутентификация. Для доступа к консоли управления гипервизором и API AWS нужно пройти двухфакторную аутентификацию. Кроме того, ежедневно составляется отчет о проверке, в котором содержатся данные обо всех случаях получения доступа к функциям управления гипервизором. Списки доступа к консоли управления гипервизором и API AWS пересматриваются ежеквартально. Синхронизация между системой управления кадрами и хранилищем учетных данных происходит каждые 8 часов. | |
Ссылка 15. Общее | Меры по снижению рисков Оперативно анализируйте журналы действий сотрудников CSP, которые регистрируются на защищенном и изолированном сервере журналов. Внедрите разделение обязанностей: требуйте, чтобы анализ журналов выполнялся сотрудниками CSP, не имеющими других привилегий или должностных обязанностей. | Ответ Atlassian В основных продуктах Atlassian предусмотрены средства контроля за разделением обязанностей, в том числе:
| |
Ссылка 16. Общее | Меры по снижению рисков Проводите комплексную проверку поставщиков перед приобретением программного, аппаратного обеспечения или услуг, чтобы оценить потенциальное повышение рисков безопасности CSP. | Ответ Atlassian Новые поставщики Atlassian должны согласиться с нашим приложением и политиками конфиденциальности и безопасности в договорах. Юридический отдел и отдел закупок Atlassian анализируют договоры, SLA и внутренние политики поставщиков и проверяют их на соответствие требованиям безопасности, доступности и конфиденциальности. Компания Atlassian ведет общедоступную страницу Список субобработчиков данных. | |
Ссылка 17. Общее | Меры по снижению рисков Применяйте криптографические решения, подтвержденные ASD, для защиты конфиденциальных данных при хранении. Очищайте носители информации перед их ремонтом или утилизацией, а также перед увольнением держателей в соответствии с соглашением о неразглашении данных, имеющихся в остаточных резервных копиях. | Ответ Atlassian Этим процессом управляет команда по технологиям рабочего места. Оборудование соответствующим образом очищается и размагничивается. Компания Atlassian не управляет физическими носителями, поддерживающими свои облачные продукты и услуги. | |
Данные держателя скомпрометированы в результате злонамеренных действий другого держателя или его компрометации [10] [11] [12] [13] [14] [15] [16] [17] [18] | Ссылка 18. Общее | Меры по снижению рисков Внедряйте механизмы коллективной аренды, чтобы предотвратить доступ к данным держателя со стороны других держателей. Изолируйте сетевой трафик, хранилище, память и обработку данных. Очищайте носители данных перед повторным использованием. | Ответ Atlassian Atlassian — это SaaS-приложение, рассчитанное на множество держателей. Архитектура с несколькими держателями является ключевой особенностью Atlassian Cloud, которая позволяет нескольким клиентам совместно использовать один экземпляр уровня приложений Jira или Confluence, изолируя при этом данные приложений каждого держателя. Atlassian Cloud решает эту задачу с помощью службы контекста держателей (TCS). Каждый идентификатор пользователя, используемый для доступа к приложениям Atlassian Cloud, связан ровно с одним держателем. Подробнее см. в разделе Правила и процедуры в сфере безопасности. |
Данные держателя недоступны из-за повреждения или удаления [19] либо из-за ситуации, в которой действие аккаунта или службы было прекращено на стороне поставщика облачных услуг (CSP) | Ссылка 19. Общее | Меры по снижению рисков Дайте держателю возможность выполнять резервное копирование актуальных данных в формате, исключающем привязку к CSP. Если действие аккаунта или облачной службы будет прекращено, немедленно сообщите об этом держателю и предоставьте ему не менее месяца на загрузку данных. | Ответ Atlassian Компания Atlassian придерживается стандарта по сохранению и уничтожению данных, в котором определены сроки хранения данных разных типов. Данные разделены по категориям в соответствии с политикой Atlassian в отношении безопасности данных и жизненного цикла информации. Кроме того, на основе ее положений реализованы средства управления данными. В случае прекращения действия договора с компанией Atlassian данные, принадлежащие команде клиента, стираются из рабочей базы данных, а все вложенные файлы, загруженные непосредственно в системы Atlassian, удаляются в течение 14 дней. Данные команды будут храниться в зашифрованных резервных копиях в течение 60-дневного периода, после чего их уничтожат в соответствии с политикой Atlassian в отношении хранения данных. Если в течение 60 дней после подачи запроса на стирание информации клиенту потребуется восстановить базу данных, операционная команда повторно удалит данные в разумно возможный кратчайший срок после того, как рабочая система будет полностью восстановлена. Подробнее см. в разделе Просмотр хранилища и перемещение данных между продуктами. |
