Принципы безопасности
Мы считаем, что все команды способны на великие свершения. Наша миссия — раскрыть потенциал каждой команды, независимо от размера и отрасли, и помочь человечеству перейти на новый этап развития, используя возможности программного обеспечения.
Мы понимаем, что миссия вашей компании значит для вас ничуть не меньше, чем для нас наша собственная. Мы также понимаем, что информация лежит в основе всего нашего бизнеса и жизни в целом. Поэтому доверие клиентов — наша главная цель, а обеспечение безопасности всегда остается первоочередной задачей. Наша программа обеспечения безопасности полностью открыта, чтобы вы могли понять принцип ее работы и уверенно применять наши продукты и сервисы.
Ознакомьтесь подробнее с нашим подходом к обеспечению безопасности и узнайте, каким образом клиенты могут внести в эту область свой вклад.
Если не указано иное, информация на этой странице касается продуктов Atlassian Cloud — Jira, Confluence и Bitbucket.
Наш подход к обеспечению безопасности
Этот раздел посвящен подходу компании Atlassian к обеспечению безопасности. В нем рассмотрены основные действия и методы в ряде доменов безопасности для защиты наших собственных сред (включая облачные платформы) и процессов, предназначенных для создания максимально безопасных продуктов для наших клиентов и пользователей.
Наши основные принципы обеспечения безопасности
В основе нашего подхода к обеспечению безопасности лежит несколько тезисов.
- Мы хотим стать примером для наших коллег в вопросах безопасности облака и продуктов.
- Мы стремимся отвечать всем требованиям клиентов к безопасности облака и превосходить требования отраслевых стандартов и сертификаций безопасности.
- Мы открыто делимся информацией о своих программах, процессах и показателях и стремимся к их прозрачности. Это означает, что мы рассказываем о своем развитии и ждем того же от других поставщиков облачных услуг, а также устанавливаем новые стандарты для клиентов.
Основное внимание в этом разделе уделяется ряду мер и инициатив. С их помощью мы воплотили в жизнь основные принципы обеспечения безопасности, заключенные в этих главных тезисах.
Мы также гордимся тем, что многие из наших главных продуктов лежат в основе повседневных операций и рабочих процессов в компании Atlassian и являются их ключевой составляющей. Например, приложения Jira и Confluence составляют основу нашего подхода к управлению инцидентами и программ управления уязвимостями. Это означает, что мы заинтересованы в обеспечении безопасности наших продуктов. Дело не только в том, что одна из наших ключевых ценностей звучит как «Проявляйте заботу о клиентах», но и в том, что мы сами используем эти продукты.
Наша команда
Уверены, что большинство компаний готовы сказать то же самое, — но мы бесконечно гордимся нашей командой по обеспечению безопасности. Мы считаем, что сформировали и вырастили команду самых лучших и талантливых специалистов в отрасли. Наша команда по обеспечению безопасности насчитывает более 100 сотрудников из офисов в Сиднее, Амстердаме, Бангалоре, Остине, Маунтин-Вью, Сан-Франциско и Нью-Йорке (плюс несколько участников, которые работают дистанционно); возглавляет команду генеральный директор по информационной безопасности в Сан-Франциско. Эта команда постоянно развивается, тем самым подтверждая, что безопасность является сферой особого внимания для Atlassian. У нас есть множество вспомогательных команд, в том числе:
- команда по обеспечению безопасности продуктов — отвечает за безопасность наших продуктов и платформ;
- команда по обеспечению безопасности экосистемы — отвечает за безопасность нашего магазина Marketplace и аддонов;
- Detection and Response – responsible for detecting and responding to security incidents
- Red team - responsible for adversary emulation and exercising Detection and Response
- команда по разработке архитектуры безопасности — отвечает за определение требований к безопасности наших продуктов и платформ;
- команда по обеспечению корпоративной безопасности — отвечает за обеспечение безопасности внутри компании в аспектах, касающихся собственной сети и приложений;
- команда по формированию доверия пользователей — отвечает за отслеживание ожиданий клиентов и реагирование на них, а также обеспечивает прозрачность наших процессов и методов работы;
- команда по разработке приложений и обеспечению надежности — отвечает за создание и эксплуатацию инструментов для команды по обеспечению безопасности;
- команда по повышению грамотности и подготовке — отвечает за обучение наших сотрудников и партнеров принципам безопасной работы.
Пока наша команда по обеспечению безопасности продолжает расширяться, каждый сотрудник Atlassian играет свою роль в нашей миссии по повышению уровня безопасности. Мы не устаем напоминать им об этом с первого до последнего дня работы в компании. Мы хотим стать примером для других компаний в вопросах облачной безопасности, соответствовать всем требованиям клиентов к облачной безопасности, превосходить требования всех отраслевых стандартов и сертификаций безопасности и с гордостью публиковать сведения о защите данных наших клиентов. Наши цели и видение транслируются каждому сотруднику с первого до последнего дня работы в компании Atlassian.
Дополнительные программы, которые помогают нам поддерживать безопасность на должном уровне
Наше внимание сосредоточено на основах безопасности. При этом мы реализовываем ряд программ, которые помогают следить и за тем, чтобы наш подход к обеспечению безопасности оставался как можно более разносторонним, позволяя работать на опережение. Перечислим некоторые из них.
Программа поддержки безопасности
Эта программа служит дополнением процессов реагирования на инциденты в Atlassian. Мы встроили в стандартный процесс управления инцидентами отдельную программу, чтобы заблаговременно выявлять инциденты и создавать для них соответствующие предупреждения. Учитываются не только известные нам и актуальные типы инцидентов, но и угрозы, с которыми мы столкнемся в будущем.
Программа вознаграждения за найденные ошибки
Наша программа вознаграждения за найденные ошибки неизменно признается одной из лучших в отрасли и позволяет нам прибегать к помощи авторитетного сообщества, состоящего из десятков тысяч исследователей, которые постоянно тестируют наши продукты и отчитываются о любых обнаруженных уязвимостях.
Постоянное совершенствование нашей программы безопасности
Мы стремимся к тому, чтобы наша программа безопасности оставалась актуальной и служила примером для других компаний отрасли. Мы понимаем, что для этого нам необходимо постоянно оценивать наш текущий подход к обеспечению безопасности (а также сравнивать его с подходами наших коллег по цеху) и выявлять возможности для улучшения.
С этой целью мы провели (и продолжаем проводить) многочисленные оценки зрелости нашей программы безопасности, к участию в которых приглашаются независимые консалтинговые компании в сфере безопасности. В 2020 году мы также провели независимую оценку всей нашей программы «Надежность и безопасность». Мы учитываем данные, полученные в результате всей этой работы, в том числе основные рекомендации, чтобы заполнить любые пробелы и воспользоваться каждой возможностью стать лучше.
We have also defined a series of programs across our various security – such as Product Security and Detection and Response – to guide our internal improvement. We have defined metrics to support each of these programs which we review through our Security Management Team. We use these metrics to identify and target areas for improvement across each of our core capabilities.
Дополнительная информация
Этот документ дает общее представление о нашем подходе к обеспечению безопасности. Подробная информация о нашей программе безопасности доступна на странице Atlassian Trust Center. Там вы также найдете ряд специальных веб-страниц и технических документов, посвященных различным аспектам нашей программы безопасности, включая следующие.
- Подход компании Atlassian к управлению данными клиентов
- Наш подход к внешнему тестированию безопасности
- Наш подход к управлению инцидентами безопасности
- Наш подход к управлению уязвимостями
- Общая ответственность за обеспечение облачной безопасности
- Наша система Atlassian Trust Management System
- Политики Atlassian в сфере безопасности и технологий
Защита нашей внутренней среды
Отправной точкой эффективного подхода к обеспечению безопасности является наведение порядка в собственном хозяйстве. Для этого, в частности, нужно обеспечить безопасность наших внутренних сред. Для этого применяется ряд мер.
Встраивание средств обеспечения безопасности в архитектуру наших сетей
Компания Atlassian практикует многоуровневый подход к обеспечению безопасности сетей. Мы внедряем методы защиты на каждом уровне облачных сред, разделяя существующую инфраструктуру на зоны, среды и сервисы. Мы ввели ограничения по зонам, которые включают в себя введение лимита сетевого трафика на уровне офиса/сотрудников, данных клиентов, CI/CD и DMZ. У нас также предусмотрена изоляция сред, чтобы контролировать подключения между рабочими и нерабочими средами. Данные рабочей среды не реплицируются за пределами рабочих сред. Доступ к рабочим сетям и сервисам возможен только из тех же сетей, то есть доступ к рабочему сервису может получить только другой рабочий сервис.
