本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

安全性Cloud Insights

產品與客戶資料安全在NetApp是最重要的。整個發行生命週期均遵循安全最佳實務做法、確保以最佳方式保護客戶資訊與資料。Cloud Insights

安全性總覽

實體安全性

此產品基礎架構裝載於Amazon Web Services(AWS)Cloud Insights 。AWS負責管理實體與環境安全相關的功能、以利Cloud Insights 執行不中斷生產伺服器、包括建築物、門上使用的鎖或鑰匙。根據AWS:「實體存取是由專業安全人員在邊界和建築物入口點控制、利用視訊監控、入侵偵測系統及其他電子方式。授權人員利用多因素驗證機制來存取資料中心樓層。」

的最佳實務做法Cloud Insights "共同責任模式" 由AWS說明。

產品安全性

與較長的發行週期開發方法相比、利用開發生命週期、配合敏捷原則、讓我們能夠更快解決任何安全性導向的軟體瑕疵。Cloud Insights使用持續整合方法、我們能夠快速回應功能與安全性的變更。變更管理程序和原則定義變更的發生時間和方式、並有助於維持正式作業環境的穩定性。任何有影響力的變更都會在正式發佈至正式環境之前、正式傳達、協調、適當審查及核准。

網路安全

網路存取Cloud Insights 功能可存取整個過程中的資源、是由主機型防火牆所控制。每個資源(例如負載平衡器或虛擬機器執行個體)都有主機型防火牆、可將傳入流量限制在該資源執行其功能所需的連接埠。

利用各種機制、包括入侵偵測服務、監控生產環境是否有安全異常。Cloud Insights

風險評估

支援團隊遵循正式化的風險評估程序、提供系統化且可重複的方法來識別及評估風險、以便透過風險處理計畫妥善管理風險。Cloud Insights

資料保護

利用多個可用度區域、為所有服務和元件建立高度備援的基礎架構。Cloud Insights除了運用高可用度和備援的運算基礎架構、還會定期備份關鍵資料、並定期測試還原作業。正式備份原則與程序可將業務活動中斷的影響降至最低、並保護業務流程免受資訊系統或災難的故障影響、確保其能及時且充分地恢復運作。

驗證與存取管理

所有客戶都能透過Cloud Insights 瀏覽器UI互動、透過https存取所有的功能。驗證是透過第三方服務(驗證0)來完成。NetApp已將此點集中做為所有雲端資料服務的驗證層。

此解決方案遵循業界最佳實務做法、包括「最低權限」和「角色型存取控制」、以邏輯方式存取整個流程環境。Cloud Insights Cloud Insights存取權是嚴格控制需求、只有使用多因素驗證機制的特定授權人員才有權存取。

客戶資料的收集與保護

所有客戶資料都會在公共網路傳輸時加密、並在靜止狀態下加密。利用系統各點的加密技術、利用傳輸層安全(TLS)和業界標準AES-256演算法等技術來保護客戶資料。Cloud Insights

客戶取消資源配置

電子郵件通知會以不同的時間間隔寄出、通知客戶訂閱即將到期。訂閱一旦過期、UI就會受到限制、而且會開始收集資料的寬限期。然後透過電子郵件通知客戶。試用版訂閱有14天的寬限期、付費訂閱帳戶有28天的寬限期。寬限期到期後、系統會透過電子郵件通知客戶、該帳戶將在2天內刪除。付費客戶也可以直接申請離開服務。

過期的租戶和所有相關的客戶資料會在Cloud Insights 寬限期結束時、或在客戶要求終止其帳戶時、由SRAE團隊刪除。無論是哪一種情況、SRE團隊都會執行API呼叫來刪除帳戶。API呼叫會刪除租戶執行個體和所有客戶資料。透過呼叫相同的API並確認客戶租戶狀態為「已刪除」來驗證客戶刪除。

安全性事件管理

NetApp的產品安全事件回應團隊(PSIRT)程序整合了整個程序、可找出、評估及解決已知的弱點。Cloud InsightsSIRT從多個管道接收弱點資訊、包括客戶報告、內部工程、以及廣為人知的來源(例如、CVE資料庫)。

如果Cloud Insights 由工程團隊偵測到問題、團隊將會啟動PSIRT程序、評估問題並可能進行補救。

此外、可能由某位客戶或研究人員識別出某項產品的安全問題、並將問題報告給技術支援部門、或直接報告給NetApp的事件回應團隊。Cloud Insights Cloud Insights在這些情況下Cloud Insights 、該團隊會啟動PSIRT程序、評估問題、並可能予以補救。

弱點與滲透測試

本產品採用業界最佳實務做法、並使用內部和外部的安全專業人員和公司、定期執行弱點與滲透測試。Cloud Insights

安全性認知訓練

所有的部門人員都會接受專為個別職務所開發的安全訓練、確保每位員工都有能力因應其職務所面臨的特定安全性挑戰。Cloud Insights

法規遵循

執行獨立的第三方稽核、並驗證外部授權CPA公司的安全性、程序和服務、包括完成SOC 2稽核。Cloud Insights