Данные держателя недоступны либо скомпрометированы в результате банкротства поставщика облачных услуг (CSP) или другого судебного процесса | Ссылка 20. Общее | Меры по снижению рисков Обеспечьте на основе договора сохранение за держателем права собственности на свои данные. | Ответ Atlassian Клиенты Atlassian сохраняют за собой ответственность за то, чтобы использование ими наших услуг соответствовало действующим законодательным и нормативным актам. Подробнее о конкретных юридических соглашениях и политиках компании можно узнать на странице наших правовых ресурсов: https://www.atlassian.com/legal. |
Облачная служба недоступна из-за некачественного сетевого подключения на стороне поставщика облачных услуг (CSP) | Ссылка 21. Общее | Меры по снижению рисков Предоставьте достаточную пропускную способность, низкую задержку и надежное сетевое подключение между держателем и облачной службой, чтобы обеспечить заявленный уровень доступности в соответствии с требованиями держателя. | Ответ Atlassian Мы отслеживаем производительность и доступность всех экземпляров Cloud, однако в настоящее время у нас нет официального соглашения SLA с условиями о доступности приложений. Наша служба поддержки предоставляет SLA о первоначальном времени отклика. В отсутствие официального соглашения SLA по решениям поддержки мы стремимся обрабатывать все назначенные обращения в течение 48 часов. Компания Atlassian публикует статистику последних статусов систем Cloud здесь: https://status.atlassian.com. |
Облачная служба недоступна из-за ошибок на стороне поставщика облачных услуг (CSP), планового отключения, неисправности оборудования или природных явлений | Ссылка 22. Общее | Меры по снижению рисков Создайте архитектуру, с помощью которой удастся обеспечить заявленный уровень доступности в соответствии с требованиями держателя. Она может включать такие возможности, как минимально возможное число отдельных точек отказа, кластеризация и балансировка нагрузки, репликация данных, автоматическое аварийное переключение и мониторинг доступности в режиме реального времени. | Ответ Atlassian Мы тестируем планы непрерывной работы и аварийного восстановления для служб Atlassian Cloud по меньшей мере один раз в квартал. Доступность в разных регионах отслеживается в реальном времени. Каждую неделю в среде для подготовки к релизу проводятся автоматические проверки аварийного переключения в регионах. Проверки автоматизированного восстановления конфигурационных данных проводятся ежедневно в рабочей среде. |
Ссылка 23. Общее | Меры по снижению рисков Разработайте и ежегодно тестируйте план аварийного восстановления и непрерывной работы, чтобы обеспечить заявленный уровень доступности в соответствии с требованиями держателя. Это поможет вам подготовиться к таким ситуациям, как инциденты, приводящие к недоступности персонала на стороне поставщика облачных услуг (CSP) или выходу его инфраструктуры из строя на длительное время. | Ответ Atlassian В компании действует Политика непрерывной работы и аварийного восстановления, а также одноименный План, которые ежегодно пересматриваются руководящим комитетом по обеспечению непрерывной работы и аварийному восстановлению. Владельцы критически важных для бизнеса систем, процессов и служб в полной мере реализуют непрерывную работу и (или) аварийное восстановление, которое соответствует должной отказоустойчивости на случай аварии. Планы, касающиеся непрерывной работы и аварийного восстановления, проверяются ежеквартально. Все выявленные проблемы устраняются. Подробнее см. в разделах Принципы безопасности и Подход компании Atlassian к обеспечению отказоустойчивости. | |
Облачная служба недоступна из-за резкого повышения спроса, проблем с пропускной способностью или отказа центрального процессора в обслуживании (DoS) | Ссылка 24. Общее | Меры по снижению рисков Реализуйте средства защиты от отказа в обслуживании, чтобы обеспечить заявленный уровень доступности в соответствии с требованиями держателя. Такие средства могут включать, например, резервирование внешней и внутренней сети с высокой пропускной способностью, а также дросселирование и фильтрацию трафика. | Ответ Atlassian Команда по обеспечению безопасности Atlassian применяет технологии предотвращения вторжений (IPS), внедренные в наших офисных средах. Компания AWS обеспечивает защиту от сетевых угроз, таких как DDoS-атаки. Кроме того, для защиты служит ряд функций брандмауэра веб-приложений. |
