ACSC - 云服务提供商的云计算安全 - 2023 年指南审查
免责声明
提供本指南的目的仅是为了解答公共部门云客户以及被澳大利亚网络安全中心 (ACSC) 视为受监管实体的企业组织在涉及 Atlassian Cloud 产品及其所提供的服务时应如何考虑本指南。
本报告仅供 Atlassian 向其云客户提供有关我们如何遵守云服务提供商云计算安全的信息和指导。与此同时,我们还有一份专门的共同责任白皮书,讨论了 CSP 和客户应承担的不同责任。共同责任模式并不能消除使用 Atlassian Cloud 产品的客户的责任和风险,但它确实有助于减轻我们在管理和控制系统组件以及设施物理控制方面的负担,它还将部分安全与合规成本转移到 Atlassian 上,远离我们的客户。
有关我们在客户数据保护方面的承诺,请访问我们的“安全实践”页面。
风险 | 参考 | 缓解措施 | Atlassian 回应 |
|---|---|---|---|
| 与各类云服务普遍相关的最有效风险缓解措施 | |||
| 无法全面维护租户数据的机密性、完整性和可用性 | 参考 1 - 一般问题 | 缓解措施 按照处理租户数据所需的适当分类级别,根据 ISM [1] 评估云服务和底层基础架构(在本出版物中明确说明缓解措施)。 | Atlassian 回应 Atlassian 实施强大的机制来确保遵守数据隐私框架原则,为受到违反这些原则影响的个人提供追索权,并提供在未能遵守这些原则时会造成的后果的相关信息。我们通过定期和临时的自我评估以及根据需要不时进行外部审计和合规审查来做到这一点。特别是,我们每年都与第三方提供商 TrustArc 合作,由其证明我们的隐私实践符合数据隐私框架原则。他们支持我们的自我认证,还为与隐私相关的客户投诉提供独立的争议调解服务。我们还通过 Jira 工作单(可用作审核记录)来跟踪和监控合规情况。此外,我们还实施自我评估、外部审计/合规审查,以及我们可能不时制定的所有补救计划。我们监控数据处理实践并实施数据隐私泄露计划,以跟踪数据隐私事件/泄露情况。 |
|
| 参考 2 - 一般 | 缓解措施 实施安全治理,由高级管理层指导和协调安全相关活动,包括强有力的变更管理,以及让技术熟练的员工担任指定的安全职位。 | Atlassian 回应 Atlassian 的首席信息安全官 (CISO) 是 Bala Sathiamurthy,他常驻旧金山办事处;我们的安全团队有超过 230 名团队成员,分属产品安全、安全情报、安全架构、信任、风险与合规职能领域;我们还有一个开发和 SRE 团队,成员分布在悉尼、阿姆斯特丹、奥斯汀、班加罗鲁、山景城、旧金山和纽约办事处,并且还包括一些远程团队成员。 |
|
| 参考 3 - 一般 | 缓解措施 实施网络安全事件响应计划并每年进行测试,为租户提供紧急联系方式、使用户能够获取通常无法访问的取证证据,并在发生事件时通知用户。 | Atlassian 回应 我们具有记录在册的安全事件响应政策和计划,其关键原则包括:
|
| 租户的数据在传输过程中被恶意的第三方窃取 | 参考 4 - 一般 | 缓解措施 支持和使用 ASD 批准的加密控制措施来保护在租户和 CSP 之间传输的数据,例如采用应用层 TLS 或 IPsec VPN 技术,以及经批准的算法、密钥长度和密钥管理。 | Atlassian 回应 Atlassian Cloud 产品和服务中存储的所有客户数据在通过公共网络传输时,均会使用带有完全正向加密 (PFS) 的传输层安全 (TLS) 1.2+ 进行加密,以免客户数据遭受未经授权的披露或修改。在实施 TLS 时,我们强制使用浏览器支持的强密码和密钥长度。 |
| 参考 5 - 一般 | 缓解措施 对于通过公共互联网基础设施等不安全的通信渠道在 CSP 数据中心之间传输的数据,使用 ASD 批准的加密控制措施来加以保护。 | Atlassian 回应 Atlassian 会维护加密与密码政策和实施准则。我们会根据政策管理计划 (PMP),每年对本政策进行审查和更新。有关更多信息,请参阅:Atlassian Trust Management System (ATMS) | |
| 参考 6 - 一般 | 缓解措施 在接入或停用服务过程中需要传输数据时,对于通过邮政/快递在租户和 CSP 之间传输的数据,在传输过程中支持并使用 ASD 批准的加密控制措施保护存储介质上的静态数据。 | Atlassian 回应 Atlassian Cloud 产品和服务中存储的所有客户数据在通过公共网络传输时,均会使用带有完全正向加密 (PFS) 的传输层安全 (TLS) 1.2+ 进行加密,以免客户数据遭受未经授权的披露或修改。在实施 TLS 时,我们强制使用浏览器支持的强密码和密钥长度。 | |
