Zum Inhalt springen

Organisatorische Sicherheit von Jitterbit Harmony

Einführung

Jitterbit wendet die operativen Best Practices führender Cloud-Computing-Anbieter weltweit an. Dazu gehören:

Vertraulichkeit

Die Vertraulichkeitsmaßnahmen von Harmony schützen sensible Kundendaten vor unbefugtem Zugriff. Zusätzlich zu den physischen und logischen Sicherheitsebenen unserer Software und Infrastruktur schreiben unsere internen Richtlinien Folgendes vor:

  • Aufgabentrennung: Zugriff auf das Produktionssystem von Harmony hat ausschließlich das Jitterbit Operations-Team. Änderungen an der Umfeld müssen vom Jitterbit Operations-Team vorgenommen werden.
  • Minimum notwendig und geringste Privilegien: Innerhalb des Jitterbit Operations-Teams ist der Zugriff auf die verschiedenen Jitterbit-Dienste bedarfsgerecht beschränkt. Das Team weiß, welcher Mitarbeiter zu jedem Zeitpunkt Zugriff auf welche Harmony-Produktionsressource hat und kann diesen Zugriff bei Bedarf widerrufen.

Personalpolitik

Die Personalpolitik von Jitterbit zielt darauf ab, die Vertrauenswürdigkeit der Mitarbeiter zu gewährleisten und sie über wichtige Aspekte der Informationssicherheit und des Datenschutzes zu informieren. Sie müssen einen Verhaltenskodex einhalten, der Vertraulichkeit, Ethik und Professionalität im Umgang mit Nutzern, Partnern und Wettbewerbern von Jitterbit betont. Alle Mitarbeiter unterzeichnen eine Vertraulichkeitsvereinbarung zum Schutz der Kundendaten von Jitterbit. Alle Jitterbit-Mitarbeiter erhalten regelmäßig Sicherheitsschulungen und -tests, die von einem Drittpartei Prüfer genehmigt werden.

Penetrationstests

Penetrationstests werden regelmäßig von einem externen Prüfer durchgeführt. Die Tests erfolgen auf drei Ebenen: Anwendung, Produkt und Netzwerk. Die Ergebnisse der Penetrationstests sind auf Anfrage über unser Self-Service-Sicherheitscenter verfügbar.

OWASP-Prüfungen

Jitterbit führt regelmäßig die vom Open Web Application Security Project (OWASP) empfohlenen Prüfungen durch. Identifizierte Schwachstellen werden priorisiert, um die Anwendungssicherheit zu erhöhen und das Risiko von Sicherheitsverletzungen zu reduzieren.

Sicherer SDLC

Sicherheitspraktiken sind in jeder Phase des Softwareentwicklungszyklus (SDLC) integriert, um Sicherheitslücken so früh wie möglich zu erkennen und zu beheben. Die Jitterbit-Teams für Betrieb, Entwicklung und Qualitätssicherung sind während des gesamten Lebenszyklus für unterschiedliche Sicherheitsaspekte verantwortlich.

Jitterbit-Operationen

Das Jitterbit Operations-Team ist für die Definition und Ausführung von Verfahren für das Anwendungsversionsmanagement, Hardware- und Betriebssystem-Upgrades, die Überwachung der Systemintegrität und andere Aktivitäten verantwortlich, die für die Wartung von Harmony erforderlich sind.

Zu den Aufgaben des Teams gehören:

  • Überprüfung der Sicherheit des Entwurfs und der Implementierung der Cloud-Infrastruktur.
  • Implementierung von Verfahren, die Sicherheitsstandards wie Cloud Security Alliance (CSA) und Cloud Internet Security (CIS) entsprechen.
  • Definieren und Implementieren von Richtlinien zur Identitäts- und Zugriffsverwaltung sowie Verfahren zum Zuweisen eindeutiger und nachverfolgbarer Identitäten an jedes autorisierte Jitterbit-Teammitglied.
  • Definieren von Klassifizierungen zur Datenvertraulichkeit, die von Mitarbeitern, die auf Kundeninformationen von Harmony zugreifen, verlangen, dies in einer vorgeschriebenen Weise zu tun, die die Möglichkeit eines unbefugten Zugriffs einschränkt.
  • Identifizierung und Implementierung von Technologien zum Schutz von Kundeninformationen, einschließlich Verschlüsselung auf FIPS 140-2-Niveau für übertragene und ruhende Daten.
  • Durchführung technischer und nicht-technischer Beurteilungen (Evaluierungen) der Informationssicherheit, die auf Penetrationstests, Schwachstellenscans und Audits hinsichtlich zentraler Vorschriften und Standardverhaltensregeln basieren.
  • Überwachung der Harmony-Anwendungen und-Infrastruktur auf mögliche Sicherheitsprobleme.
  • Schnelle Behebung von Feststellungen und Problemen.

Jitterbit Engineering

Das Jitterbit Engineering-Team ist für die Konzeption, Entwicklung, Implementierung und Prüfung der von Harmony bereitgestellten Softwaredienste verantwortlich. Das Engineering-Team arbeitet eng mit dem Operations-Team zusammen, um Sicherheitsbedenken zu identifizieren, Überwachungsverfahren zu entwickeln und Schutztechnologien zu implementieren. Zu den Sicherheitsaufgaben des Engineering-Teams gehören:

  • Definieren und Implementieren sicherer Design- und Codierungspraktiken.
  • Durchführen von Designüberprüfungen, um mögliche Sicherheitsbedenken vor der Codierung zu identifizieren.
  • Durchführen von Codeüberprüfungen, um Code zu identifizieren, der ausgenutzt werden könnte, um unbefugten Zugriff auf Kundendaten zu gewähren.
  • Durchführen von Codeüberprüfungen, um Code zu identifizieren, der die Verfügbarkeit negativ beeinflussen könnte.
  • Durchführen von Belastungstests in Vorproduktionsumgebungen, um zu überprüfen, ob die Verfügbarkeitsanforderungen erfüllt wurden.