Ссылка 25. Общее | Меры по снижению рисков Предоставьте достаточную пропускную способность инфраструктуры и гибкое автоматическое масштабирование, чтобы обеспечить заявленный уровень доступности в соответствии с требованиями держателя. | Ответ Atlassian Компания Atlassian планирует доступность ресурсов на 6–12 месяцев вперед, а ее горизонт общего стратегического планирования составляет 36 месяцев. | |
В связи с резким повышением спроса, проблемами с пропускной способностью или отказом центрального процессора в обслуживании (DoS) возникли определенные финансовые последствия | Ссылка 26. Общее | Меры по снижению рисков Обеспечьте держателю возможность управлять расходами в случае резкого повышения спроса или отказа в обслуживании с помощью обозначенных в договоре расходных лимитов, оповещений в режиме реального времени и настраиваемых максимальных ограничений на использование пропускной способности поставщика облачных услуг (CSP). | Ответ Atlassian Мы не выставляем клиентам счета в соответствии с объемом использования в рамках своих предложений SaaS. В настоящее время мы не предоставляем держателям пользовательские отчеты и данные о пропускной способности. |
Инфраструктура поставщика облачных услуг (CSP) скомпрометирована в результате злонамеренных действий держателя или третьей стороны | Ссылка 27. Общее | Меры по снижению рисков Поддержка клиентов, а также администрирование облачных служб и инфраструктуры должны осуществляться с помощью подтвержденных и защищенных компанией компьютеров, инсталляционных серверов, выделенных аккаунтов, надежных парольных фраз и многофакторной аутентификации. | Ответ Atlassian Сотрудники должны по возможности использовать двухфакторную аутентификацию (2FA), а также диспетчер паролей со случайно созданными и достаточно безопасными паролями. Уполномоченные сотрудники получают доступ к рабочей среде, проходя аутентификацию в сети VPN с помощью уникальных надежных паролей и двухфакторной аутентификации (2FA) на основе TOTP. Подключение должно осуществляться только через терминал по ssh с использованием личных сертификатов RSA, защищенных парольной фразой. Обязательные требования: SSO, SSH, 2FA и VPN. |
Ссылка 28. Общее | Меры по снижению рисков Используйте криптографические решения, подтвержденные ASD, для защиты учетных данных и сведений об административной деятельности при передаче по незащищенным каналам связи между центром обработки данных CSP и администратором CSP либо сотрудниками службы поддержки клиентов. | Ответ Atlassian Все данные клиентов, хранящиеся в продуктах и службах Atlassian Cloud, шифруются при передаче в публичных сетях с помощью протокола TLS 1.2 (или более поздней версии) с полной безопасностью пересылки (PFS) для защиты от несанкционированного раскрытия или изменения. Наша реализация TLS обеспечивает использование криптостойких шифров и ключей нужной длины, если это поддерживается браузером. | |
Ссылка 29. Общее | Меры по снижению рисков Реализуйте сегментирование и разделение сети [20] между Интернетом, инфраструктурой CSP, используемой держателями, сетью, которую поставщик облачных услуг (CSP) использует для администрирования облачных служб и инфраструктуры, и корпоративной локальной сетью CSP. | Ответ Atlassian Данные клиентов не подлежат копированию с последующим переносом за пределы рабочей среды, которая размещена на защищенных серверах AWS. Действуют строгие правила брандмауэра, согласно которым доступ к рабочей среде предоставляется только нашей сети VPN и авторизованным системам. Для доступа к сети VPN требуется многофакторная аутентификация. В основных продуктах Atlassian предусмотрены средства контроля за разделением обязанностей, в том числе:
| |
Ссылка 30. Общее | Меры по снижению рисков Используйте методы безопасного программирования для ПО, разработанного CSP [21] [22] [23]. | Ответ Atlassian Методы обеспечения безопасности Atlassian охватывают каждый этап жизненного цикла разработки. Подробнее см. в разделе Обеспечение безопасности при разработке ПО в Atlassian. | |