| 租户的云服务帐户凭据被恶意的第三方窃取 [2] [3] [4] [5] | 参考 7 - 一般 | 缓解措施 提供身份和访问管理,例如多重身份验证和具有不同权限的帐户角色 [6],以便租户通过 CSP 的网站控制面板和 API 使用和管理云服务。 | Atlassian 回应 是的。关于 Confluence 和 Jira,它们均支持针对个人帐户启用多重身份验证。有关如何启用多重身份验证的更多信息,请参阅:强制执行双重验证 |
| 参考 8 - 一般 | 缓解措施 当租户通过 CSP 的网站控制面板和 API 使用和管理云服务时,支持和使用 ASD 批准的加密控制措施来保护传输中的凭据和管理活动。 | Atlassian 回应 Atlassian Cloud 产品和服务中存储的所有客户数据在通过公共网络传输时,均会使用带有完全正向加密 (PFS) 的传输层安全 (TLS) 1.2+ 进行加密,以免客户数据遭受未经授权的披露或修改。在实施 TLS 时,我们强制使用浏览器支持的强密码和密钥长度。 | |
| 参考 9 - 一般 | 缓解措施 使租户能够下载详细的时间同步日志,并获取针对用于访问(特别是管理)云服务的租户云服务帐户生成的实时警报。 | Atlassian 回应 关键系统日志从每个系统转发到集中式日志平台,在该平台上,日志为只读模式。Atlassian 安全团队在安全分析平台 (Splunk) 上创建警报,并监控数据泄露指标。我们的 SRE 团队使用此平台监控可用性或性能问题。日志在热备份中保留 30 天,在冷备份中则保留 365 天。 | |
| 租户的数据被恶意的 CSP 员工或第三方窃取 | 参考 10 - 一般 | 缓解措施 使租户能够下载详细的时间同步日志并获取由租户使用的云服务生成的实时警报,例如操作系统、Web 服务器和应用日志。 | Atlassian 回应 我们使用 Casper (https://www.jamf.com) 和 OSQuery (https://osquery.io/) 来管理记录的内容和日志的保留时间。日志存储在逻辑独立的系统中,只有安全团队的成员才对日志具有写入权限。在日志中发现特定操作或事件时,会向安全团队或 Service Desk 发送警报。我们的集中式记录服务 (Splunk) 与我们的安全分析基础设施集成在一起,用于自动分析。同时还会创建警报以识别潜在问题。 |
| 参考 11 - 一般 | 缓解措施 披露以下租户数据所在的国家/地区和法律管辖区:CSP 员工为进行故障排除、远程管理和客户支持而于现在(或将在未来几个月内)存储、备份、处理和访问的租户数据。 | Atlassian 回应 Atlassian 在美国东部、美国西部、爱尔兰、法兰克福、新加坡和悉尼地区(Confluence 和 Jira)使用 Amazon Web Services (AWS)。有关更多信息,请参阅:云托管基础设施 | |
| 参考 12 - 一般 | 缓解措施 对 CSP 员工执行背景调查,调查程度与他们对系统和数据的访问级别相称。针对有权访问高度敏感数据的员工实施安全许可 [7]。 | Atlassian 回应 是的。Atlassian 全球新员工需要完成背景调查。收购后新雇用的员工将在收购日期后进行背景调查。对所有新员工和独立承包商进行刑事调查,如果角色或职位级别要求进行教育背景查证、职业背景查证或信用核查,则需增加此类调查。我们会对高级管理人员和会计职位进行全面的背景调查。 | |
| 参考 13 - 一般 | 缓解措施 对于用于存储租户数据或可以访问租户数据的数据中心和办公室,要在物理上确保它们安全无虞 [8]。验证并记录所有员工和访客的身份。陪同访客,以降低他们未经授权访问数据的风险。 | Atlassian 回应 各 Atlassian 办事处遵循我们的内部物理和环境安全政策,包括监控物理入口和出口点。我们的合作伙伴数据中心拥有多项合规认证。这些认证涉及物理安全、系统可用性、网络和 IP 主干网访问、客户调配和问题管理。只有获得授权的人员才能进入数据中心,并要通过生物识别身份验证措施加以核验。物理安全措施包括:内部保安人员、闭路视频监控、诱捕系统和其他入侵防护措施。在保护数据中心方面,AWS 保有多项认证。如需了解 AWS 物理保护保障信息,请访问:http://aws.amazon.com/compliance/ | |