Jitterbit-Qualitätssicherung

Das Jitterbit-QA-Team ist für die Durchführung neuer und bestehender Regressionstests an der gesamten von der Entwicklungsabteilung freigegebenen Software verantwortlich, um sicherzustellen, dass durch Softwareänderungen keine Sicherheits- oder Funktionsprobleme entstehen. Das Jitterbit-QA-Team führt seine Arbeit in einer separaten Umfeld aus, die den Produktionskonfigurationen sehr nahe kommt. Das Jitterbit-QA-Team muss jede Softwareversion freigeben, bevor das Jitterbit-Betriebsteam diese in der Harmony - Umfeld einsetzen kann.

FIPS 140-2-Authentifizierung

Jitterbit erfüllt die Authentifizierungsanforderungen von FIPS 140-2.

Einmaliges Anmelden

Jitterbit-Mitarbeiter nutzen Single Sign-On (SSO) zur Authentifizierung bei den internen Systemen von Jitterbit.

E2E- Verschlüsselung

Der gesamte interne Jitterbit-Verkehr verwendet eine End-to-End-Verschlüsselung (E2E), um sicherzustellen, dass nur die vorgesehenen Empfänger auf die übertragenen Daten zugreifen können.

Jitterbit-Statussite

Die Verfügbarkeit und der Sicherheitsstatus von Harmony werden rund um die Uhr vom Jitterbit Operations Team überwacht. Die Daten zu dieser Überwachung werden auf der Jitterbit-Statusseite veröffentlicht Nutzern und der Öffentlichkeit transparente Einblicke in unsere Geschäftstätigkeit zu geben.

Identitäts- und Zugriffsverwaltung

Zugriffskontrolle und geringste Berechtigung

Die Identitäts- und Zugriffsverwaltungsrichtlinie erfordert, dass alle Jitterbit-Mitarbeiter, die Zugriff auf Harmony Produktionsumgebungen haben, mit eindeutigen und nachverfolgbaren Identitäten in Form einer Benutzer-ID ausgestattet werden. Die Identitäts- und Zugriffsverwaltungsrichtlinie setzt das Prinzip der geringsten Privilegien durch, das den Mitarbeitern nur die für die Erfüllung ihrer Aufgaben erforderlichen Mindestzugriffsrechte gewährt.

Regelmäßige Zugriffsüberprüfung

Virtuelle Instanzen, Firewalls, Datenbankserver und andere Infrastruktur-Software und-Hardware werden durch Benutzeridentitäten geschützt, denen begrenzte Berechtigungen erteilt wurden. Die erteilten Berechtigungen werden regelmäßig vom Betriebsteam überprüft und widerrufen, wenn ein Mitarbeiter das Unternehmen verlässt. Das Betriebsteam setzt in allen Harmony Produktionsumgebungen eine Kennwortrichtlinie durch, die sichere Kennwörter, regelmäßiges Ablaufen von Kennwörtern und Einschränkungen bei der Wiederverwendung von Kennwörtern vorschreibt.

Vorfallmanagement

Das Ziel der Jitterbit-Richtlinie zum Vorfallmanagement besteht nicht nur darin, Vorfälle schnell und effektiv zu beheben, sondern auch Vorfallinformationen zu sammeln und zu verteilen, sodass Prozesse kontinuierlich verbessert werden und zukünftige Reaktionen auf dem gesammelten Wissen basieren.

Das Incident Management umfasst die Erstdiagnose, Klassifizierung, Priorisierung, Eskalation und Schließung. Alle Incidents, die keine Harmony Benutzer betreffen, werden im technischen Problemverfolgungssystem erfasst. Alle Probleme, die Benutzer betreffen, werden im Kundensupportsystem erfasst, sodass alle Auswirkungen auf SLAs verfolgt werden können.

Patch-Management und Hochverfügbarkeit

Jitterbit verbessert seine Produkte kontinuierlich, um neuen Sicherheitsbedrohungen Rechnung zu tragen. Darüber hinaus wird auch die von uns genutzte Software-Infrastruktur verbessert.

Um die Software stets auf dem neuesten Stand zu halten, arbeitet das Operations-Team mit dem Engineering- und QA-Team zusammen und befolgt dabei eine detaillierte Patch-Management-Richtlinie, die die Erkennung, Prüfung und Bereitstellung von Sicherheitspatches umfasst. Dank des Cloud-Anbieters und der virtuellen Infrastrukturstrategie von Harmony bleibt Harmony auch während Upgrades verfügbar.

Das Betriebsteam überwacht aktiv die Sicherheitshinweise der Anbieter und abonniert Benachrichtigungen zu neuen Patch-Veröffentlichungen.

Kapazitätsmanagement

Harmony unterstützt derzeit Tausende aktive Benutzer, die verschiedene Integrationsprozesse durchführen. Die Harmony-Plattform wurde für dynamische Skalierung entwickelt. Die Kerndienste, die APIs für unsere Tools und Benutzer bereitstellen, laufen auf Apache Tomcat. Unsere Systeme erfassen die aktuelle Nutzungsrate und stellen EC2-Instanzen bei Bedarf automatisch bereit und stoppen sie.