Ссылка 31. Общее | Меры по снижению рисков Работая с облачными службами и базовой инфраструктурой, обеспечивайте должный уровень безопасности с помощью конфигурации, непрерывное управление уязвимостями, своевременное устранение ошибок, ежегодные проверки безопасности сторонними организациями и тестирование на проникновение. | Ответ Atlassian Мы привлекаем сторонних консультантов для проведения ежегодных тестов на проникновение во внешние приложения. Кроме того, мы дополняем эти тесты более мелкими текущими работами по проверке безопасности, которые выполняет наша команда внутреннего тестирования безопасности. Письма об оценке тестов на проникновение и дополнительную информацию о нашей процедуре тестирования можно найти в разделе Подход к внешнему тестированию безопасности. | |
Ссылка 32. Общее | Меры по снижению рисков Обучайте всех сотрудников CSP, особенно администраторов, при вступлении в должность, а затем ежегодно, чтобы защитить данные держателя, а также обеспечить доступность облачных служб и своевременное выявление инцидентов безопасности, например с помощью оперативного анализа журналов. | Ответ Atlassian Компания Atlassian проводит обучение по вопросам безопасности в рамках адаптации новых сотрудников (Rocketfuel) и на постоянной основе для всего персонала. Перед началом работы в компании кандидатам и подрядчикам необходимо подписать соглашение о конфиденциальности. В случае технологических или других серьезных изменений курсы становятся доступными во внутренней сети (действующие сотрудники получают соответствующее уведомление). | |
Наиболее эффективные меры по снижению рисков, особенно актуальные для IaaS-инфраструктуры | |||
Виртуальная машина держателя скомпрометирована в результате злонамеренных действий третьей стороны [24] | Ссылка 1. IaaS-инфраструктура | Меры по снижению рисков Обеспечьте возможности управления доступом к сети, с помощью которых держатель сможет реализовать сегментирование и разделение сети [25], включая возможность ее фильтрации с целью разрешить удаленное администрирование своих виртуальных машин только с нужных IP-адресов. | Ответ Atlassian Это неприменимо. Компания Atlassian является поставщиком услуг SaaS. |
Ссылка 2. IaaS-инфраструктура | Меры по снижению рисков Предоставьте держателю шаблоны виртуальных машин, где конфигурация обеспечивает должный уровень безопасности и где устранены известные ошибки. Избегайте ситуаций, когда новым виртуальным машинам назначаются слабые парольные фразы администратора. | Ответ Atlassian Это неприменимо. Компания Atlassian является поставщиком услуг SaaS. | |
Наиболее эффективные меры по снижению рисков, особенно актуальные для PaaS | |||
Данные держателя скомпрометированы в результате злонамеренных действий третьей стороны | Ссылка 1. PaaS | Меры по снижению рисков Обеспечьте безопасность и надежную конфигурацию для операционной системы, веб-сервера и ПО платформы. Разрешите входящие и исходящие сетевые подключения только для необходимых портов и протоколов. Оперативно устраняйте ошибки и анализируйте журналы. | Ответ Atlassian Это неприменимо. Компания Atlassian является поставщиком услуг SaaS. |
Наиболее эффективные меры по снижению рисков, особенно актуальные для SaaS | |||
Данные держателя скомпрометированы в результате злонамеренных действий третьей стороны | Ссылка 1. SaaS | Меры по снижению рисков Внедрите средства управления для облачной службы, например для электронной почты, предоставляемой как услуга. Обеспечьте функции фильтрации контента с автоматическим динамическим анализом электронных писем и вложенных файлов. | Ответ Atlassian Такие возможности обеспечиваются в наших продуктах. Компания Atlassian применяет решение Proofpoint (https://www.proofpoint.com/au/products/email-protection) для сканирования вложенных файлов и переопределения URL-адресов, чтобы блокировать попытки фишинга. Кроме того, в Atlassian используются средства защиты электронной почты, встроенные в Google G Suite (службы безопасности и защиты данных в облаке). |
Ссылка 2. SaaS | Меры по снижению рисков Внедрить общие средства управления [26], в частности. разрешение входящих и исходящих сетевых подключений только по необходимым портам или протоколам, ежедневное обновление антивирусного ПО, системы предотвращения вторжений и оперативный анализ журналов. | Ответ Atlassian Неприменимо. На рабочих серверах Atlassian нет средств защиты от вредоносного ПО, так как запись данных на них осуществляется только через наш конвейер CI/CD. Службы приложений Atlassian, в которых размещаются Jira Cloud или Confluence Cloud, содержат только код приложений и ничего больше. Запись данных на серверы Jira и Confluence Cloud разрешена только через конвейер развертывания Atlassian / конвейер CI/CD. |