| 参考 14 - 一般 | 缓解措施 根据 CSP 员工的工作任务,限制其对系统和数据的特权访问 [9]。对于需要特权访问的 CSP 员工,要求每三个月重新审批一次。当 CSP 员工离职时,撤消访问权限。 | Atlassian 回应 Atlassian 对需要这种访问权限才能履行工作角色和职责的人员保持限制。所有 1 级系统均通过 Atlassian 集中式单点登录 (SSO) 和目录解决方案进行管理。我们会根据这些个人资料,按照我们的人力资源管理系统的工作流程,为用户提供适当的访问权限。Atlassian 利用 MFA 来访问所有的 1 级系统。我们对虚拟机管理程序管理控制台和 AWS API 启用了双重身份验证,并对虚拟机管理程序管理功能的所有访问启用了每日审计报告。我们会每季度对虚拟机管理程序管理控制台和 AWS API 的访问列表进行一次审查。我们还在人力资源系统和身份存储之间保持八小时的同步。 | |
| 参考 15 - 一般 | 缓解措施 及时分析 CSP 员工操作日志,这些日志记录到受到安全保护且隔离的日志服务器中。要求没有其他权限或工作职责的 CSP 员工执行日志分析,以此来实现职责分离。 | Atlassian 回应 Atlassian 的核心产品已实行职责分离控制,包括但不限于:
| |
| 参考 16 - 一般 | 缓解措施 在采购软件、硬件或服务之前,对供应商进行尽职调查审查,以评估是否可能会增加 CSP 安全风险。 | Atlassian 回应 Atlassian 的新供应商必须同意我们合同中的隐私与安全附录和政策。Atlassian 法务和采购部门会审查合同、SLA 和供应商内部政策,以确定供应商是否符合安全性、可用性和机密性要求。Atlassian 拥有以下公共页面:数据辅助处理商名单 | |
| 参考 17 - 一般 | 缓解措施 使用 ASD 批准的加密控制措施来保护高度敏感的静态数据。在维修、处置和租户停用服务之前,对存储介质进行清理,并就残余备份中的数据签订保密协议。 | Atlassian 回应 工作场所技术团队负责处理此过程,以适当的方式清理和删除设备中的数据。Atlassian 并不管理任何支持我们的云产品和服务的物理媒介。 | |
| 租户的数据被其他恶意/受感染的租户窃取 [10] [11] [12] [13] [14] [15] [16] [17] [18] | 参考 18 - 一般 | 缓解措施 实施多租户机制,防止其他租户访问租户的数据。隔离网络流量、存储、内存和计算机处理。先对存储介质进行清理,再进行重复使用。 | Atlassian 回应 Atlassian 是一种多租户 SaaS 应用。多租户是 Atlassian Cloud 的一项关键功能,可让多个客户共享 Jira 或 Confluence 应用层的一个实例,同时隔离每个客户租户的应用数据。Atlassian Cloud 通过租户上下文服务 (TCS) 做到这一点。每个用户 ID 仅与一个租户关联,该 ID 随后用于访问 Atlassian Cloud 应用。有关更多信息,请参阅:安全实践 |
| 由于损坏、删除 [19] 或 CSP 终止帐户/服务导致租户的数据不可用 | 参考 19 - 一般问题 | 缓解措施 使租户能够以避免受制于 CSP 的格式执行最新备份。如果帐户或云服务被终止,应立即通知租户,并为其提供至少一个月的时间下载数据。 | Atlassian 回应 Atlassian 会维护数据保留和销毁标准,该标准规定了我们需要保留不同类型数据的时间。我们根据《Atlassian 数据安全和信息生命周期政策》对数据进行分类,并在此基础上实施相应的控制措施。对于客户数据,在 Atlassian 合同终止后,属于客户团队的数据将从实时生产数据库中删除,直接上传到 Atlassian 的所有文件附件将在 14 天内删除。团队的数据将保留在加密备份中,直到这些备份超出 90 天的备份保留期,并根据我们的 Atlassian 数据保留政策进行销毁。如果需要在请求删除数据后的 60 天内还原数据库,运营团队将在实时生产系统完全还原后尽快重新删除数据。有关更多信息,请参阅:跟踪存储和跨产品移动数据 |