Для коммуникации между сервисами требуется явная авторизация с использованием списка разрешенных сервисов. Доступ к конфиденциальным сетям регулируется с помощью маршрутизации виртуальных частных облаков (VPC), а также использования программно конфигурируемых сетей и правил для брандмауэров. Все подключения в этих сетях зашифрованы. Мы также внедрили систему обнаружения вторжений как в офисных, так и в производственных сетях, чтобы выявлять возможные угрозы.
Обеспечение безопасного доступа к нашим сетям при помощи модели «нулевого доверия»
Компания Atlassian использует концепцию «нулевого доверия» для обеспечения безопасного доступа к своей корпоративной сети, внутренним приложениям и облачным средам. Простыми словами основной постулат этой концепции можно сформулировать так: «Никогда не доверяйте, всегда проверяйте».
Концепция «нулевого доверия» отличается от традиционных подходов к обеспечению сетевой безопасности, в рамках которых правомочность доступа пользователя к ресурсам в сети определяется только посредством аутентификации. Такие подходы сопряжены с риском использования недоверенного или небезопасного устройства, что может поставить безопасность под угрозу. По этой причине многие организации начали переход к модели, в рамках которой доступ к сети могут получать только доверенные устройства. Для этого они используют технологии управления мобильными устройствами или разрешают доступ на уровне сети ограниченному кругу известных устройств, внесенных в специальный список.
Эти подходы позволяют добиться нужных результатов, но им недостает детализации. Подход компании Atlassian, в основе которого лежит концепция «нулевого доверия», гарантирует, что решение о предоставлении пользователям доступа к ресурсам и сервисам в наших сетях выносится не только на основании их учетных данных, предоставленных для аутентификации, но и с учетом динамической политики. Таким образом решение о предоставлении доступа к тому или иному ресурсу или об отказе в нем выносится с учетом ряда факторов и на основе состояния безопасности пользовательского устройства (независимо от его местоположения).
Проще говоря, мы выделили три уровня ресурсов (в зависимости от степени их относительной критичности и ценности) в нашей сети, вокруг которых выстроена модель «нулевого доверия».
- Открытый уровень. Доступ к сервисам этого уровня может получить любой корпоративный пользователь, который успешно пройдет аутентификацию в нашей сети.
- Нижний уровень. Доступ к этим ресурсам предоставляется прошедшему аутентификацию корпоративному пользователю, только если он обращается к нашей сети с доверенного корпоративного устройства (такого, которое принадлежит компании Atlassian и которым она управляет) или управляемого личного устройства (собственного устройства пользователя, зарегистрированного в программе управления мобильными устройствами (MDM) Atlassian).
- Верхний уровень. Доступ к этим ресурсам можно получить только прошедшему аутентификацию корпоративному пользователю с корпоративного устройства, выданного компанией Atlassian. Получить доступ к рабочим сервисам из нашей корпоративной сети можно только с помощью устройства верхнего уровня, пройдя аутентификацию на базе SAML.
Реализация модели нулевого доверия компанией Atlassian происходит за счет ряда автоматизированных процессов, сервисов и компонентов. Вот как она работает на верхнем уровне.
- Прошедшим аутентификацию пользователям с корпоративными или управляемыми личными устройствами наш сервис Trust Engine предоставляет сертификат. В сертификате содержатся метаданные, указывающие, для какого устройства он выдан: личного или корпоративного. Сертификат помещается на устройства при помощи наших решений по управлению конечными точками и регулярно обновляется (или отзывается).
- Когда пользователь проходит аутентификацию, его сертификат запрашивается для изучения нашей инфраструктурой. Информация из сертификата позволяет определить правомочность аккаунта пользователя и тип используемого устройства. На основании этой информации пользователю предоставляется доступ либо к сети нижнего уровня, где его возможности работы с сетью и приложениями ограничены, либо к верхнему уровню. Устройства, подключенные к сети Atlassian, опрашиваются каждый час, и наши решения по управлению конечными точками создают перекрестные ссылки на них, чтобы получить информацию о владельце, безопасности и состоянии устройства. При этом устройства также подвергаются проверке на соответствие минимальным требованиям. В ходе нее проверяются наличие средств защиты от вредоносного ПО, шифрование, версии ОС и т. д.
- Информация о соответствии устройств пользователей требованиям поступает в центральную базу данных. На ее основании принимается решение о предоставлении пользователям доступа к ресурсам в нашей сети или об отказе в нем. Устройства, помеченные как не отвечающие требованиям, будут отключены от нашей сети.
Компания Atlassian подготовила документ, в котором описываются принципы и реализация архитектуры «нулевого доверия».
Защищенное управление доступом к нашим системам и сервисам
В компании Atlassian детально прописан процесс управления доступом (его предоставления или отзыва) пользователя для всех систем и служб. У нас существует установленный рабочий процесс (с синхронизацией каждые 8 часов), посредством которого соединены наша система управления кадровыми ресурсами и система управления доступом. Контроль доступа осуществляется на основе ролей с помощью предопределенных профилей пользователей. Благодаря этому сотрудникам предоставляется ровно столько прав доступа, сколько необходимо для исполнения должностных обязанностей. Все аккаунты пользователей должны быть утверждены руководством, прежде чем они получат доступ к данным, приложениям, инфраструктуре или сетевым компонентам.
Поддерживая нашу архитектуру «нулевого доверия», мы контролируем доступ к собственным корпоративным приложениям посредством платформы единого входа. Чтобы получить доступ к любому из наших приложений, сотрудники должны пройти аутентификацию посредством этой платформы, которая запрашивает аутентификационные данные двух разных типов. Пользователям необходимо пройти аутентификацию с помощью ключей U2F либо с помощью мобильного приложения, предназначенного для проверки подлинности (предоставляется компанией Atlassian). Мы отказались от менее надежных методов аутентификации, таких как использование одноразовых паролей, рассылаемых по SMS или сообщаемых по телефону. Компания Atlassian приняла этот подход, чтобы сделать процесс аутентификации устойчивым к фишингу и атакам через посредника. Любую систему, которая рассылает коды в текстовых сообщениях, может взломать опытный злоумышленник.
Защита наших конечных точек
Компания Atlassian использует несколько решений по управлению конечными точками, чтобы развертывать обновления и патчи для операционных систем и ключевых приложений на всем комплексе наших конечных точек. Мы также внедрили множество решений по защите конечных точек, чтобы устранить такие угрозы, как вредоносное ПО.
Наша модель, основанная на принципе «нулевого доверия», предполагает, что для доступа к большинству наших сервисов с личного мобильного устройства сотрудники компании Atlassian должны регистрироваться в нашей программе управления мобильными устройствами (MDM). Благодаря этому мы можем гарантировать, что все мобильные устройства, подключающиеся к нашей сети, соответствуют минимальным требованиям к безопасности, в том числе в таких аспектах, как шифрование, блокировка устройства, наличие средств защиты от вредоносного ПО и актуальность версий ОС.
Все отвечающие критериям сотрудники, которые регистрируются и постоянно выполняют требования нашей программы MDM, получают от компании Atlassian ежемесячное вознаграждение за участие.
Если какое-либо устройство определяется как не отвечающее требованиям, сотрудник получит по электронной почте соответствующее уведомление. Сотруднику дается 24 часа на исправление нарушения, прежде чем доступ для этого устройства будет прекращен.
Безопасность в нашей повседневной работе
Мы прилагаем множество усилий, чтобы безопасность стала неотъемлемой частью всех аспектов наших повседневных операционных процессов. Мы стремимся к тому, чтобы безопасность всегда учитывалась в наших методах работы и нам как можно реже приходилось совершенствовать или доводить до ума систему безопасности постфактум.
Отслеживание наших информационных ресурсов
Наши рабочие системы размещены в инфраструктуре, предоставленной поставщиками облачных услуг. Из-за характера этих услуг системы не отслеживаются на аппаратном уровне. Базовые микросервисы, на основе которых работают наши продукты, отслеживаются в специально созданной сервисной базе данных. Эта база данных автоматически обновляется при развертывании какого-либо сервиса.
