简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

Cloud Insights 安全性

提供者 netapp-alavoie 下载此页面的 PDF

产品和客户数据安全性在 NetApp 至关重要。Cloud Insights 会在整个发布生命周期遵循安全最佳实践,以确保客户信息和数据尽可能受到保护。

安全性概述

物理安全性

Cloud Insights 生产基础架构托管在 Amazon Web Services ( AWS )中。Cloud Insights 生产服务器的物理和环境安全控制由 AWS 管理,其中包括建筑物以及门上使用的锁或密钥。根据 AWS : " 物理访问由专业安全人员利用视频监控,入侵检测系统和其他电子手段在外围和构建入口点进行控制。授权人员可利用多因素身份验证机制访问数据中心楼层。 "

Cloud Insights 遵循的最佳实践 "共同责任模式" 由 AWS 介绍。

产品安全性

Cloud Insights 遵循敏捷原则的开发生命周期,因此与更长的发布周期开发方法相比,我们可以更快地解决任何面向安全的软件缺陷。通过采用持续集成方法,我们可以快速响应功能和安全方面的变化。变更管理过程和策略用于定义何时以及如何发生变更,并有助于保持生产环境的稳定性。在将任何有影响的变更发布到生产环境之前,系统会正式传达,协调,适当审核和批准这些变更。

网络安全

在 Cloud Insights 环境中,对资源的网络访问由基于主机的防火墙控制。每个资源(例如负载平衡器或虚拟机实例)都有一个基于主机的防火墙,该防火墙仅限制入站流量,使其仅限于该资源执行其功能所需的端口。

Cloud Insights 使用各种机制,包括入侵检测服务来监控生产环境中的安全异常情况。

风险评估

Cloud Insights 团队遵循一个正式的风险评估流程,提供一种系统且可重复的方法来识别和评估风险,以便通过风险管理计划对这些风险进行适当管理。

数据保护

Cloud Insights 生产环境是在高度冗余的基础架构中设置的,该基础架构利用多个可用性区域来提供所有服务和组件。除了利用高可用性和冗余计算基础架构之外,还会定期备份关键数据,并定期测试恢复情况。正式的备份策略和程序可最大限度地减少业务活动中断的影响,保护业务流程免受信息系统故障或灾难的影响,并确保及时,充分地恢复这些策略和程序。

身份验证和访问管理

所有客户对 Cloud Insights 的访问都是通过 https 通过浏览器 UI 交互完成的。身份验证通过第三方服务 Auth0 完成。NetApp 已将此作为所有云数据服务的身份验证层进行了集中处理。

Cloud Insights 遵循行业最佳实践,包括围绕对 Cloud Insights 生产环境的逻辑访问实施 " 最小权限 " 和 " 基于角色的访问控制 " 。访问权限严格按照需要进行控制,并且仅允许使用多因素身份验证机制的特定授权人员进行访问。

收集和保护客户数据

所有客户数据都会在公有网络之间传输时进行加密,并在空闲时进行加密。Cloud Insights 利用系统中各个点的加密技术,通过传输层安全( Transport Layer Security , TLS )和行业标准 AES-256 算法保护客户数据。

客户取消配置

电子邮件通知会以不同的时间间隔发送,以通知客户其订阅即将到期。订阅过期后, UI 将受到限制,并开始为数据收集提供宽限期。然后,系统会通过电子邮件通知客户。试用订阅享有 14 天的宽限期,付费订阅帐户享有 28 天的宽限期。宽限期到期后,系统会通过电子邮件通知客户帐户将在 2 天后被删除。付费客户也可以直接请求停止服务。

到期租户以及所有相关客户数据将在宽限期结束时由 Cloud Insights 运营( SRE )团队删除,或者在确认客户终止其帐户的请求后被删除。无论哪种情况, SRE 团队都会运行 API 调用来删除帐户。API 调用将删除租户实例和所有客户数据。通过调用同一 API 并验证客户租户状态是否为 " 已删除 " ,可以验证客户删除情况。

安全意外事件管理

Cloud Insights 与 NetApp 的产品安全意外事件响应团队( PSIRT )流程集成在一起,用于查找,评估和解决已知漏洞。PSIRT 可从多个渠道获取漏洞信息,包括客户报告,内部工程以及 CVE 数据库等广泛认可的源。

如果 Cloud Insights 工程团队检测到问题描述,该团队将启动 PSIRT 流程,评估问题描述并可能对其进行修复。

此外, Cloud Insights 客户或研究人员还可以通过 Cloud Insights 产品识别安全问题描述,并将问题描述报告给技术支持或直接报告给 NetApp 的意外事件响应团队。在这些情况下, Cloud Insights 团队将启动 PSIRT 流程,评估问题描述并可能对其进行修复。

漏洞和渗透测试

Cloud Insights 遵循行业最佳实践,并使用内部和外部安全专业人员和公司定期执行漏洞和渗透测试。

安全意识培训

所有 Cloud Insights 人员都要接受针对各个角色开发的安全培训,以确保每个员工都有能力应对其角色中特定的安全挑战。

合规性

Cloud Insights 对外部许可的 CPA 公司的安全性,流程和服务执行独立的第三方审核和验证,包括完成 SOC 2 审核。