| 由于 CSP 破产或其他法律诉讼导致租户的数据不可用或被泄露 | 参考 20 - 一般问题 | 缓解措施 通过合同确保租户保留对其数据的合法所有权。 | Atlassian 回应 Atlassian 客户有责任确保在使用我们的服务时遵守适用的法律法规。有关具体法律协议和政策的更多详情,请访问我们的法律资源页面:https://www.atlassian.com/legal |
| 由于 CSP 的网络连接不足导致云服务不可用 | 参考 21 - 一般问题 | 缓解措施 在租户和云服务之间支持足够高的带宽、低延迟和可靠的网络连接,以达到租户所要求的可用性水平。 | Atlassian 回应 我们会监控所有 Cloud 实例的性能和可用性,但目前我们不提供正式的应用可用性 SLA。我们的支持团队会提供初始响应时间 SLA,虽然我们没有正式的支持解决 SLA,但我们的内部目标是在 48 小时内解决所有分配的案例。Atlassian 会在以下位置显示我们最新 Cloud 系统状态的统计数据:https://status.atlassian.com |
| 由于 CSP 错误、计划中断、硬件故障或自然灾害导致云服务不可用 | 参考 22 - 一般问题 | 缓解措施 进行架构设计以达到租户所要求的可用性水平,例如,尽量减少单点故障、集群和负载平衡、数据复制、自动故障转移和实时可用性监控。 | Atlassian 回应 对于我们的 Atlassian Cloud 服务,我们会每季度至少测试一次业务连续性和灾难恢复计划。实时监控多个区域的可用性。每周会在预生产环境中执行自动区域故障转移测试。每天会在生产环境中执行自动配置数据恢复测试。 |
| 参考 23 - 一般问题 | 缓解措施 制定并每年测试灾难恢复和业务连续性计划,以达到租户所要求的可用性水平,例如,针对造成 CSP 人员或基础架构持久损失的事件制定计划。 | Atlassian 回应 已经实施业务连续性和灾难恢复政策以及业务连续性和灾难恢复计划,并且业务连续性/灾难恢复指导委员会每年都会相应进行审查。所有任务关键型系统、流程或服务负责人,都要确保实现适当的业务连续性和/或灾难恢复,使其符合灾难中断的承受能力。BCDR 计划每季度测试一次,发现的所有问题都会得到解决。有关更多信息,请参阅安全实践和 Atlassian 的弹性方法。 | |
| 由于真正的需求激增或带宽/CPU 拒绝服务导致云服务不可用 | 参考 24 - 一般问题 | 缓解措施 实施拒绝服务缓解措施,以达到租户所要求的可用性水平,例如,实施冗余的高带宽外部和内部网络连接,以及采用流量限制和过滤功能。 | Atlassian 回应 Atlassian 安全工程部在办公环境中使用 IPS 技术。网络威胁防护由 AWS 执行,包括 DDoS 防护和一些 Web 应用防火墙功能。 |
| 参考 25 - 一般问题 | 缓解措施 提供基础架构产能和响应式自动扩展,以达到租户所要求的可用性水平。 | Atlassian 回应 Atlassian 会提前 6 至 12 个月规划产能,高级战略规划将提前 36 个月进行。 | |
| 需求真正激增或带宽/CPU 拒绝服务的财务后果 | 参考 26 - 一般问题 | 缓解措施 通过合同支出限额、实时警报和可配置的 CSP 基础架构容量最大限额,使租户能够管理真正需求激增或拒绝服务的成本。 | Atlassian 回应 对于我们的 SaaS 产品,我们不按使用量向客户收费。我们目前不与租户共享容量或用户报告。 |
| CSP 的基础架构被恶意租户或恶意第三方入侵 | 参考 27 - 一般问题 | 缓解措施 使用企业批准的安全计算机、跳转服务器、专用帐户、安全系数高的口令和多因素身份验证,为客户提供支持并管理云服务和基础架构。 | Atlassian 回应 要求员工在可用时执行 2FA,并使用带有随机安全密码的密码管理器。经授权的员工访问生产环境时,必须使用安全系数高的唯一密码和基于 TOTP 的 2FA 进行 VPN 访问验证,然后只能使用受口令保护的个人 RSA 证书通过 SSH 终端连接来访问生产环境。SSO、SSH 2FA VPN 都是必需的。 |
| 参考 28 - 一般问题 | 缓解措施 使用经 ASD 批准的加密控制措施,保护 CSP 数据中心与 CSP 管理员/客户支持人员之间通过不安全的通信通道传输的凭据和管理活动。 | Atlassian 回应 Atlassian Cloud 产品和服务中存储的所有客户数据在通过公共网络传输时,均会使用带有完全正向加密 (PFS) 的传输层安全 (TLS) 1.2+ 进行加密,以免客户数据遭受未经授权的披露或修改。在实施 TLS 时,我们强制使用浏览器支持的强密码和密钥长度。 | |