Наша команда по технологиям рабочего места проводит инвентаризацию всех конечных точек с помощью нашего собственного программного обеспечения Jira для целей отслеживания.
Управление изменениями в нашей среде
Наш процесс управления изменениями немного отличается от традиционного. Традиционные процессы опираются на иерархию в виде пирамиды. В этом случае запросы на изменение обрабатываются специальной группой, которая одобряет или отклоняет их.
Мы сделали выбор в пользу открытого подхода, который мы называем «Оценка коллегами, зеленая сборка» (PRGB). В отличие от традиционного процесса управления изменениями подход PRGB требует, чтобы каждое изменение — будь то изменение кода или инфраструктуры — проверялось одним или несколькими коллегами на предмет проблем, которые могут возникнуть в его результате. Чем критичнее изменение или системы, которые оно затронет, тем больше привлекается проверяющих. Наши специалисты выявляют и помечают проблемы, прежде чем изменение будет реализовано. Этот процесс зарекомендовал себя как гибкий и адаптируемый подход к управлению изменениями в нашей среде. Под «зеленой сборкой» подразумевается, что наш конвейер CI/CD должен произвести успешную или «чистую» сборку, включающую новые изменения. Если какие-либо составляющие изменения не проходят интеграционное тестирование, функциональное тестирование, модульное тестирование или тестирование безопасности, сборка отклоняется и возвращается на стадию исходного запроса на изменение для устранения всех неполадок.
Управление конфигурациями в наших системах
В нашей компании лишь ограниченному числу специалистов и архитекторов разрешено устанавливать программное обеспечение в рабочей среде. В большинстве случаев установка ПО невозможна. Для управления конфигурациями и изменениями на серверах в наших рабочих средах используются инструменты управления конфигурациями. Предполагается, что для непосредственного внесения изменений в эти системы утвержденная конфигурация передается посредством инструментов управления конфигурацией. Благодаря этому обеспечивается согласованность. Мы полагаемся на стандартные образы машин Amazon (Amazon Machine Image, AMI). Все изменения в наших AMI или операционных системах должны совершаться посредством нашего стандартного процесса управления изменениями. Мы отслеживаем конфигурации-исключения и сообщаем о них. Кроме того, у нас реализована изоляция ресурсов, чтобы проблемы с каким-либо сервисом не повлияли на работу других сервисов. Мы также используем процесс «Проверка коллегами, зеленая сборка» (PRGB). В ходе этого процесса множество проверяющих утверждают изменения конфигурации, переданные через инструменты управления конфигурациями. Все сборки снабжаются криптографической подписью. В нашей рабочей среде можно запускать только сборки такого типа.
Использование журналов
С помощью платформы управления информацией о безопасности и событиями безопасности (SIEM) мы собираем журналы из различных источников, устанавливаем правила мониторинга для этих собранных журналов и затем помечаем все подозрительные действия. Оценка таких оповещений, а также их дальнейшее расследование и надлежащая эскалация определяются внутренними процессами компании. Ключевые системные журналы передаются из каждой системы, причем журналы доступны только для чтения. Команда по обеспечению безопасности Atlassian создает оповещения на нашей платформе аналитики безопасности и отслеживает признаки угрозы. Наши команды по обеспечению надежности используют эту платформу, чтобы отслеживать проблемы, влияющие на доступность или производительность. Журналы хранятся в течение 30 дней в архивах «горячего» резервирования и в течение 365 дней в архивах «холодного» резервирования.
Основные системные журналы объединяются как во внутреннюю систему анализа журналов, так и в систему обнаружения вторжений.
Журналы играют важнейшую роль в нашей глобальной стратегии обнаружения вторжений и реагирования на них. Подробнее об этом написано в разделе «Наш подход к выявлению угроз безопасности, их предупреждению и реагированию на них».
Обеспечение непрерывности бизнеса и аварийного восстановления
Нам очень важно, чтобы наши продукты были отказоустойчивыми — во многом по той причине, что команда Atlassian сама полагается на эти продукты. Мы понимаем, что иногда могут случаться перебои в работе. Поэтому мы стремимся внедрить процессы на случай перебоев, чтобы их воздействие на наших клиентов было минимальным. В наших программах по обеспечению непрерывности бизнеса (BC) и аварийного восстановления (DR) предусмотрены различные меры, которые помогают достичь соответствующих целей.
Руководство компании вовлечено в планирование непрерывности бизнеса и аварийного восстановления. Такой контроль необходим, чтобы все команды чувствовали на себе личную ответственность за обеспечение устойчивости. В ходе мероприятий по планированию BC и DR мы стремимся найти подходящий баланс между затратами, выгодами и рисками. Для этого мы проводим анализ целевых сроков восстановления (RTO) и целевых точек восстановления (RPO) сервисов. В результате этого анализа мы создали простую систему из 4 уровней. С помощью нее можно поделить сервисы на группы в зависимости от того, какие требования выдвигаются к их восстановлению. Подробнее об этом подходе см. на странице «Подход компании Atlassian к управлению данными клиентов».
Наши программы BC и DR предполагают следующие мероприятия.
1. Встраивание средств обеспечения резервирования для удовлетворения требований к отказоустойчивости
2. Тестирование и проверка мер обеспечения избыточности
3. Использование результатов тестирования для непрерывного улучшения мер обеспечения BC и DR
Наши продукты создаются с расчетом на эффективное использование возможностей избыточности, таких как зоны доступности и регионы, предоставляемых поставщиками облачных услуг.
Мы непрерывно отслеживаем широкий спектр показателей, чтобы как можно раньше обнаружить потенциальные проблемы. Эти показатели используются для настройки оповещений для инженеров по обеспечению надежности сайта (SRE) или соответствующих команд по проектированию продукта. При превышении порогового значения показателей незамедлительно принимаются меры согласно процедуре реагирования на инциденты. Кроме того, команда SRE играет ведущую роль в выявлении недостатков программы DR, а также устраняет их совместно с командой по управлению рисками и обеспечению соответствия требованиям. Каждая из наших команд включает эксперта по DR, который помогает ее участникам в управлении аварийным восстановлением в рамках их функциональных обязанностей, а также контролирует этот процесс.
Тестирование DR охватывает такие аспекты, как процессы и технологии, в том числе документирование нужных процессов. Тестирование проводится регулярно и с учетом уровня важности сервиса. Например, процессы резервного копирования и восстановления данных основных систем, предназначенных для клиентов, тестируются ежеквартально. Мы проводим ручное и целенаправленное тестирование аварийного переключения систем. Такое тестирование может быть относительно простым (обсуждение моделируемой ситуации) или же более сложным, с проверкой аварийного переключения в зонах доступности и регионах. Результаты тестирования тщательно фиксируются и документируются независимо от сложности. Проводится их анализ и выявляются недостатки и возможности для улучшения, которые затем обрабатываются в виде заявок Jira. Благодаря этому весь процесс непрерывно совершенствуется.
Мы проводим ежегодную оценку последствий для бизнеса (BIA) с целью определить риски критически важных сервисов. Результаты оценки используются для определения стратегии по обеспечению DR и BC. Благодаря этому возможна разработка эффективных планов по DR и BC для критически важных сервисов.
Доступность сервисов
Помимо вышеупомянутых мер, мы также публикуем для клиентов сведения о статусе доступности сервисов в режиме реального времени в собственном продукте Statuspage. В случае проблем с сервисом клиенты узнают об этом сразу после нас.
Резервное копирование
Компания Atlassian реализует комплексную программу резервного копирования. Она охватывает внутренние системы компании, средства резервного копирования которых соответствуют требованиям к восстановлению работоспособности систем. Кроме того, в отношении предложений Atlassian Cloud (особенно клиентских данных и данных приложений) применяются расширенные средства резервного копирования. Для ежедневного автоматического резервного копирования каждого экземпляра RDS в Atlassian используют возможности Amazon RDS (сервиса реляционных баз данных) по созданию снимков состояния.
Снимки состояния Amazon RDS хранятся в течение 30 дней. Они позволяют восстановить экземпляр до состояния на определенный момент времени и зашифрованы по стандарту AES-256. Резервные копии данных не хранятся удаленно, а реплицируются в несколько ЦОД в определенном регионе AWS. Кроме того, мы проводим ежеквартальное тестирование своих резервных копий.
Данные Bitbucket копируются в другой регион AWS. Кроме того, для каждого региона ежедневно создаются независимые резервные копии.
