L'infrastruttura di produzione Cloud Insights è ospitata in Amazon Web Services (AWS). I controlli fisici e ambientali relativi alla sicurezza per i server di produzione Cloud Insights, che includono edifici e serrature o chiavi utilizzate sulle porte, sono gestiti da AWS. Come da AWS: "L'accesso fisico è controllato sia sul perimetro che nei punti di ingresso dell'edificio da personale di sicurezza professionale che utilizza videosorveglianza, sistemi di rilevamento delle intrusioni e altri mezzi elettronici. Il personale autorizzato utilizza meccanismi di autenticazione a più fattori per accedere ai data center".

Cloud Insights segue le Best practice di "Modello di responsabilità condivisa" Descritto da AWS.

Cloud Insights segue un ciclo di vita dello sviluppo in linea con i principi Agile, consentendoci così di affrontare più rapidamente qualsiasi difetto software orientato alla sicurezza, rispetto alle metodologie di sviluppo del ciclo di rilascio più lungo. Grazie a metodologie di integrazione continua, siamo in grado di rispondere rapidamente alle modifiche funzionali e di sicurezza. Le procedure e le policy di gestione delle modifiche definiscono quando e come si verificano le modifiche e contribuiscono a mantenere la stabilità dell'ambiente di produzione. Qualsiasi modifica di impatto viene formalmente comunicata, coordinata, correttamente esaminata e approvata prima del rilascio nell'ambiente di produzione.

L'accesso di rete alle risorse nell'ambiente Cloud Insights è controllato da firewall basati su host. Ogni risorsa (ad esempio un'istanza di bilanciamento del carico o di macchina virtuale) dispone di un firewall basato su host che limita il traffico in entrata solo alle porte necessarie per eseguire la funzione di tale risorsa.

Cloud Insights utilizza diversi meccanismi, tra cui i servizi di rilevamento delle intrusioni, per monitorare l'ambiente di produzione per rilevare eventuali anomalie di sicurezza.

Il team Cloud Insights segue un processo formalizzato di valutazione dei rischi per fornire un metodo sistematico e ripetibile per identificare e valutare i rischi in modo che possano essere gestiti in modo appropriato attraverso un piano di trattamento dei rischi.

L'ambiente di produzione Cloud Insights è configurato in un'infrastruttura altamente ridondante che utilizza più zone di disponibilità per tutti i servizi e i componenti. Oltre all'utilizzo di un'infrastruttura di calcolo ridondante e altamente disponibile, viene eseguito il backup dei dati critici a intervalli regolari e i ripristini vengono periodicamente testati. Le policy e le procedure di backup formali riducono al minimo l'impatto delle interruzioni delle attività di business e proteggono i processi di business dagli effetti dei guasti dei sistemi informativi o dei disastri e ne garantiscono una ripresa tempestiva e adeguata.

Tutto l'accesso del cliente a Cloud Insights avviene tramite interazioni dell'interfaccia utente del browser su https. L'autenticazione viene eseguita tramite il servizio di terze parti Auth0. NetApp si è centralizzata su questo come livello di autenticazione per tutti i servizi dati cloud.

Cloud Insights segue le Best practice del settore, tra cui "privilegio minimo" e "controllo degli accessi basato sui ruoli", in merito all'accesso logico all'ambiente di produzione Cloud Insights. L'accesso è controllato in base a esigenze rigorose e viene concesso solo a personale autorizzato selezionato che utilizza meccanismi di autenticazione a più fattori.

Tutti i dati dei clienti vengono crittografati in transito attraverso reti pubbliche e a riposo. Cloud Insights utilizza la crittografia in vari punti del sistema per proteggere i dati dei clienti utilizzando tecnologie che includono TLS (Transport Layer Security) e l'algoritmo AES-256 standard di settore.

Le notifiche e-mail vengono inviate a vari intervalli per informare il cliente che l'abbonamento sta per scadere. Una volta scaduto l'abbonamento, l'interfaccia utente viene limitata e inizia un periodo di tolleranza per la raccolta dei dati. Il cliente viene quindi avvisato tramite e-mail. Gli abbonamenti in prova hanno un periodo di tolleranza di 14 giorni e gli account di abbonamento a pagamento hanno un periodo di tolleranza di 28 giorni. Una volta scaduto il periodo di tolleranza, il cliente riceve una notifica via e-mail che l'account verrà cancellato tra 2 giorni. Un cliente a pagamento può anche richiedere direttamente di non usufruire del servizio.

I tenant scaduti e tutti i dati dei clienti associati vengono cancellati dal team delle operazioni Cloud Insights (SRE) al termine del periodo di tolleranza o alla conferma della richiesta di chiusura del conto da parte di un cliente. In entrambi i casi, il team SRE esegue una chiamata API per eliminare l'account. La chiamata API elimina l'istanza del tenant e tutti i dati del cliente. L'eliminazione del cliente viene verificata chiamando la stessa API e verificando che lo stato del tenant del cliente sia "CANCELLATO".

Cloud Insights è integrato con il processo del team di risposta agli incidenti per la sicurezza dei prodotti (PSIRT) di NetApp per individuare, valutare e risolvere le vulnerabilità note. PSIRT prende informazioni sulle vulnerabilità da più canali, tra cui report sui clienti, engineering interno e fonti ampiamente riconosciute come il database CVE.

Se il team tecnico di Cloud Insights rileva un problema, il team avvierà il processo PSIRT, valuterà e potenzialmente risolverà il problema.

È inoltre possibile che un cliente o un ricercatore Cloud Insights identifichi un problema di sicurezza con il prodotto Cloud Insights e lo riferisca al supporto tecnico o direttamente al team di risposta agli incidenti di NetApp. In questi casi, il team Cloud Insights avvierà il processo PSIRT, valuterà e potenzialmente risolverà il problema.

Cloud Insights segue le Best practice del settore ed esegue regolarmente test di vulnerabilità e penetrazione utilizzando aziende e professionisti della sicurezza interni ed esterni.

Tutto il personale di Cloud Insights viene sottoposto a un training sulla sicurezza, sviluppato per ruoli individuali, per garantire che ciascun dipendente sia in grado di gestire le sfide specifiche legate alla sicurezza dei propri ruoli.

Cloud Insights esegue audit e convalide indipendenti di terze parti da parte di una società CPA con licenza esterna in relazione alla sicurezza, ai processi e ai servizi, incluso il completamento dell'audit SOC 2.

Puoi visualizzare gli avvisi sulla sicurezza disponibili di NetApp "qui".