L'infrastruttura di produzione Data Infrastructure Insights è ospitata in Amazon Web Services (AWS). I controlli relativi alla sicurezza fisica e ambientale per i server di produzione Data Infrastructure Insights , che includono edifici e serrature o chiavi utilizzate sulle porte, sono gestiti da AWS. Secondo AWS: "L'accesso fisico è controllato sia sul perimetro che nei punti di ingresso dell'edificio da personale di sicurezza professionale che utilizza videosorveglianza, sistemi di rilevamento delle intrusioni e altri mezzi elettronici. Il personale autorizzato utilizza meccanismi di autenticazione a più fattori per accedere ai piani del data center."

Data Infrastructure Insights segue le migliori pratiche del"Modello di responsabilità condivisa" descritto da AWS.

Data Infrastructure Insights segue un ciclo di sviluppo in linea con i principi Agile, consentendoci così di affrontare più rapidamente eventuali difetti software legati alla sicurezza, rispetto alle metodologie di sviluppo con cicli di rilascio più lunghi. Utilizzando metodologie di integrazione continua, siamo in grado di rispondere rapidamente ai cambiamenti sia funzionali che di sicurezza. Le procedure e le policy di gestione del cambiamento definiscono quando e come si verificano i cambiamenti e contribuiscono a mantenere la stabilità dell'ambiente di produzione. Tutte le modifiche significative vengono comunicate formalmente, coordinate, opportunamente esaminate e approvate prima di essere rilasciate nell'ambiente di produzione.

L'accesso di rete alle risorse nell'ambiente Data Infrastructure Insights è controllato da firewall basati su host. Ogni risorsa (ad esempio un bilanciatore del carico o un'istanza di macchina virtuale) dispone di un firewall basato su host che limita il traffico in entrata solo alle porte necessarie affinché la risorsa svolga la sua funzione.

Data Infrastructure Insights utilizza vari meccanismi, tra cui servizi di rilevamento delle intrusioni, per monitorare l'ambiente di produzione alla ricerca di anomalie di sicurezza.

Il team di Data Infrastructure Insights segue un processo formalizzato di valutazione del rischio per fornire un metodo sistematico e ripetibile per identificare e valutare i rischi, in modo che possano essere gestiti in modo appropriato tramite un piano di trattamento del rischio.

L'ambiente di produzione Data Infrastructure Insights è configurato in un'infrastruttura altamente ridondante che utilizza più zone di disponibilità per tutti i servizi e i componenti. Oltre a utilizzare un'infrastruttura di elaborazione altamente disponibile e ridondante, i dati critici vengono sottoposti a backup a intervalli regolari e i ripristini vengono testati periodicamente. Le policy e le procedure di backup formali riducono al minimo l'impatto delle interruzioni delle attività aziendali e proteggono i processi aziendali dagli effetti di guasti dei sistemi informativi o disastri, garantendone la ripresa tempestiva e adeguata.

L'accesso dei clienti a Data Infrastructure Insights avviene tramite interazioni con l'interfaccia utente del browser tramite https. L'autenticazione viene effettuata tramite il servizio di terze parti Auth0. NetApp ha scelto questo come livello di autenticazione per tutti i servizi Cloud Data.

Data Infrastructure Insights segue le best practice del settore, tra cui "Privilegio minimo" e "Controllo degli accessi basato sui ruoli" per l'accesso logico all'ambiente di produzione di Data Infrastructure Insights . L'accesso è controllato in base alla stretta necessità e viene concesso solo a personale autorizzato selezionato mediante meccanismi di autenticazione a più fattori.

Tutti i dati dei clienti vengono crittografati durante il transito sulle reti pubbliche e crittografati a riposo. Data Infrastructure Insights utilizza la crittografia in vari punti del sistema per proteggere i dati dei clienti tramite tecnologie che includono Transport Layer Security (TLS) e l'algoritmo standard del settore AES-256.

Le notifiche e-mail vengono inviate a intervalli diversi per informare il cliente che il suo abbonamento sta per scadere. Una volta scaduto l'abbonamento, l'interfaccia utente viene limitata e inizia un periodo di tolleranza per la raccolta dei dati. Il cliente viene quindi avvisato tramite e-mail. Gli abbonamenti di prova hanno un periodo di grazia di 14 giorni, mentre gli abbonamenti a pagamento hanno un periodo di grazia di 28 giorni. Una volta scaduto il periodo di tolleranza, il cliente verrà avvisato tramite e-mail che l'account verrà eliminato entro 2 giorni. Anche un cliente pagante può richiedere direttamente di uscire dal servizio.

I tenant scaduti e tutti i dati dei clienti associati vengono eliminati dal team Data Infrastructure Insights Operations (SRE) al termine del periodo di tolleranza o alla conferma della richiesta del cliente di chiudere il proprio account. In entrambi i casi, il team SRE esegue una chiamata API per eliminare l'account. La chiamata API elimina l'istanza del tenant e tutti i dati del cliente. L'eliminazione del cliente viene verificata chiamando la stessa API e verificando che lo stato del tenant del cliente sia "ELIMINATO".

Data Infrastructure Insights è integrato con il processo Product Security Incident Response Team (PSIRT) di NetApp per individuare, valutare e risolvere le vulnerabilità note. PSIRT acquisisce informazioni sulle vulnerabilità da più canali, tra cui segnalazioni dei clienti, ingegneria interna e fonti ampiamente riconosciute come il database CVE.

Se il team di ingegneria Data Infrastructure Insights rileva un problema, avvierà il processo PSIRT, valuterà e potenzialmente risolverà il problema.

È anche possibile che un cliente o un ricercatore Data Infrastructure Insights identifichi un problema di sicurezza con il prodotto Data Infrastructure Insights e segnali il problema al supporto tecnico o direttamente al team di risposta agli incidenti di NetApp. In questi casi, il team Data Infrastructure Insights avvierà il processo PSIRT, valuterà e potenzialmente risolverà il problema.

Data Infrastructure Insights segue le migliori pratiche del settore ed esegue regolarmente test di vulnerabilità e penetrazione avvalendosi di professionisti e aziende della sicurezza interne ed esterne.

Tutto il personale di Data Infrastructure Insights segue una formazione sulla sicurezza, sviluppata per i singoli ruoli, per garantire che ogni dipendente sia in grado di gestire le sfide specifiche in materia di sicurezza dei propri ruoli.

Data Infrastructure Insights esegue audit indipendenti di terze parti e convalide da parte di società di revisione contabile autorizzate esterne sulla sua sicurezza, sui suoi processi e sui suoi servizi, incluso il completamento dell'audit SOC 2.

Puoi visualizzare gli avvisi di sicurezza disponibili di NetApp"Qui" .