Эти резервные копии не используются для устранения негативных последствий от операций, инициированных клиентами (таких как перезапись отдельных полей в ходе работы скриптов, удаление задач, проектов или сайтов). Во избежание потери данных рекомендуется выполнять регулярное резервное копирование. Подробнее о создании резервных копий см. в документации по поддержке конкретного продукта.
Физическая безопасность
Методы обеспечения физической безопасности в офисах Atlassian регулируются политикой обеспечения физической защиты и безопасности среды, благодаря которой локальная и облачная среды компании надежно защищены физически. Политика описывает такие меры и средства, как безопасные рабочие места, защита ИТ-оборудования (независимо от его местонахождения), доступ в здания и офисы только для соответствующего персонала, а также мониторинг физических точек входа и выхода. Компания придерживается таких принципов физической безопасности, как организация приема посетителей в рабочие часы с обязательной регистрацией, доступ по опознавательным знакам во все места внутреннего пользования, а также регулирование доступа через точки входа и выхода (включая главные входы и зоны погрузки) в нерабочее время и ведение видеонаблюдения в этих точках при содействии управления офисного здания.
Центры обработки данных, с которыми сотрудничает компания Atlassian, соответствуют по меньшей мере требованиям SOC 2. Эта сертификация гарантирует наличие ряда средств защиты, в том числе обеспечения физической безопасности и безопасности среды. Доступ к центрам обработки данных осуществляется только уполномоченным персоналом после биометрической аутентификации. Меры физической защиты включают охрану на местах, видеонаблюдение, шлюзовые кабины и дополнительные меры защиты от вторжений.
Защита данных
Мы используем ряд мер для обеспечения защиты и доступности данных клиентов, при этом предоставляя клиентам максимальный контроль над своими данными.
ЦОД
Продукты и данные Atlassian размещаются у ведущего поставщика услуг облачного хостинга — Amazon Web Services (AWS). AWS обеспечивает оптимальную производительность для клиентов по всему миру, предоставляя возможности избыточности и аварийного переключения ресурсов. Мы используем несколько регионов AWS, удаленных друг от друга географически (в восточной и западной частях США, на территории Европейского союза и в странах Азиатско-Тихоокеанского региона), а также несколько зон доступности в каждом из этих регионов. Таким образом, отказ отдельного ЦОД не ухудшает доступность продуктов или клиентских данных. Подробнее см. в документе, посвященном управлению клиентскими данными в Atlassian, и на странице облачной инфраструктуры размещения.
Физический доступ к ЦОД, где размещаются данные клиентов, осуществляется только уполномоченным персоналом, при этом право доступа проверяется с использованием биометрии. Меры обеспечения физической безопасности для ЦОД включают охрану на местах, видеонаблюдение, кабины-ловушки и дополнительные меры защиты от вторжений.
Шифрование данных
Все данные клиентов, хранящиеся в облачных продуктах Atlassian, шифруются при передаче по общедоступным сетям с помощью протокола TLS 1.2+ с полной безопасностью пересылки (PFS) для защиты от несанкционированного раскрытия или изменения. Наша реализация TLS обеспечивает использование криптостойких шифров и ключей нужной длины, если это поддерживается браузером.
Данные наших клиентов и вложенные файлы Jira Software Cloud, Jira Service Management Cloud, Jira, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie и Trello, хранящиеся на жестких дисках наших серверов, защищены с помощью стандартного полнодискового шифрования AES-256. Актуальные сведения об обновлениях платформы см. в дорожной карте Atlassian Trust.
Управление ключами
Для управления ключами компания Atlassian использует AWS Key Management Service (KMS). Процесс шифрования, дешифрования и управления ключами регулярно проверяется и контролируется AWS в рамках внутренних процессов валидации. Для каждого ключа назначается владелец, который отвечает за применение для него методов защиты соответствующего уровня.
Разделение держателей
Клиенты Atlassian пользуются продуктами в общей облачной ИТ-инфраструктуре, однако при этом их данные логически разделены. Таким образом, действия одного клиента не могут поставить под угрозу конфиденциальность данных или работоспособность сервиса другого клиента.
В компании Atlassian для каждого приложения используется свой подход. В случае с сервисами Jira и Confluence Cloud для логической изоляции клиентов используется концепция под названием «контекст держателей» (Tenant Context). Она реализована в коде приложения и управляется посредством созданной нами «службы контекста держателей» (Tenant Context Service, TCS). Согласно этой концепции:
- данные каждого клиента при хранении логически обособлены от данных других держателей;
- все запросы к данным обрабатываются Jira или Confluence в контексте определенного держателя, исключая воздействие на других держателей.
В общих чертах, TCS хранит «контекст» для каждого отдельного держателя. Контекст привязан к уникальному идентификатору, который централизованно хранится в TCS и включает набор метаданных, связанных с держателем (например, базы данных с записями держателя, лицензии держателя, доступные ему возможности и прочая информация, относящаяся к конфигурации). Когда клиент обращается к Jira или Confluence Cloud, служба TCS с помощью этого идентификатора отбирает соответствующие метаданные и связывает их со всеми действиями держателя во время сеанса использования приложения.
Контекст, предоставляемый службой TCS, играет роль «призмы», через которую происходит взаимодействие с данными клиента и которая сфокусирована на одном конкретном держателе. Таким образом, держатель не может получить доступ к данным другого держателя и не может своими действиями повлиять на работоспособность сервиса другого держателя.
Дополнительные сведения о нашей облачной архитектуре см. в ресурсах, посвященных поддержке облачных продуктов.
Общая ответственность при управлении данными клиентов
Компания Atlassian принимает на себя ответственность за обеспечение безопасности, доступности и надлежащей производительности предоставляемых приложений, а также систем, в которых они работают, и сред размещения этих систем. Несмотря на это, безопасность является предметом солидарной ответственности Atlassian и клиентов компании. Можно выделить четыре направления по обеспечению безопасности.
Политика и соответствие требованиям
Обеспечение соответствия системы потребностям бизнеса и ее функционирования согласно требованиям отраслевых стандартов, нормативных правовых актов и иных регламентирующих документов.
Пользователи
Создание пользовательских аккаунтов и управление ими.
Информация
Содержимое, которое клиенты хранят в Confluence Cloud, Jira Cloud, Trello или Bitbucket Cloud.
Приложения Marketplace
Сторонние сервисы, которые можно интегрировать с продуктами Atlassian.
Компания Atlassian принимает все необходимые меры для защиты безопасности клиентских данных. Однако значительное влияние на безопасность оказывают и решения клиентов по настройке продуктов. При использовании продуктов следует обращать внимание на следующие важные действия.
- Подтверждение домена и централизованное управление пользовательскими аккаунтами. Администраторы в организациях клиентов могут подтвердить права организации на один или несколько доменов. После подтверждения домена у администратора появляется возможность централизованно управлять всеми аккаунтами Atlassian сотрудников и применять политики аутентификации, в том числе требования к паролям и SAML. Настоятельно рекомендуется выполнить эти действия, чтобы защитить доступ к аккаунтам и данным, которые можно получить в случае входа.
- Права доступа. Наши продукты предназначены для совместной работы, однако клиентам следует с осторожностью предоставлять пользователям права доступа к данным в организации. В некоторых случаях возможно предоставление общего доступа к данным. Компания Atlassian не может повлиять на это решение, и в этом случае данные могут быть скопированы или переданы в чужие руки.
- Централизованный доступ. Клиентам настоятельно рекомендуется использовать Atlassian Guard — инструмент для централизованного администрирования и повышения безопасности всех продуктов Atlassian, используемых в организации. (Средства обеспечения безопасности включают принудительную двухфакторную аутентификацию [2FA] и систему единого входа.)
Подробнее см. в документе, посвященном общей ответственности при обеспечении безопасности облака.
Управление доступом к данным клиентов
Все данные клиентов считаются в равной степени конфиденциальными, поэтому мы внедрили строгие методы защиты этих данных. Чтобы подготовить сотрудников и подрядчиков к работе с данными клиентов, а также дать соответствующие рекомендации, мы проводим обучение для повышения осведомленности в этой области в период адаптации.
В Atlassian данные клиентов, хранящиеся в наших приложениях, доступны только уполномоченным сотрудникам. Аутентификация выполняется с помощью индивидуальных открытых ключей, защищенных парольной фразой, а серверы принимают входящие SSH-соединения только из Atlassian и внутренних центров обработки данных. Доступ к любым данным предоставляется группам привилегированных пользователей и может быть предоставлен другим пользователям только после запроса и проверки. Кроме того, требуется дополнительная двухфакторная аутентификация (2FA).
