Zum Inhalt springen

Organisatorische Sicherheit von Jitterbit Harmony

Einführung

Jitterbit ist bestrebt, die betrieblichen Best Practices führender Cloud-Computing-Anbieter auf der ganzen Welt anzuwenden. Dazu gehören:

Vertraulichkeit

Die Vertraulichkeitsmaßnahmen von Harmony dienen dazu, vertrauliche Kundendaten vor unbefugtem Zugriff zu schützen. Zusätzlich zu den physischen und logischen Sicherheitsebenen, die unsere Software und physische Infrastruktur bieten, schreiben unsere internen Richtlinien Folgendes vor:

  • Aufgabentrennung: Zugriff auf das Produktionssystem von Harmony hat nur das Jitterbit Operations-Team. Alle Änderungen an der Umfeld müssen vom Jitterbit Operations-Team vorgenommen werden.
  • Minimum notwendig und geringste Privilegien: Innerhalb des Jitterbit Operations-Teams ist der Zugriff auf die verschiedenen Jitterbit-Dienste je nach Bedarf beschränkt. Das Team weiß, welcher Mitarbeiter zu einem bestimmten Zeitpunkt Zugriff auf welche Harmony Produktionsressource hat, und kann diesen Zugriff bei Bedarf widerrufen.

Personalpolitik

Die Personalpolitik von Jitterbit ist darauf ausgelegt, ein hohes Maß an Vertrauenswürdigkeit der Mitarbeiter aufrechtzuerhalten und sie über wichtige Aspekte der Informationssicherheit und des Datenschutzes zu informieren. Mitarbeiter müssen einen Verhaltenskodex einhalten, der Vertraulichkeit, Ethik und Professionalität bei allen Interaktionen mit Benutzern, Partnern und Wettbewerbern von Jitterbit betont. Alle Mitarbeiter unterzeichnen eine Vertraulichkeitsvereinbarung, die die Kundendaten von Jitterbit schützt. Alle Mitarbeiter von Jitterbit erhalten regelmäßige Sicherheitsschulungen und -tests.

Jitterbit-Operationen

Das Jitterbit Operations-Team ist für die Definition und Ausführung von Verfahren für das Anwendungsrelease-Management, Hardware- und Betriebssystem-Upgrades, die Überwachung der Systemintegrität und andere Aktivitäten verantwortlich, die für die Wartung von Harmony erforderlich sind.

Zu den Aufgaben des Teams gehören:

  • Überprüfung der Sicherheit des Entwurfs und der Implementierung der Cloud-Infrastruktur.
  • Implementierung von Verfahren, die Sicherheitsstandards wie Cloud Security Alliance (CSA) und Cloud Internet Security (CIS) entsprechen.
  • Definieren und Implementieren von Richtlinien zur Identitäts- und Zugriffsverwaltung sowie Verfahren zum Zuweisen eindeutiger und nachverfolgbarer Identitäten zu jedem autorisierten Jitterbit-Teammitglied.
  • Definieren von Datenvertraulichkeitsklassifizierungen, die von Mitarbeitern, die auf Kundeninformationen von Harmony zugreifen, verlangen, dies in einer vorgeschriebenen Weise zu tun, um die Möglichkeit eines unbefugten Zugriffs einzuschränken.
  • Identifizieren und Implementieren von Technologien zum Schutz von Kundeninformationen, einschließlich Verschlüsselung auf FIPS 140-2-Niveau für übertragene und ruhende Daten.
  • Durchführen technischer und nichttechnischer Beurteilungen (Evaluierungen) der Informationssicherheit, die auf Penetrationstests, Schwachstellenscans und Audits hinsichtlich zentraler Vorschriften und standardmäßiger Verhaltenskodizes basieren.
  • Überwachung der Harmony-Anwendungen und-Infrastruktur auf mögliche Sicherheitsprobleme.
  • Schnelle Behebung von Befunden und Problemen.

Jitterbit-Entwicklung

Das Jitterbit Engineering-Team ist für das Entwerfen, Entwickeln, Implementieren und Testen der von Harmony bereitgestellten Softwaredienste verantwortlich. Das Engineering-Team arbeitet eng mit dem Operations-Team zusammen, um Sicherheitsbedenken zu identifizieren, Überwachungsverfahren zu entwickeln und Schutztechnologien zu implementieren. Zu den Sicherheitsaufgaben des Engineering-Teams gehören:

  • Definieren und Implementieren sicherer Design- und Codierpraktiken.
  • Durchführen von Designüberprüfungen, um mögliche Sicherheitsbedenken vor der Codierung zu identifizieren.
  • Durchführen von Codeüberprüfungen, um Code zu identifizieren, der ausgenutzt werden könnte, um unbefugten Zugriff auf Kundendaten zu gewähren.
  • Durchführen von Codeüberprüfungen, um Code zu identifizieren, der die Verfügbarkeit negativ beeinflussen könnte.
  • Durchführen von Belastungstests in Vorproduktionsumgebungen, um zu überprüfen, ob die Verfügbarkeitsanforderungen erfüllt wurden.

