Data Infrastructure Insights の運用インフラストラクチャは、Amazon Web Services (AWS) でホストされています。建物やドアに使用されるロックやキーを含む、 Data Infrastructure Insights実稼働サーバーの物理的および環境的なセキュリティ関連の制御は、AWS によって管理されます。 AWS によると、「物理的なアクセスは、ビデオ監視、侵入検知システム、その他の電子手段を利用する専門のセキュリティ スタッフによって、境界と建物の入口の両方で制御されます。」権限のあるスタッフは、多要素認証メカニズムを利用してデータセンターのフロアにアクセスします。

Data Infrastructure Insightsは、"共有責任モデル" AWS によって説明されています。

Data Infrastructure Insights は、アジャイル原則に沿った開発ライフサイクルに従うため、リリース サイクルが長い開発方法論と比較して、セキュリティ重視のソフトウェア欠陥に迅速に対処できます。継続的インテグレーション手法を使用することで、機能とセキュリティの両方の変更に迅速に対応できます。変更管理の手順とポリシーは、変更がいつどのように発生するかを定義し、運用環境の安定性を維持するのに役立ちます。影響のある変更は、実稼働環境にリリースされる前に正式に伝達、調整され、適切にレビューされ、承認されます。

Data Infrastructure Insights環境内のリソースへのネットワーク アクセスは、ホストベースのファイアウォールによって制御されます。各リソース (ロード バランサや仮想マシン インスタンスなど) には、そのリソースが機能を実行するために必要なポートのみに受信トラフィックを制限するホストベースのファイアウォールがあります。

Data Infrastructure Insights は、侵入検知サービスなどのさまざまなメカニズムを使用して、実稼働環境のセキュリティ異常を監視します。

Data Infrastructure Insightsチームは、形式化されたリスク評価プロセスに従って、リスクを識別および評価するための体系的かつ反復可能な方法を提供し、リスク処理計画を通じてリスクを適切に管理できるようにします。

Data Infrastructure Insights の運用環境は、すべてのサービスとコンポーネントに複数の可用性ゾーンを利用する、高度に冗長化されたインフラストラクチャ内にセットアップされています。可用性が高く冗長性のあるコンピューティング インフラストラクチャを活用するとともに、重要なデータは定期的にバックアップされ、復元は定期的にテストされます。正式なバックアップ ポリシーと手順により、ビジネス活動の中断の影響が最小限に抑えられ、情報システムの障害や災害の影響からビジネス プロセスが保護され、タイムリーかつ適切に再開されることが保証されます。

Data Infrastructure Insightsへのすべての顧客アクセスは、https 経由のブラウザ UI 操作を通じて行われます。認証はサードパーティのサービスである Auth0 を介して行われます。 NetApp は、これをすべてのクラウド データ サービスの認証レイヤーとして一元化しています。

Data Infrastructure Insights は、 Data Infrastructure Insights の運用環境への論理アクセスに関する「最小権限」や「ロールベースのアクセス制御」などの業界のベスト プラクティスに従います。アクセスは厳密に必要に応じて制御され、多要素認証メカニズムを使用して、承認された特定の担当者にのみ許可されます。

すべての顧客データは、パブリック ネットワーク経由での転送中および保存時に暗号化されます。 Data Infrastructure Insights は、システムのさまざまなポイントで暗号化を活用し、トランスポート層セキュリティ (TLS) や業界標準の AES-256 アルゴリズムなどのテクノロジーを使用して顧客データを保護します。

サブスクリプションの有効期限が近づいていることを顧客に通知するために、さまざまな間隔で電子メール通知が送信されます。サブスクリプションの有効期限が切れると、UI が制限され、データ収集の猶予期間が始まります。その後、顧客に電子メールで通知されます。試用サブスクリプションには 14 日間の猶予期間があり、有料サブスクリプション アカウントには 28 日間の猶予期間があります。猶予期間が過ぎると、2 日以内にアカウントが削除されることが電子メールで顧客に通知されます。有料のお客様は、サービスの利用停止を直接リクエストすることもできます。

期限切れのテナントおよび関連するすべての顧客データは、猶予期間の終了時、または顧客からのアカウント終了要求の確認時に、Data Infrastructure Insightsサイト オペレーション (SRE) チームによって削除されます。どちらの場合でも、SRE チームは API 呼び出しを実行してアカウントを削除します。 API 呼び出しにより、テナント インスタンスとすべての顧客データが削除されます。顧客の削除は、同じ API を呼び出して、顧客テナントのステータスが「削除済み」であることを確認することによって検証されます。

Data Infrastructure Insights は、既知の脆弱性を発見、評価、解決するために、NetApp の製品セキュリティ インシデント レスポンス チーム (PSIRT) プロセスと統合されています。 PSIRT は、顧客レポート、社内エンジニアリング、CVE データベースなどの広く認知されているソースを含む複数のチャネルから脆弱性情報を取得します。

Data Infrastructure Insightsエンジニアリング チームによって問題が検出された場合、チームは PSIRT プロセスを開始し、問題を評価し、場合によっては修復します。

また、 Data Infrastructure Insights の顧客または研究者が、 Data Infrastructure Insights製品のセキュリティ問題を特定し、その問題をテクニカル サポートまたは NetApp のインシデント対応チームに直接報告する可能性もあります。このような場合、Data Infrastructure Insightsチームは PSIRT プロセスを開始し、問題を評価し、場合によっては修復します。

Data Infrastructure Insights は業界のベストプラクティスに従い、社内外のセキュリティ専門家や企業を使用して定期的に脆弱性と侵入のテストを実行します。

すべてのData Infrastructure Insights従業員は、それぞれの役割に合わせて開発されたセキュリティ トレーニングを受け、各従業員が自分の役割に特有のセキュリティ重視の課題に対処できるようにしています。

Data Infrastructure Insights は、 SOC 2 監査の完了を含め、セキュリティ、プロセス、サービスについて、外部の認定 CPA 事務所による独立したサードパーティ監査と検証を実行します。

NetAppのセキュリティアドバイザリは以下からご覧いただけます。"ここをクリックしてください。" 。