Благодаря строгим методам защиты при аутентификации и авторизации наша международная команда поддержки может выполнять техническое обслуживание и поддержку продуктов. Доступ к размещенным приложениям и данным возможен с целью мониторинга состояния приложений и проведения технического обслуживания систем или приложений, а также по запросу клиента через нашу систему поддержки. Кроме того, клиенты могут предоставить доступ к данным определенным специалистам службы поддержки. Это можно сделать с помощью средства проверки согласия на предоставление доступа.
Несанкционированный или ненадлежащий доступ к данным клиентов рассматривается как инцидент безопасности и обрабатывается с помощью процесса управления инцидентами. Этот процесс включает инструкции по уведомлению затронутых клиентов в том случае, если было обнаружено нарушение политики.
Сохранение и удаление данных
Компания Atlassian имеет возможность удалять персональные данные по запросу пользователей, а также помогает удалять персональные данные конечным пользователям с аккаунтами Atlassian. Кроме того, Atlassian предоставляет инструменты импорта и экспорта, с помощью которых клиенты могут получать доступ к своим данным, а также импортировать и экспортировать их.
Сайты клиентов деактивируются через 15 дней после окончания срока действия подписки. Atlassian хранит данные неактивных сайтов в течение 15 дней (для сайтов пробной версии) или 60 дней (для сайтов с платной подпиской) после окончания срока действия подписки. Обратите внимание, что в случае подписки на продукты Jira данные будут удалены только после отмены подписки на все такие продукты.
Подробнее см. на странице, посвященной принципам безопасности, или в разделе часто задаваемых вопросов о хранении данных.
Защита сотрудников
Компания Atlassian стремится к тому, чтобы все ее сотрудники умели работать безопасно, и создает соответствующие условия. Важнейшее место в культуре компании занимает установка на безопасность, благодаря которой повышается общий уровень устойчивости к потенциальным кибератакам.
Обучение мерам и правилам безопасности
Все сотрудники Atlassian проходят обучение по мерам и правилам безопасности в период адаптации и в дальнейшем на постоянной основе. Таким образом, безопасность остается важнейшим принципом компании. Мы понимаем, что многие угрозы безопасности касаются не только нашей компании, поэтому проводим обучение для команд наших подрядчиков и партнеров. В программе обучения освещаются такие темы, как современные угрозы безопасности и способы мошенничества, принципы безопасной работы, поведение, несущее потенциальную угрозу безопасности, а также вопросы соответствия нормативным и иным требованиям.
Помимо обучения по общим мерам и правилам безопасности, наши разработчики могут пройти специальное обучение по безопасному программированию. Кроме того, команды разработчиков получают поддержку за счет привлечения инженера по безопасности для выполнения соответствующих рабочих заданий.
В Atlassian также поддерживаются открытые каналы коммуникации, такие как мгновенные сообщения, записи в блогах, разделы часто задаваемых вопросов и т. д., благодаря которым команда по обеспечению безопасности максимально доступна для сотрудников компании.
В октябре команда по обеспечению безопасности Atlassian проводит мероприятие под названием «Месяц осведомленности о безопасности», куда приглашаются все сотрудники и партнеры компании. В это время мы празднуем успехи каждого, кто принимал участие в обеспечении безопасности Atlassian, а также закрепляем результаты обучения, еще раз освещая важнейшие вопросы безопасности на играх и внутренних лекциях.
Программа «Чемпионы безопасности»
Программа «Чемпионы безопасности» включает назначенного руководителя по безопасности в каждой сервисной команде и команде по продукту. Этот выделенный специалист отвечает за распространение ключевых практик безопасности среди других участников команды, а также решает соответствующие задачи совместно с основной командой по обеспечению безопасности для улучшения обмена информацией.
Чемпионы проходят углубленное обучение, чтобы эффективнее выявлять уязвимости безопасности в приложениях, а также освоить принципы безопасной разработки и написания безопасного кода.
Чемпионы безопасности Atlassian регулярно встречаются, чтобы поделиться инструментами и знаниями о последних проблемах и задачах в области безопасности, с которыми они столкнулись, что полезно для всех наших команд. Эта программа позволила еще сильнее укрепить такой важный принцип культуры Atlassian, как безопасность.
Проверка биографии
Нам нужны люди, которые способствовали бы развитию культуры безопасности, созданной в Atlassian. Для этого мы проверяем в соответствии с местным законодательством биографию каждого нового сотрудника. В зависимости от должности подобная проверка может включать проверку судимостей, образования, занятости и кредитоспособности.
Безопасность продуктов
Компания Atlassian уделяет особое внимание тому, чтобы принципы безопасности внедрялись на всех этапах жизненного цикла продукта. Для этого применяется ряд методов.
Система оценки безопасности
Мы стремимся к тому, чтобы принцип безопасности лежал в основе всех наших продуктов. Для этого в компании внедрены так называемые «карты оценки безопасности» — система прозрачного мониторинга для измерения уровня безопасности всех продуктов Atlassian. В рамках этой автоматизированной процедуры используется широкий спектр критериев (например, текущие уязвимости, доля обученных сотрудников и недавние инциденты безопасности), которые позволяют сформировать всестороннюю оценку безопасности каждого из наших продуктов.
В процессе оценки каждая из команд по продукту может получить объективное представление о том, каким вопросам безопасности следует уделить внимание, а также выявить существующие недостатки и определить действия по их устранению. Кроме того, эта процедура системной оценки позволяет команде по обеспечению безопасности Atlassian без труда отслеживать изменения безопасности продуктов во времени, в частности по мере их масштабирования.
Партнеры по обеспечению безопасности
Наша команда по безопасности продукта реализует партнерскую программу по внедрению соответствующих мер, в рамках которой проводятся консультации для команд по продукту и осуществляется контроль за включением процессов обеспечения безопасности в цикл разработки. Поддержка продуктов, безопасность которых критически важна, осуществляется выделенными партнерами по обеспечению безопасности либо посредством ротации доступных специалистов в командах. Партнеры проводят консультации по вопросам безопасности и помогают командам отслеживать, понимать и оперативно реагировать на результаты, полученные при оценке безопасности продукта.
Адресный контроль безопасности
Команда по безопасности продукта также управляет процессами контроля безопасности проектов по разработке ПО. Процедура оценки рисков используется для расстановки приоритетов в областях, требующих контроля, а также для определения действий, необходимых для снижения рисков проекта. В зависимости от установленного уровня риска, контроль может сочетать в себе нижеперечисленные меры.
- Моделирование угроз
- Оценка проекта
- Проверка кода (вручную или с помощью инструментов)
- Тестирование безопасности
- Осуществление независимого контроля сторонними компетентными исследователями или консультантами
В этом документе вы также найдете описание ведущей в отрасли программы вознаграждения за найденные ошибки, в рамках которой проверенная группа исследователей по вопросам безопасности, созданная по принципу краудсорсинга, осуществляет непрерывный контроль безопасности.
Моделирование угроз: безопасность на этапе проектирования
На этапах планирования и проектирования продуктов моделирование угроз позволяет лучше понять, каковы потенциальные риски проекта в случае возникновения множественных угроз безопасности или разработки возможностей, безопасность которых критически важна. Моделирование проводится в форме обычного обсуждения или мозгового штурма среди технических специалистов, инженеров по безопасности, разработчиков архитектуры и менеджеров по продукту. По итогам беседы выявляются значимые угрозы безопасности и определяются их приоритеты. Эти выводы используются на этапе проектирования и позволяют внедрить необходимые методы защиты. Кроме того, они пригодятся для адресных проверок и тестирования на конечных этапах разработки.
Анализ кода
Автоматический анализ кода осуществляется на платформе под названием Security Assistant («Ассистент по безопасности»), которая поддерживает все репозитории кода в Atlassian. Платформа включает различные инструменты статического анализа, обеспечивающие полную безопасность кода. Мы непрерывно улучшаем их и добавляем новые. В ответ на новый запрос pull в репозитории платформа выполняет следующие действия.
- Поиск и выявление устаревших зависимостей кода, которые могут создавать уязвимости (подробнее об этом см. в разделе о нашем подходе к управлению уязвимостями).
- Выявление любого случайного или ненамеренного раскрытия секретной информации, содержащейся в репозиториях кода (например, токены аутентификации или криптографические ключи).
- Анализ с целью выявления проблемных шаблонов проектирования, которые могут создавать уязвимости в коде.
База знаний в области безопасности
Чтобы создавать продукты с высочайшим уровнем безопасности, мы обеспечиваем своих разработчиков информационной поддержкой, благодаря чему они постоянно пополняют свои знания о значимых проблемах и угрозах безопасности. Таким источником информации служит внутренняя база знаний в области безопасности приложений, всегда доступная разработчикам.
Наш подход к выявлению угроз безопасности, их предупреждению и реагированию на них
Тестирование безопасности
Подход Atlassian к тестированию безопасности основан на понятии непрерывного контроля. Мы не только проводим адресное тестирование на проникновение по состоянию на заданный момент времени — мы также используем постоянно действующую модель тестирования, которая основана на программе вознаграждения за найденные ошибки по принципу краудсорсинга. В Atlassian уверены, что такой разноплановый подход повышает шансы на обнаружение уязвимостей и помогает нам поставлять клиентам продукты с высочайшим уровнем безопасности. Подробнее см. в документе, посвященном нашему подходу к внешнему тестированию безопасности. Ниже кратко описаны меры по тестированию в Atlassian.
- Проверки безопасности в Atlassian. Как упоминалось ранее, наша команда по безопасности продукта реализует программу проверки безопасности. Регулярное тестирование безопасности является частью этой программы. Оно включает в себя проверку кода и тесты безопасности приложений, которые направлены на потенциально уязвимые области, обозначенные по итогам оценки рисков.
- Тестирование безопасности третьими сторонами. Мы сотрудничаем со специализированными консалтинговыми фирмами в области безопасности для проведения тестирования на проникновение методом белого ящика с использованием кода. Эти тесты ориентированы на угрозы и проводятся в отношении продуктов и инфраструктуры, подверженных высокому уровню риска. (Объектом тестирования могут стать наши облачные среды, новый продукт или серьезные изменения в архитектуре.)
- «Красная команда» Atlassian. В компании есть внутренняя «красная команда», которая имитирует действия злоумышленников. Ее участники пытаются выявить и использовать в своих целях уязвимости, существующие в наших системах, процессах и средах. Таким образом, мы находим и устраняем подобные угрозы в максимально короткие сроки.
- Вознаграждение за найденные ошибки. Для реализации нашей признанной программы вознаграждения за найденные ошибки привлекаются участники сообщества Bugcrowd — проверенные исследователи в области безопасности. Благодаря им непрерывно выявляются уязвимости в наших продуктах, так что обнаружить их и использовать в недобросовестных и корыстных целях становится все более ресурсоемкой задачей. Программа вознаграждения за найденные ошибки была неоднократно признана лучшей в отрасли. Она охватывает более 25 продуктов и сред компании, в том числе продукты Server, мобильные приложения и продукты Cloud.
Все уязвимости в защите, описанные в приведенных ниже отчетах, отслеживаются нашей внутренней системой Jira по мере их регистрации в программе вознаграждения за найденные ошибки. Все найденные таким образом проблемы сортируются по приоритету и отслеживаются в соответствии с нашим соглашением SLO по устранению уязвимостей в защите.
- Загрузить последний отчет о программе вознаграждения за найденные ошибки (Bug Bounty) для Atlassian (октябрь 2024 г.)
- Загрузить последний отчет о программе вознаграждения за найденные ошибки (Bug Bounty) для Jira Align (октябрь 2024 г.)
- Загрузить последний отчет о программе вознаграждения за найденные ошибки (Bug Bounty) для Opsgenie (октябрь 2024 г.)
- Загрузить последний отчет о программе вознаграждения за найденные ошибки (Bug Bounty) для Statuspage (октябрь 2024 г.)
- Загрузить последний отчет о программе вознаграждения за найденные ошибки (Bug Bounty) для Trello (октябрь 2024 г.)
- Загрузить последний отчет о программе вознаграждения за найденные ошибки (Bug Bounty) для Loom (октябрь 2024 г.)
Управление уязвимостями
Компания Atlassian постоянно работает над тем, чтобы снизить уровень серьезности и частоту появления уязвимостей в своих продуктах, сервисах и инфраструктуре, а также как можно быстрее исправлять выявленные уязвимости. С этой целью был внедрен разноплановый подход к управлению уязвимостями, который сочетает в себе автоматические и ручные процессы выявления, отслеживания и устранения уязвимостей. Мы применяем его к приложениям и инфраструктуре и непрерывно совершенствуем.
Для выявления уязвимостей в защите используются данные из различных источников, таких как автоматические сканеры, внутренние проверки системы безопасности, отчеты клиентов, а также наша публичная программа вознаграждения за найденные ошибки. На основе выявленной уязвимости немедленно создается заявка, которая регистрируется в специальном общекорпоративном проекте Jira для отслеживания уязвимостей. Данная заявка назначается ответственному владельцу системы или команде разработчиков. Благодаря централизованному подходу мы эффективно используем автоматизацию для заблаговременной рассылки уведомлений, выполнения автоматических эскалаций, а также формирования общекорпоративной отчетности, что позволяет своевременно устранять уязвимости.
Дополнительные сведения см. в документе о подходе Atlassian к управлению уязвимостями.
Инфраструктура
Мы используем целый ряд инструментов выявления уязвимостей, которые регулярно применяем к своей инфраструктуре для автоматического поиска и обнаружения уязвимостей. Доступны следующие возможности:
- Сканирование сети позволяет определять активные сервисы, открытые порты и запущенные приложения в среде и выявлять любые уязвимости на уровне сети.
- Непрерывный поиск и выявление ресурсов по внешнему периметру сети сопровождается анализом безопасности. Кроме того, мы применяем собственный механизм поиска, выявления и учета ресурсов.
- Мониторинг конфигураций AWS помогает контролировать соответствие конфигураций наших сред AWS установленным стандартам.
Мы постоянно следим за появлением на рынке новых инструментов и пополняем свой арсенал новыми средствами, если считаем, что они расширят наши возможности по выявлению уязвимостей.
Продукты
В процессе разработки, помимо упомянутой программы Bug Bounty, мы полагаемся на ряд инструментов для выявления и предотвращения максимального числа уязвимостей и ошибок в продуктах, прежде чем к ним получат доступ клиенты. Развертывание этих инструментов в репозиториях кода обеспечивается платформой. Некоторые инструменты перечислены ниже.
- Развертывание большинства сервисов Atlassian выполняется при помощи образов контейнеров Docker. Эти образы предоставляют упакованную изолированную среду, состоящую из соответствующих системных библиотек, инструментов, настроек конфигурации и других зависимостей, которые необходимы для обеспечения работы продуктов независимо от параметров конфигурации отдельного компьютера. Мы интегрировали процесс полного сканирования безопасности контейнеров в конвейер CI/CD для всех контейнеров, развернутых в нашей среде разработки, разделе проиндексированных файлов или рабочей среде.
- Наши продукты работают на базе многочисленных библиотек с открытым исходным кодом. Для поиска и обнаружения зависимостей, а также их сличения с базой известных уязвимостей безопасности применяется сочетание инструментов различного происхождения (собственная разработка, инструменты с открытым исходным кодом, покупка инструментов других производителей).
Помимо этого, мы всегда незамедлительно реагируем на любые уведомления от наших пользователей, когда они обнаруживают уязвимости в продукте при стандартном использовании. Мы держим отправителя в курсе происходящего по мере исследования и реагирования на проблему.
Как было сказано ранее, мы используем процесс под названием «Проверка коллегами, зеленая сборка» (PRGB). Это означает, что любое изменение в коде продукта проверяется одним специалистом или группой коллег в целях предотвращения потенциальных негативных последствий.
В Atlassian применяется задокументированная политика исправления ошибок, в которой определены сроки решения задач безопасности, связанных с продуктами, в зависимости от уровня опасности ошибки.
Подробнее о политике исправления ошибок см. здесь. Информацию о недавно исправленных ошибках продуктов, а также ошибках, над которыми ведется работа, см. в общедоступной системе отслеживания ошибок Atlassian.
Реагирование на инциденты
В компании Atlassian применяют комплексный подход к обработке инцидентов безопасности. Любой случай негативного воздействия на конфиденциальность, целостность или доступность данных клиентов либо данных или сервисов Atlassian рассматривается нами как инцидент безопасности.
В Atlassian разработана четкая внутренняя схема, включающая задокументированные сборники сценариев для разных типов инцидентов. В ней определены действия на каждом этапе реагирования на инцидент, что делает процессы согласованными, воспроизводимыми и эффективными. Эти действия включают выявление и анализ инцидентов, разделение их на категории, а также сдерживание последствий инцидентов, их устранение и восстановление систем. Кроме того, согласованность процессов достигается благодаря нашим собственным продуктам, таким как Confluence, Jira и Bitbucket, которые мы используем при реагировании на инциденты.
- Confluence служит единой базой для создания, документирования и обновления процессов реагирования на инциденты.
- В Jira удобно отслеживать процесс реагирования на потенциальные или существующие инциденты безопасности, от инициации до завершения, с помощью заявок.
- Bitbucket используется в экземплярах при разработке основанных на коде решений для уникальных проблем, возникающих в критических случаях в определенных типах инцидентов.
Централизованное ведение комплекса журналов и мониторинг продуктов и инфраструктуры позволяют быстро выявлять потенциальные инциденты, на которые наша опытная команда квалифицированных дежурных менеджеров инцидентов реагирует согласованно и эффективно. Кроме того, мы привлекаем внешних экспертов для повышения эффективности в исследовании инцидентов и реагировании на них.
Мы используем процессы уведомления клиентов, чтобы сообщить о том, что их данные были затронуты в подтвержденном инциденте, и надежные процессы анализа по результатам реагирования на инцидент, чтобы учиться на ошибках, совершенствовать используемые методы и таким образом осложнять работу злоумышленникам. Подробнее см. в документе Atlassian Trust Center, посвященном нашему подходу к управлению инцидентами безопасности.
Программа поддержки безопасности
Программа поддержки безопасности была разработана в рамках реализации нашего подхода к управлению инцидентами на фоне картины угроз, которая усложняется со временем. Для выявления инцидентов выполняется заблаговременный поиск вредоносной активности, которая угрожает Atlassian и клиентам компании. Эти операции выполняются по установленному графику на базе платформы для управления инцидентами и событиями безопасности.
Our detection and response team focuses on the regular creation of new detections, tuning and improving existing detections, and automating detection responses. They do this across a number of dimensions, including products, attack types and log sources so as to ensure the coverage of our detections is as effective and comprehensive as possible.
The aim of the program is to ensure we not only ensure we are prepared for the threats we face today, but sufficiently anticipate and prepare for the threat landscape of the future. Our detection and response team has also created a tool to standardize the detections we create to ensure a high level of consistency and quality amongst the detections we execute – something we believe is a first in the industry.
Подробнее о нашей Программе поддержки безопасности можно узнать на этой странице.
Программа «Red Team»
Миссия «красной команды» Atlassian заключается в непрерывном повышении устойчивости Atlassian к сложным атакам. Участники команды действуют с точки зрения злоумышленника и выявляют технические, физические и социальные уязвимости, чтобы проверить способность наших команд реагировать в реальных условиях. Такой подход позволяет нам разрабатывать и поддерживать эффективные улучшения безопасности для Atlassian. Наш подход помогает Atlassian оценивать угрозы, защищать активы и правильно реагировать на настоящие атаки.
Atlassian Red Team специализируется на полномасштабном моделировании атак и угроз. Мы действуем как злоумышленники, которые вероятнее всего станут атаковать компанию, и делаем все возможное, чтобы проникнуть в критически важные системы и подвергнуть их риску. После этого мы уведомляем всех участников и работаем вместе над внедрением долгосрочных устойчивых решений для устранения обнаруженных уязвимостей в защите.
- Measure and improve the effectiveness of the Detection and Response program
- Создание значительных положительных изменений в состоянии и возможностях безопасности Atlassian
- Улучшение осведомленности об уязвимости и способности реагировать на настоящие атаки
Обеспечение безопасности экосистемы и партнеров в цепочке поставок
Управление риском, связанным с поставщиками
При сотрудничестве со сторонними поставщиками (в том числе подрядчиками и поставщиками облачных услуг) компания Atlassian делает все, чтобы оградить от риска своих клиентов и их данные. Юридическая команда и команда по закупкам контролируют все взаимодействия со сторонними поставщиками. Взаимодействия с высоким или критическим уровнем риска проходят дополнительную проверку с привлечением команды безопасности и команды по оценке рисков и обеспечению соответствия требованиям. Непрерывный и тщательный контроль обеспечивается последующими проверками при каждом продлении договора или на ежегодной основе, если того требует уровень риска конкретного взаимодействия.
Привлекая поставщиков к сотрудничеству, компания Atlassian неизменно требует от них соответствия минимальным критериям безопасности. Эти требования вносятся в положения договоров и в зависимости от уровня риска взаимодействия могут включать следующее.
- Интеграция с платформой системы единого входа Atlassian посредством SAML.
- Шифрование данных при передаче и хранении при помощи рекомендованных алгоритмов.
- Надлежащие механизмы регистрации для получения актуальной информации о потенциальных инцидентах безопасности.
Atlassian Marketplace
На платформе Atlassian Marketplace клиенты могут приобрести приложения, чтобы расширить функциональные возможности наших продуктов или интегрировать продукты со сторонними инструментами. Несмотря на то что ассортимент Marketplace в основном представлен приложениями сторонних разработчиков, в Atlassian заботятся о том, чтобы безопасность оставалась основообразующим принципом для этой экосистемы. Перечислим некоторые из них.
Программа вознаграждения за найденные ошибки — Atlassian имеет лучшую в своем классе программу вознаграждения за найденные ошибки, которая призвана повысить уровень надежности и доверия для всех приложений Marketplace. Партнеры Marketplace могут превентивно бороться с рисками нарушения безопасности, поощряя исследователей в этой области за работу по поиску уязвимостей. Чтобы получить значок Cloud Fortified или Cloud Security Participant, приложения должны участвовать в этой программе. Подробнее
Ecoscanner — платформа Ecoscanner компании Atlassian выполняет регулярную проверку безопасности для всех облачных приложений Marketplace. С ее помощью компания непрерывно отслеживает все облачные приложения Marketplace, проверяет наличие распространенных уязвимостей в защите и тем самым обеспечивает безопасность экосистемы Atlassian. Подробнее
Программа раскрытия уязвимостей предоставляет клиентам и исследователям в области безопасности дополнительный канал, через который можно сообщать компании Atlassian и партнерам Marketplace об уязвимостях в облачных приложениях. Atlassian проводит данную программу и определяет параметры, чтобы все облачные приложения могли снизить риски безопасности. Подробнее
Требования к безопасности облачных приложений — компания Atlassian установила набор минимальных требований, которым должны соответствовать все приложения Marketplace. Эти требования обязательны к исполнению и призваны обеспечить соблюдение рекомендаций по безопасности во всех приложениях. Подробнее
Политика исправления ошибок, связанных с безопасностью. Для обеспечения безопасности всех приложений в экосистеме Atlassian все партнеры Marketplace обязаны соблюдать соглашения об уровне обслуживания (SLA) в отношении исправления ошибок, связанных с безопасностью, во всех приложениях Atlassian Marketplace. При обнаружении уязвимости партнеры обязаны своевременно устранить ее. Подробнее
Privacy and Security tab - To elevate the trust posture of Marketplace and increase visibility on security indicators, the Privacy and Security tab was introduced in the Marketplace listing UI for cloud apps. The Privacy and Security tab provides detailed information on the privacy, security, data handling, and compliance practices followed by the cloud apps. As the Security Self Assessment program(SSA) got deprecated on August 22, 2023, the Privacy and Security tab has replaced SSA as a Cloud Fortified requirement. Learn more
Подробнее о нашем подходе к безопасности Marketplace см. на странице Atlassian Marketplace Trust Center.
Соответствие требованиям и управление рисками
Наши программы управления политиками и рисками
Atlassian Trust Management Program (TMP). Эта программа управления доверием основана на стандарте ISO 27001 для систем управления информационной безопасностью. В программе описан уникальный комплекс требований к безопасности компании Atlassian. При этом учтены требования, предъявляемые нашими клиентами, и методы защиты согласно ряду международных стандартов безопасности.
Мы рассматриваем эти методы защиты в контексте конкретной среды или компании и решаем, стоит ли их применять. В случае положительного решения мы находим наилучший способ их применения. Программа TMP состоит из нескольких компонентов.