| 参考 29 - 一般问题 | 缓解措施 在互联网、租户使用的 CSP 基础架构、CSP 用于管理云服务和基础架构的网络以及 CSP 的企业 LAN 之间实施网络分段和隔离 [20]。 | Atlassian 回应 客户数据绝不会复制到生产环境之外,而是存储在 AWS 的安全服务器中。我们实施严格的防火墙规则,从而限制用户只能通过我们的 VPN 网络和授权系统访问生产环境。VPN 需要多因素身份验证。Atlassian 的核心产品已实行职责分离控制,包括但不限于:
| |
| 参考 30 - 一般问题 | 缓解措施 对 CSP 开发的软件采用安全编程实践 [21] [22] [23]。 | Atlassian 回应 Atlassian 会在开发生命周期的所有阶段执行安全开发实践。有关更多信息,请参见:Atlassian 的软件开发安全。 | |
| 参考 31 - 一般问题 | 缓解措施 对云服务和底层基础架构进行安全配置、持续的漏洞管理、及时修补、年度第三方安全审查和渗透测试。 | Atlassian 回应 我们聘请第三方咨询公司对面向外部的应用进行年度渗透测试。我们的内部安全测试团队也会进行小规模的持续安全测试活动,以补充这些测试。有关这些渗透测试的评估书以及测试流程的更多信息,请参见:外部安全测试方法 | |
| 参考 32 - 一般问题 | 缓解措施 对所有 CSP 员工(尤其是管理员)进行入职培训和年度培训,以保护租户数据、维护云服务可用性,并通过即时日志分析等方式主动识别安全事件。 | Atlassian 回应 Atlassian 会为新员工提供信息安全培训,作为其入职培训(“Rocketfuel”)的一项内容,并为所有员工持续提供此类培训。应聘者与合同工在入职前必须签署保密协议。如果发生技术变更或其他重大转变,我们会通过内联网向现有员工提供和公布相关课程。 | |
| 与 IaaS 尤为相关的最有效的风险缓解措施 | |||
| 租户的虚拟机 (VM) 被恶意第三方入侵 [24] | 参考 1 - IaaS | 缓解措施 提供网络访问控制,使租户能够实施网络分段和隔离 [25],包括网络过滤功能,以禁止远程管理其虚拟机(从其 IP 地址除外)。 | Atlassian 回应 这不适用。Atlassian 是 SaaS 提供商。 |
| 参考 2 - IaaS | 缓解措施 为租户提供安全配置和修补的虚拟机模板映像。避免为新调配的虚拟机分配安全系数低的管理口令。 | Atlassian 回应 这不适用。Atlassian 是 SaaS 提供商。 | |
| 与 PaaS 尤为相关的最有效的风险缓解措施 | |||
| 租户的数据被恶意第三方入侵 | 参考 1 - PaaS | 缓解措施 强化并安全配置操作系统、Web 服务器和平台软件。将入站和出站网络连接限制为仅限所需的端口/协议。立即执行修补和日志分析。 | Atlassian 回应 这不适用。Atlassian 是 SaaS 提供商。 |
| 与 SaaS 尤为相关的最有效的风险缓解措施 | |||
| 租户的数据被恶意第三方入侵 | 参考 1 - SaaS | 缓解措施 实施特定于云服务的控制措施,例如针对以服务形式交付的电子邮件,提供包括内容过滤在内的功能,并对电子邮件和电子邮件附件进行自动动态分析。 | Atlassian 回应 我们的产品实施了此缓解措施。Atlassian 利用 Proofpoint (https://www.proofpoint.com/au/products/email-protection) 扫描附件并重写 URL 以阻止网络钓鱼攻击。Atlassian 还利用了 Google G-Suite(云安全和数据保护服务)中内置的电子邮件保护功能 |
| 参考 2 - SaaS | 缓解措施 实施一般控制 [26],例如,仅允许所需端口/协议的入站和出站网络连接、防病毒软件每日更新、入侵防御系统和即时日志分析。 | Atlassian 回应 不适用。Atlassian 的生产服务器上未安装反恶意软件,因为除 CI/CD 管道外,不允许任何其他途径对其执行写入操作。托管 Jira Cloud 或 Confluence Cloud 的 Atlassian 应用服务仅托管应用代码,其他一概不托管。除 Atlassian 部署管道以及 CI/CD 管道外,不允许任何其他途径对 Jira 和 Confluence Cloud 服务器执行写入操作。 | |