3DEXPERIENCE platforma – varnost v oblaku

Vedno večje zanimanje za programsko opremo kot storitev (SaaS – Software as a Service) je zahtevalo novo paradigmo varnostnih zahtev. Ker se podatki o strankah prenašajo, obdelujejo in shranjujejo zunaj običajnega okolja strank, je treba posebej poudariti zaščito razvojnih podatkov na 3DEXPERIENCE platformi.

Dassault Systèmes je varnost postavil v središče razvoja in uvajanja svoje platforme za spletno poslovno izkušnjo, da bi zagotovil več dobro nadzorovanih ravni varnosti, s posebnim poudarkom na poglobljeni varnosti. Naslednji pregled je namenjen predstavitvi metodologije, ki jo uporabljajo za zaščito njihovega najdragocenejšega premoženja: podatkov njihovih strank. To je dokument na visoki ravni, ki opisuje metodologije in tehnike, ki se uporabljajo za zmanjšanje varnostnih tveganj.

Poglobljena varnost v oblaku

Koncept »poglobljene varnosti« (Security in Depth) pri Dassault Systèmes temelji na dejstvu, da je vzpostavljenih več neodvisnih mehanizmov, da bi zmanjšali posamezno tveganje. Malo verjeten neuspeh pri blokiranju zlonamernega dejanja torej ne bo povzročil grožnje, ampak bo pozneje blokiran z drugim mehanizmom. Varnostni procesi njihove spletne 3DEXPERIENCE platforme sledijo industrijskim standardom in najboljšim praksam, kjer je praktično in uporabno, s posebnim poudarkom na:

  • Standardi ISO 2700x, zlasti vodnik za implementacijo ISO 27002
  • Serija NIST 800
  • Metodologije OWASP
  • Ogrodje CobIT

Internetna varnost

Vzpostavljenih je več varnostnih slojev, ki zagotavljajo, da spletna platforma dejansko obdeluje samo predvideni promet in dejavnosti. Ves dohodni internetni promet filtrirajo neodvisni mehanizmi, ki zagotavljajo zanesljivost. Poleg tega je gostiteljsko okolje v internetnem merilu odporno na porazdeljene napade zavrnitve storitve (Distributed Denial of Service napadi). Za zagotovitev zaupnosti in celovitosti prenesenih podatkov se, kjer je primerno, uporabljajo varovani komunikacijski kanali med gostiteljskim in strankinim okoljem.

Varnost na ravni aplikacije

Aplikacijska plast spletne rešitve Dassault Systèmes je podvržena zelo strogemu varnostnemu načrtovanju in postopku pregleda. Postopki razvoja in preverjanja v Dassault Systèmes so zasnovani tako, da so vanje vdelani varnostna zavest in kontrole. Kodeks je usklajen z najboljšimi praksami in priporočili v panogi ter je dvakrat strokovno pregledan (notranji in zunanji). Posebna pozornost je namenjena glavnim grožnjam OWASP. V ekosistemu aplikacije se izvede ciklično testiranje prodora, da se doda dodatno preverjanje zaščite, ki dopolnjuje paradigmo varnega kodiranja. Končno je vzpostavljen neprekinjen proces skeniranja za stalno spremljanje različnih modulov aplikacije.

Varnost v oblaku

V Dassault Systèmes oblaku je varnost uporabniškega okolja glede na druge elemente v oblaku (varnost v oblaku) ponovno zagotovljena z neodvisnimi plastmi rešitev. Poleg omejitev prometa (požarni zidovi) vsaka stranka deluje na instancah, ki so neodvisne od drugih sistemov. Tak pristop ščiti pred navzkrižnim dostopom do podatkov strank; ta delitev je tudi trdo kodirana na ravni aplikacije.

Struktura oblačnega okolja, ki zagotavlja zgornje ločevanje, blaži tudi klasična tveganja omrežnega izvidovanja in napadov. Zlasti vohunjenje in  ponarejanje IP po zasnovi nista izvedljiva.

Varnost virtualnih sistemov

Virtualizirani sistemi, v katerih gostujejo podatki in aplikacije, so natančno pregledani z varnostnega vidika, preden se sprostijo v proizvodnjo. Varnostni življenjski cikel, ki se uporablja za te sisteme, je zelo strog in ohranja visoko raven varnosti po izdaji proizvodne različice.

Poleg klasičnih varnostnih vzdrževalnih dejavnosti (sistemski popravki, pregled storitev) Dassault Systèmes redno nadaljuje s scenariji, podobnimi napadom, ki preizkušajo integriteto modelnega sistema in tudi odzivnost operativnih skupin. Ciklična, vendar naključna narava teh testov zagotavlja ponovno združitev ugotovitev (vzročna analiza).

Fizično varovanje

  • Podatki o strankah (ali IP) se shranjujejo in obdelujejo v neopisnih podatkovnih centrih, do katerih je dostop strogo omejen na pooblaščeno osebje.
  • Vsi izvajalci in obiskovalci so ves čas v spremstvu.
  • Vsi fizični dostopi do podatkovnih centrov se beležijo in revidirajo.
  • Fizična shramba je prav tako zavarovana z redundantnimi diski, obnovitvijo po katastrofi ter postopki varnostnega kopiranja in obnavljanja.


Varnostni testi in pregledi

Informacijska varnost je vgrajena v proces razvoja Dassault Systèmes oblačnih rešitev za njihove stranke. To je rezultat skupnega prizadevanja skupin za raziskave in razvoj ter informacijsko varnost, ki tesno sodelujejo pri prepoznavanju in reševanju vseh morebitnih težav.

Poleg teh proaktivnih prizadevanj se neodvisni testi izvajajo vsaj enkrat letno in ob vsaki večji spremembi platforme. Ti testi poudarjajo različne varnostne plasti in poskušajo vdreti v okolje na hekerski način. Vse te dejavnosti so skrbno načrtovane in izvedene kot del njihovega globalnega cikla načrtovanja, izvajanja in validacije. Poleg varnostnih mehanizmov platforme je znotraj aplikacije implementiran popoln nadzor dostopa na podlagi vlog, ki lastniku podatkov omogoča nastavitev granularnih pravic dostopa.

Nazadnje je dostop do aplikacije mogoč šele po pridobitvi pravilne licence, kar zmanjša možno površino napada. Mehanizmi, ki temeljijo na TLS, zagotavljajo varno povezljivost in obravnavajo tveganje prisluškovanja ali napadov Man-in-the-Middle.

Slika: Globinske plasti varnosti

Zaključek

Kot ste prebrali, je koncept poglobljene varnosti zasnovan okoli več neodvisnih mehanizmov za ublažitev posameznega tveganja na Dassault Systèmes 3DEXPERIENCE platformi, ko je ta nameščena v oblaku. Stranke lahko zaupajo uporabi SaaS platforme, ker so varnost postavili v središče spletne platforme poslovne izkušnje.
Viri: