Organisatorische Sicherheit von Jitterbit Harmony
Einführung
Jitterbit wendet die betrieblichen Best Practices führender Cloud-Computing-Anbieter weltweit an. Dazu gehören:
Vertraulichkeit
Die Vertraulichkeitsmaßnahmen von Harmony schützen sensible Kundendaten vor unbefugtem Zugriff. Neben den physischen und logischen Sicherheitsmaßnahmen, die durch unsere Software und physische Infrastruktur bereitgestellt werden, bestimmen unsere internen Richtlinien:
- Trennung der Aufgaben: Der Zugriff auf das Produktionssystem von Harmony ist nur dem Jitterbit Operations-Team vorbehalten. Änderungen an der Produktionsumgebung müssen vom Jitterbit Operations-Team vorgenommen werden.
- Minimal notwendiger und geringster Zugriff: Innerhalb des Jitterbit Operations-Teams ist der Zugriff auf die verschiedenen Jitterbit-Dienste nach Bedarf eingeschränkt. Das Team weiß, welcher Mitarbeiter zu welchem Produktionsressource von Harmony zu einem bestimmten Zeitpunkt Zugang hat und kann diesen Zugriff bei Bedarf widerrufen.
Personalpolitik
Die Personalpolitik von Jitterbit ist darauf ausgelegt, ein hohes Maß an Vertrauenswürdigkeit der Mitarbeiter aufrechtzuerhalten und die Mitarbeiter über wichtige Aspekte der Informationssicherheit und des Datenschutzes zu informieren. Die Mitarbeiter müssen einen Verhaltenskodex einhalten, der Vertraulichkeit, Ethik und Professionalität in allen Interaktionen mit den Nutzern, Partnern und Wettbewerbern von Jitterbit betont. Alle Mitarbeiter unterzeichnen eine Vertraulichkeitsvereinbarung, die die Kundendaten von Jitterbit schützt. Alle Jitterbit-Mitarbeiter erhalten regelmäßige Schulungen und Tests zur Sicherheit, die von einem externen Prüfer genehmigt sind.
Penetrationstests
Penetrationstests werden regelmäßig von einem externen Prüfer durchgeführt. Die Tests erfolgen auf drei Ebenen: Anwendung, Produkt und Netzwerk. Die Ergebnisse der Penetrationstests sind auf Anfrage über unser Self-Service-Sicherheitszentrum verfügbar.
OWASP-Überprüfungen
Jitterbit führt regelmäßige Überprüfungen durch, die vom Open Web Application Security Project (OWASP) empfohlen werden. Alle identifizierten Schwachstellen werden priorisiert, um die Sicherheit der Anwendung zu verbessern und das Risiko von Sicherheitsverletzungen zu verringern.
Sicherer SDLC
Sicherheitspraktiken sind in jede Phase des Softwareentwicklungszyklus (SDLC) integriert, um Sicherheitsanfälligkeiten so früh wie möglich zu identifizieren und zu mindern. Die Jitterbit-Teams für Betrieb, Engineering und Qualitätssicherung sind jeweils für verschiedene Aspekte der Sicherheit während des Lebenszyklus verantwortlich.
Jitterbit-Betrieb
Das Jitterbit-Betriebsteam ist verantwortlich für die Definition und Ausführung von Verfahren für das Anwendungsfreigabemanagement, Hardware- und Betriebssystem-Upgrades, Systemgesundheitsüberwachung und andere Aktivitäten, die für die Wartung von Harmony erforderlich sind.
Zu den Verantwortlichkeiten des Teams gehören:
- Überprüfung der Sicherheit des Designs und der Implementierung der Cloud-Infrastruktur.
- Implementierung von Verfahren, die Sicherheitsstandards wie Cloud Security Alliance (CSA) und Cloud Internet Security (CIS) folgen.
- Definition und Implementierung von Richtlinien für Identitäts- und Zugriffsmanagement sowie Verfahren zur Zuweisung einzigartiger und nachverfolgbarer Identitäten an jedes autorisierte Jitterbit-Teammitglied.
- Definition von Klassifikationen zur Vertraulichkeit von Daten, die erfordern, dass Mitarbeiter, die auf Informationen von Harmony-Kunden zugreifen, dies auf eine vorgeschriebene Weise tun, die die Möglichkeit unbefugten Zugriffs einschränkt.
- Identifizierung und Implementierung von Technologien, die Kundeninformationen sichern, einschließlich FIPS 140-2-konformer Verschlüsselungstechnologien für Daten in Bewegung und Daten im Ruhezustand.
- Durchführung technischer und nicht-technischer Informationssicherheitsbewertungen (Evaluierungen), die auf Penetrationstests, Schwachstellenscans und Audits gegen grundlegende Vorschriften und Standardpraktiken basieren.
- Überwachung der Harmony-Anwendungen und -Infrastruktur auf mögliche Sicherheitsprobleme.
- Schnelle Behebung von Feststellungen und Problemen.
Jitterbit-Engineering
Das Jitterbit Engineering-Team ist verantwortlich für das Design, die Entwicklung, die Implementierung und das Testen der von Harmony bereitgestellten Softwaredienste. Das Engineering-Team arbeitet eng mit dem Operations-Team zusammen, um Sicherheitsbedenken zu identifizieren, Überwachungsverfahren zu entwickeln und schützende Technologien zu implementieren. Die Sicherheitsverantwortlichkeiten des Engineering-Teams umfassen:
- Definition und Implementierung sicherer Design- und Codierungspraktiken.
- Durchführung von Designüberprüfungen, um mögliche Sicherheitsbedenken vor dem Codieren zu identifizieren.
- Durchführung von Codeüberprüfungen, um Code zu identifizieren, der ausgenutzt werden könnte, um unbefugten Zugriff auf Kundendaten zu gewähren.
- Durchführung von Codeüberprüfungen, um Code zu identifizieren, der die Verfügbarkeit negativ beeinflussen könnte.
- Durchführung von Lasttests in Pre-Production-Umgebungen, um zu überprüfen, ob die Verfügbarkeitsanforderungen erfüllt sind.
Jitterbit QA
Das Jitterbit QA-Team ist verantwortlich für die Durchführung neuer und bestehender Regressionstests für alle von Engineering veröffentlichten Software, um sicherzustellen, dass keine Sicherheits- oder Funktionsprobleme durch Änderungen in der Software eingeführt werden. Das Jitterbit QA-Team führt seine Funktion in einer separaten Umgebung aus, die den Produktionskonfigurationen sehr ähnlich ist. Das Jitterbit QA-Team muss jede Softwareveröffentlichung genehmigen, bevor das Jitterbit Operations-Team diese Software in der Produktionsumgebung von Harmony bereitstellen kann.
FIPS 140-2 auth
Jitterbit erfüllt die Anforderungen an die Authentifizierung gemäß FIPS 140-2.
Single sign-on
Jitterbit-Mitarbeiter verwenden Single Sign-On (SSO), um sich bei den internen Systemen von Jitterbit zu authentifizieren.
E2E encryption
Der gesamte interne Jitterbit-Verkehr verwendet End-to-End (E2E)-Verschlüsselung, um sicherzustellen, dass nur die vorgesehenen Empfänger auf die übertragene Daten zugreifen können.
Jitterbit status site
Die Verfügbarkeits- und Sicherheitsstatus von Harmony werden rund um die Uhr, sieben Tage die Woche, vom Jitterbit Operations-Team überwacht. Die Daten zu dieser Überwachung werden auf der Jitterbit-Statusseite veröffentlicht, um Benutzern und der Öffentlichkeit transparente Einblicke in unsere Operationen zu geben.
Identitäts- und Zugriffsmanagement
Zugriffskontrolle und geringste Privilegien
Die Richtlinie für Identitäts- und Zugriffsmanagement verlangt, dass alle Jitterbit-Mitarbeiter, die Zugriff auf Produktionsumgebungen von Harmony haben, mit einzigartigen und nachverfolgbaren Identitäten in Form einer Benutzer-ID ausgestattet werden. Die Richtlinie für Identitäts- und Zugriffsmanagement setzt das Prinzip der geringsten Privilegien durch, das das Personal auf das Mindestmaß an Zugriff beschränkt, das erforderlich ist, um die zugewiesenen Aufgaben zu erfüllen.
Regelmäßige Überprüfung des Zugriffs
Virtuelle Instanzen, Firewalls, Datenbankserver und andere Infrastruktur-Software und -Hardware sind durch Benutzeridentitäten geschützt, denen ein begrenzter Satz von Berechtigungen gewährt wurde. Berechtigungen werden regelmäßig vom Betriebsteam überprüft und widerrufen, wenn ein Mitarbeiter das Unternehmen verlässt. Das Betriebsteam setzt eine Passwortrichtlinie in allen Produktionsumgebungen von Harmony durch, die starke Passwörter, regelmäßige Passwortabläufe und Einschränkungen bei der Wiederverwendung von Passwörtern erfordert.
Vorfallmanagement
Das Ziel der Richtlinie für das Vorfallmanagement von Jitterbit ist es, nicht nur Vorfälle schnell und effektiv zu schließen, sondern auch Vorfallinformationen zu sammeln und zu verteilen, damit Prozesse kontinuierlich verbessert werden und zukünftige Reaktionen auf angesammeltem Wissen basieren.
Das Vorfallmanagement umfasst die erste Diagnose, Klassifizierung, Priorisierung, Eskalation und Schließung. Alle Vorfälle, die keine Auswirkungen auf die Benutzer von Harmony haben, werden im Engineering-Fehlerverfolgungssystem erfasst. Alle Probleme, die Benutzer betreffen, werden im Kunden-Support-System erfasst, damit alle Auswirkungen auf SLAs verfolgt werden.
Details zu den Richtlinien für das Vorfallmanagement von Jitterbit sind in unserem Selbstbedienungs-Sicherheitszentrum verfügbar.
Patch-Management und hohe Verfügbarkeit
Jitterbit stärkt kontinuierlich seine Produkte, da neue Bedrohungen für die Sicherheit auftreten. Darüber hinaus wird auch die von uns verwendete Softwareinfrastruktur gestärkt.
Um die Software aktuell zu halten, arbeitet das Operations-Team mit dem Engineering- und QA-Team gemäß einer detaillierten Patch-Management-Richtlinie, die die Entdeckung, das Testen und die Bereitstellung von Sicherheitspatches abdeckt. Die Strategie des Cloud-Anbieters und der Harmony-virtuellen Infrastruktur ermöglicht es Harmony, auch während Upgrades verfügbar zu bleiben.
Das Operations-Team überwacht aktiv die Sicherheitswarnungen der Anbieter und abonniert Benachrichtigungen über neue Patch-Veröffentlichungen.
Kapazitätsmanagement
Harmony unterstützt derzeit Tausende aktiver Benutzer, die verschiedene Integrationsprozesse durchführen. Die Harmony-Plattform wurde entwickelt, um dynamisch zu skalieren. Die Kernservices, die APIs für unsere Tools und Benutzer bereitstellen, laufen auf Apache Tomcat. Unsere Systeme verfolgen die aktuelle Nutzungsrate und provisionieren automatisch EC2-Instanzen nach Bedarf und stoppen diese.