Skip to main content
Data Infrastructure Insights
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

資料基礎架構洞見安全性

貢獻者

產品與客戶資料安全在NetApp是最重要的。Data Infrastructure Insights 在整個版本生命週期中遵循安全性最佳實務做法、確保以最佳方式保護客戶資訊和資料。

安全性總覽

實體安全性

Data Infrastructure Insights 正式作業基礎架構是以 Amazon Web Services ( AWS )代管。資料基礎架構 Insights 正式作業伺服器的實體和環境安全相關控管措施、包括建築物、門上使用的鎖或鑰匙、均由 AWS 管理。根據AWS:「實體存取是由專業安全人員在邊界和建築物入口點控制、利用視訊監控、入侵偵測系統及其他電子方式。授權人員利用多因素驗證機制來存取資料中心樓層。」

Data Infrastructure Insights 遵循 "共同責任模式"AWS 所述的最佳實務做法。

產品安全性

Data Infrastructure Insights 遵循敏捷式開發原則的開發生命週期、因此相較於較長的發行週期開發方法、我們可以更快速地解決任何以安全為導向的軟體瑕疵。使用持續整合方法、我們能夠快速回應功能與安全性的變更。變更管理程序和原則定義變更的發生時間和方式、並有助於維持正式作業環境的穩定性。任何有影響力的變更都會在正式發佈至正式環境之前、正式傳達、協調、適當審查及核准。

網路安全

資料基礎架構 Insights 環境中的資源網路存取是由主機型防火牆所控制。每個資源(例如負載平衡器或虛擬機器執行個體)都有主機型防火牆、可將傳入流量限制在該資源執行其功能所需的連接埠。

Data Infrastructure Insights 使用各種機制、包括入侵偵測服務、來監控正式作業環境的安全異常狀況。

風險評估

Data Infrastructure Insights 團隊遵循正式化的風險評估程序、提供系統化、可重複的方法來識別及評估風險、以便透過風險處理計畫妥善管理風險。

資料保護

Data Infrastructure Insights 正式作業環境是在高度備援的基礎架構中設定、並針對所有服務和元件使用多個可用性區域。除了運用高可用度和備援的運算基礎架構、還會定期備份關鍵資料、並定期測試還原作業。正式備份原則與程序可將業務活動中斷的影響降至最低、並保護業務流程免受資訊系統或災難的故障影響、確保其能及時且充分地恢復運作。

驗證與存取管理

所有客戶存取 Data Infrastructure Insights 都是透過 https 的瀏覽器 UI 互動來完成。驗證是透過第三方服務(驗證0)來完成。NetApp已將此點集中做為所有雲端資料服務的驗證層。

Data Infrastructure Insights 遵循產業最佳實務做法、包括「最低權限」和「角色型存取控制」、以邏輯方式存取 Data Infrastructure Insights 正式作業環境。存取權是嚴格控制需求、只有使用多因素驗證機制的特定授權人員才有權存取。

客戶資料的收集與保護

所有客戶資料都會在公共網路傳輸時加密、並在靜止狀態下加密。Data Infrastructure Insights 在系統的各個點使用加密技術、以包括傳輸層安全( TLS )和業界標準 AES-256 演算法的技術來保護客戶資料。

客戶取消資源配置

電子郵件通知會以不同的時間間隔寄出、通知客戶訂閱即將到期。訂閱一旦過期、UI就會受到限制、而且會開始收集資料的寬限期。然後透過電子郵件通知客戶。試用版訂閱有14天的寬限期、付費訂閱帳戶有28天的寬限期。寬限期到期後、系統會透過電子郵件通知客戶、該帳戶將在2天內刪除。付費客戶也可以直接申請離開服務。

資料基礎架構洞見營運( SRE )團隊會在寬限期結束時、或在確認客戶要求終止其帳戶時、刪除過期的租戶和所有相關的客戶資料。無論是哪一種情況、SRE團隊都會執行API呼叫來刪除帳戶。API呼叫會刪除租戶執行個體和所有客戶資料。透過呼叫相同的API並確認客戶租戶狀態為「已刪除」來驗證客戶刪除。

安全性事件管理

資料基礎架構洞見與 NetApp 的產品安全事件回應團隊( PSIRT )程序整合、可尋找、評估及解決已知的弱點。SIRT從多個管道接收弱點資訊、包括客戶報告、內部工程、以及廣為人知的來源(例如、CVE資料庫)。

如果 Data Infrastructure Insights 工程團隊偵測到問題、團隊將會啟動 PSIRT 程序、評估問題、並可能修正問題。

此外、資料基礎架構洞見客戶或研究人員也可能發現資料基礎架構洞見產品的安全問題、並將問題回報給技術支援部門或直接回報給 NetApp 的事件回應團隊。在這些案例中、 Data Infrastructure Insights 團隊將啟動 PSIRT 程序、評估問題、並可能修正問題。

弱點與滲透測試

Data Infrastructure Insights 遵循業界最佳實務做法、並使用內部和外部安全專業人員和公司定期執行弱點和滲透測試。

安全性認知訓練

所有 Data Infrastructure Insights 人員都接受專為個別角色所開發的安全訓練、以確保每位員工都能因應其職務的特定安全性挑戰。

法規遵循

Data Infrastructure Insights 會從外部授權 CPA 公司執行獨立的第三方稽核和驗證、以確保其安全性、程序和服務、包括完成 SOC 2 稽核。

NetApp 安全性摘要報告

您可以檢視 NetApp 的可用安全性摘要報告 "請按這裡"