Часті питання по безпеці
Наскільки надійно зберігаються дані?
Для зберігання файлів використовується сервіс Amazon S3 який пропонує найкращу в галузі масштабованість, доступність даних, безпеку та продуктивність.
Для зберігання інформації використовується Percona XtraDB Cluster (PXC) — open source рішення корпоративного рівня, містить функції високої доступності та безпеки.
Чи налаштовано резервне копіювання системи?
Так, ми виконуємо повне резервне копіювання баз даних раз на добу. Резервні копії зберігаються у зашифрованому вигляді і періодично піддаються тестуванню для підтвердження їхньої цілісності. Також доступний механізм Point-in-time recovery (PITR), що дозволяє відновлювати дані практично із затримкою до 1 години. Варто відзначити, що ми уникаємо зберігання резервних копій на портативних або змінних носіях.
Як забезпечується шифрування даних?
Шифрування даних можна розділити на для зберігання та для передачі даних.
- для зберігання файлів – забезпечується шифруванням AES-256 на рівні AWS S3 сервісу
- для зберігання персональної інформації користувачів в БД – забезпечується шифруванням AES-256 в Percona XtraDB Cluster
- для передачі – забезпечується шифруванням TLS не нижче версії 1.2. Довжина ключа RSA 2048 біт.
В яких датацентрах та де розміщується SaaS версія LMS Collaborator?
- Сервери додатків та БД розміщується на хмарному сервісі Hetzner Cloud, в регіоні Фінляндія (Європа).
- Сервери зберігання файлів розміщується на хмарному сервісі AWS, в регіоні Франкфурт (Європа).
Обидва провайдери мають діючі сертифікати з безпеки ISO 27001
За рахунок чого досягається відмовостійкість?
Відмовостійка архітектура на базі AWS та Hetzner Cloud, забезпечує повний та постійний доступ до сервісу. Всі критичні вузли архітектури мають 3х кратне резервування в межах кластеру. Сервіс CloudFlare забезпечує захист від DDoS атак та балансування трафіку.
Як зберігаються ключі та паролі?
Усі ключі шифрування та паролі стають доступними для програми тільки в момент запуску програми у середовищі. Хеші паролів користувачів зберігаються в зашифрованому вигляді з додаванням випадкових даних (salt). Управління ключами шифрування здійснюється за допомогою Terraform Vault та AWS KMS.
Чи можливо налаштувати політику паролів?
Система дозволяє гнучко контролювати складність паролю (наявність символів, довжина), максимальний термін дії, унікальність. Дозволяє задавати тимчасові паролі та вимагати зміну паролю при першому вході.
Які методи аутентифікації підтримуються?
На даний момент підтримуються:
- вхід виконується через логін та пароль
- LDAP (Active Directory)
- OAuth 2.0
- SAML (ADFS)
Чи присутня 2FA (2х факторна аутентифікація)?
Так, присутня, через Google Authenticator / Microsoft Authenticator
Чи ведеться логування дій користувачів у системі?
В “Журналі безпеки” фіксуються події за рівнем важливості відповідно до зазначеного в таблиці. За наявності подій рівнів “нормальний” та “високий” надсилаються повідомлення Адміністратору на email та у браузер.
Чи виконується сканування систем на вразливості?
Сканування на вразливості компонентів системи виконується на етапі збірки коду (CI/CD). Сканування налаштовано в автоматичному режимі при кожній зміні коду. У випадку знайдення нових вразливостей – сповіщаються відповідальні члени нашої команди та блокується можливість релізу системи.
Чи виконуються тести на проникнення?
Так, ми виконуємо періодичні (раз на рік) комплексні тести на проникнення із залученням незалежних експертів.
Як відбувається патч менеджмент систем?
Залежно від критичності (високий та критичний рівень по CVSS) якщо були знайдені оновлення, які закривають вразливості – не пізніше одного тижня.
Інші оновлення встановлюються за потреби або при наступному релізі.
Оновлення ядра хост ОС встановлюються автоматично на льоту, без перезавантаження сервера.
Чи присутній цикл безпечної розробки програмного забезпечення (SDLC)?
Цикл розробки проходить декілька етапів – від формування ТЗ до виходу версії в продуктив, включаючи тестування на відповідних ізольованих середовищах, тестування QA. Під час розробки активно враховуються основні можливі вразливості, визначені в OWASP TOP 10, з метою забезпечення безпеки системи. Тестові середовища не містять жодних реальних даних. Розробники дотримуються невикористання «хардкоду» для облікових даних. Крім того, регулярно проводяться ревью програмного коду для забезпечення його якості.
Я помітив(ла) щось підозріле в системі, що з цим робити?
Якщо ви помітили щось незвичайне чи підозріле в системі, спробуйте вжити наступні кроки для забезпечення безпеки ваших даних:
- Змініть свій пароль, якщо маєте підозри щодо можливого несанкціонованого доступу. Важливо використовувати сильні паролі та регулярно їх змінювати.
- Перевірте журнали активності в своєму обліковому записі або системі, щоб виявити будь-які незвичайні дії або доступи.
- Повідомте службу підтримки LMS Collaborator через Help desk або на емейл security[@]equalteam.net про виявлені вами підозрілі активності. Надайте докладну інформацію, щоб допомогти їм швидко реагувати.
- Будьте обережні при відправці конфіденційної інформації із системи, особливо якщо ви сумніваєтеся у її безпеці.
Пам’ятайте, що ваша уважність та швидка реакція можуть сприяти збереженню безпеки ваших даних та інформаційної безпеки в цілому.