Jitterbit-Qualitätssicherung

Das Jitterbit-QA-Team ist dafür verantwortlich, neue und bestehende Regressionstests für alle von Engineering freigegebenen Softwareprogramme durchzuführen, um sicherzustellen, dass durch Änderungen an der Software keine Sicherheits- oder Funktionsprobleme entstehen. Das Jitterbit-QA-Team führt seine Funktion in einer separaten Umfeld aus, die den Produktionskonfigurationen sehr ähnlich ist. Das Jitterbit-QA-Team muss jede Softwareversion genehmigen, bevor das Jitterbit-Operationsteam diese Software in der Harmony Umfeld einsetzen kann.

Harmony Vertrauensseite

Die Verfügbarkeit und der Sicherheitsstatus von Harmony werden 24 Stunden am Tag, sieben Tage die Woche vom Jitterbit Operations Team überwacht. Die Daten zu dieser Überwachung werden auf der Jitterbit Trust-Website veröffentlicht um Nutzern und der Öffentlichkeit transparente Einblicke in unsere Betriebsabläufe zu geben.

Identitäts- und Zugriffsverwaltung

Zugriffskontrolle und geringste Privilegien

Die Identitäts- und Zugriffsverwaltungsrichtlinie erfordert, dass alle Jitterbit-Mitarbeiter, die Zugriff auf Harmony-Produktionsumgebungen haben, mit eindeutigen und nachverfolgbaren Identitäten in Form einer Benutzer-ID ausgestattet werden. Die Identitäts- und Zugriffsverwaltungsrichtlinie erzwingt das Prinzip der geringsten Privilegien, das den Mitarbeitern nur die Mindestzugriffsebene gewährt, die zum Erfüllen ihrer zugewiesenen Aufgaben erforderlich ist.

Regelmäßige Zugriffsüberprüfung

Virtuelle Instanzen, Firewalls, Datenbankserver und andere Infrastruktursoftware und -hardware werden durch Benutzeridentitäten geschützt, denen ein begrenzter Satz an Berechtigungen gewährt wurde. Die erteilten Berechtigungen werden regelmäßig vom Betriebsteam überprüft und widerrufen, wenn ein Mitarbeiter das Unternehmen verlässt. Das Betriebsteam setzt in allen Harmony-Produktionsumgebungen eine Kennwortrichtlinie durch, die sichere Kennwörter, regelmäßiges Ablaufen von Kennwörtern und Einschränkungen bei der Wiederverwendung von Kennwörtern erfordert.

Vorfallmanagement

Das Ziel der Jitterbit-Richtlinie zum Vorfallmanagement besteht nicht nur darin, Vorfälle schnell und effektiv zu beheben, sondern auch darin, Vorfallinformationen zu sammeln und zu verteilen, sodass die Prozesse kontinuierlich verbessert werden und zukünftige Reaktionen auf dem gesammelten Wissen basieren.

Das Vorfallmanagement umfasst die Erstdiagnose, Klassifizierung, Priorisierung, Eskalation und Schließung. Alle Vorfälle, die keine Auswirkungen auf Harmony Benutzer haben, werden im technischen Problemverfolgungssystem aufgezeichnet. Alle Probleme, die Benutzer betreffen, werden im Kundensupportsystem aufgezeichnet, sodass alle Auswirkungen auf SLAs verfolgt werden können.

Patch-Management und Hochverfügbarkeit

Jitterbit verbessert seine Produkte kontinuierlich, wenn neue Sicherheitsbedrohungen auftreten. Darüber hinaus wird auch die von uns verwendete Software-Infrastruktur verbessert.

Um die Software auf dem neuesten Stand zu halten, arbeitet das Operations-Team mit dem Engineering- und QA-Team zusammen und befolgt dabei eine detaillierte Patch-Management-Richtlinie, die die Erkennung, Prüfung und Bereitstellung von Sicherheitspatches umfasst. Die virtuelle Infrastrukturstrategie von AWS und Harmony ermöglicht es, dass Harmony auch während Upgrades verfügbar bleibt.

Das Betriebsteam überwacht aktiv die Sicherheitshinweise der Anbieter und abonniert Benachrichtigungen zu neuen Patch-Veröffentlichungen.

Kapazitätsmanagement

Harmony unterstützt derzeit Tausende aktiver Benutzer, die verschiedene Integrationsprozesse durchführen. Die Harmony-Plattform wurde für dynamische Skalierung entwickelt. Die Kerndienste, die APIs für unsere Tools und Benutzer verfügbar machen, laufen auf Apache Tomcat. Unsere Systeme verfolgen die aktuelle Nutzungsrate und stellen EC2-Instanzen bei Bedarf automatisch bereit und stoppen sie.