- Программа управления политиками (PMP) лежит в основе TMP. Программа содержит несколько политик безопасности, охватывающих стандарт ISO 27001 и использование матрицы методов защиты облачных вычислений (CCM) Альянса безопасности облачных вычислений. Политики безопасности доступны всем нашим командам и задают для них высокую планку в вопросах обеспечения безопасности. Политики обновляются каждый год, а также всякий раз, когда мы считаем нужным скорректировать подход к безопасности ввиду новых угроз и рисков. Выдержки из политик в сфере технологий см. здесь.
- Программа управления рисками (RMP). Компания Atlassian проводит непрерывную оценку рисков для сред и продуктов, чтобы определить текущие риски и противопоставить им эффективные методы защиты и управления. Характер проведения таких оценок зависит от конкретной среды или продукта. Так, например, в отношении продуктов обычно проводится оценка технического риска и проверка кода. Кроме того, мы стремимся выявлять и учитывать бизнес-риски более высокого уровня. Мы проводим ежегодную оценку рисков в рамках программы управления корпоративными рисками и внедряем проекты по профилактике выявленных рисков не реже раза в квартал. Подробнее о нашем подходе к управлению корпоративными рисками см. на странице Atlassian Trust Center.
В программу TMP также входят еженедельные проверки работы системы соответствия требованиям и другие собрания, которые обеспечивают эффективность программы. Мы документируем эти проверки для внутреннего пользования.
Соответствие требованиям законодательства, стандартов и иных регламентирующих документов
Программа обеспечения безопасности Atlassian разработана и реализуется согласно требованиям ряда известных отраслевых стандартов. В рамках нашего подхода к безопасности мы считаем необходимым обеспечивать это соответствие, поскольку оно является для наших клиентов независимым подтверждением того, что программа Atlassian содержит все основные методы защиты безопасности.
Ниже перечислены основные стандарты, которым соответствует компания Atlassian.
ISO 27001 | Стандарт ISO 27001 посвящен разработке и внедрению системы управления информационной безопасностью (ISMS). В приложении A стандарта описаны методики внедрения и управления комплексом методов защиты в рамках системы.
ISO/IEC 27018 содержит свод дополнительных практических правил по внедрению применимых методов защиты данных согласно ISO/IEC 27002. Объектом защиты выступают данные, позволяющие установить личность пользователя (PII), в облачных средах. |
PCI-DSS | Используя банковскую карту для оплаты продуктов и услуг Atlassian, вы можете быть уверены в том, что совершаете безопасную транзакцию. Компания Atlassian соответствует стандартам PCI DSS. |
CSA CCM / STAR | Реестр безопасности, доверия и достоверности (STAR) Альянса безопасности облачных вычислений (CSA) — это бесплатный общедоступный реестр, содержащий задокументированные методы защиты безопасности, которые используются в различных платформах облачных вычислений. Опросник CSA STAR уровня 1 для компании Atlassian можно загрузить на веб-сайте реестра CSA STAR. |
Отчеты SOC2 и SOC3 | Из этих отчетов наши клиенты и их аудиторы могут понять, какие средства применяются Atlassian для поддержания операций и соответствия требованиям. Многие продукты Atlassian прошли сертификацию SOC2. |
GDPR | Мы понимаем важность требований, которые предъявляет к нашим клиентам Общий регламент по защите данных (GDPR) и на соблюдение которых напрямую влияет использование продуктов и сервисов Atlassian. Поэтому мы выделили значительные ресурсы, чтобы помочь клиентам в выполнении этих требований. Подробнее о нашем подходе к соблюдению требований GDPR см. на странице соответствия требованиям GDPR в Atlassian. |
FedRAMP | Федеральная программа по управлению рисками и авторизацией (FedRAMP) — это федеральная государственная программа США, которая обеспечивает стандартизированный подход к оценке безопасности, авторизации и непрерывному мониторингу облачных продуктов и сервисов. Ознакомьтесь с индивидуальным статусом следующих продуктов Atlassian на FedRAMP Marketplace:
|
Полный список отраслевых стандартов, которым соответствует компания Atlassian, см. на странице программы соответствия требованиям.
Конфиденциальность в Atlassian
Atlassian реализует комплексную программу конфиденциальности, которая гарантирует соответствие компании самым высоким стандартам защиты конфиденциальности данных по всему миру. Наши инструменты и процессы управления данными помогут вам выполнить свои обязательства по обеспечению конфиденциальности. В Центре безопасности и Политике конфиденциальности мы делимся информацией о мерах, которые предпринимаем для соблюдения законов о конфиденциальности, применимых в разных регионах мира (в том числе в Европе и Калифорнии), и кратко описываем, как помогаем вам выполнить требования законов о конфиденциальности. Приведем несколько примеров:
- Конфиденциальность по умолчанию: мы по умолчанию интегрируем конфиденциальность в свои продукты (см. страницу Принципы конфиденциальности)
- Подробный анализ: мы обязуемся проводить оценку воздействия на защиту данных, чтобы обеспечить их надлежащую обработку, при необходимости консультируясь с контрольными органами
- Управление доступом и обучение: сотрудники Atlassian, имеющие доступ к персональным данным клиентов компании и обрабатывающие их, проходят обучение по обращению с такими данными и дают обязательство обеспечивать их конфиденциальность и защиту
- Профиль пользователя и инструменты обеспечения конфиденциальности: пользователи могут настраивать параметры своего профиля (см. страницу конфиденциальности для пользователей)
- Инструменты администратора для обеспечения конфиденциальности: мы информируем клиентов о том, как мы работаем с данными клиентов, а также ведем страницу конфиденциальности для администраторов с описанием важных параметров и настраиваемых возможностей
- Новости и обновления: мы сообщаем об изменениях в законодательстве о конфиденциальности, применимом в разных странах мира, на странице приложения об обработке данных (вы можете подписаться на наш RSS-канал, чтобы быть в курсе любых изменений)
Подробнее см. на странице Центр безопасности Atlassian.
Внутренний и внешний аудит
Не реже раза в год мы проводим комплексный аудит на соответствие требованиям (например, SOX, SOC2) с привлечением независимых аудиторских компаний. Мы также проводим дополнительный внутренний аудит областей с высоким уровнем риска, в том числе в сфере безопасности, и сообщаем результаты аудиторскому комитету совета директоров. Полученные данные используются в непрерывном цикле совершенствования, который помогает нам улучшать общую программу по обеспечению безопасности.
Запросы данных от правоохранительных органов и правительственных учреждений
В стремлении заслужить и сохранить доверие клиентов мы публикуем ежегодный Отчет Atlassian о прозрачности. В нем содержится информация о запросах данных, направленных правительственными учреждениями (запросы на предоставление данных пользователей, запросы на удаление содержимого или приостановку аккаунтов пользователей). Компания Atlassian тщательно изучает каждый запрос на предмет правомерности и в случае его законности раскрывает данные лишь в том объеме, который необходим для ответа.
В основе нашего подхода к ответу на запросы правоохранительных органов касательно данных клиентов лежат ценности Atlassian. Чтобы защитить конфиденциальность и права клиентов, мы предоставляем информацию о них правоохранительным органам, только если обязаны сделать это по закону, и только после обстоятельной юридической экспертизы. Для получения информации о клиенте от компании Atlassian сотрудники правоохранительных органов должны следовать юридической процедуре в соответствии с типом запрашиваемой информации, например предъявить повестку в суд, судебное распоряжение или ордер. Подробные инструкции по обработке запросов правоохранительных органов см. в Руководстве Atlassian по запросам правоохранительных органов.
Дополнительные вопросы
Обеспечение безопасности — это обширная и сложная область деятельности, поэтому невозможно детально рассказать о всей работе Atlassian в этом направлении в рамках настоящего документа. Однако изложенные здесь принципы безопасности дают общее представление о нашем подходе к ее обеспечению.
Дополнительные сведения по этой теме см. на странице Atlassian Trust Center. Кроме того, вы можете связаться с командой безопасности Atlassian на клиентском портале, если у вас возникли вопросы о безопасности в Atlassian, или задать эти вопросы нашему сообществу по надежности и безопасности Atlassian Trust.
Хотите узнать больше?
На этой странице мы упомянули еще несколько документов и ресурсов. Если вы хотите глубже понять наш подход к обеспечению безопасности и надежности, рекомендуем подробнее ознакомиться с ними.