Informationen zur Sicherheit von Asimily
Asimily nimmt die Sicherheit der Daten unserer Kunden ernst. Zu diesem Zweck befolgen wir Best Practices, einschließlich der Standards der Cloud Security Alliance, und wenden eine "Defense in Depth"-Strategie mit mehreren Sicherheitsebenen sowohl in technischen als auch in verfahrenstechnischen Bereichen an. Im Folgenden finden Sie einen Überblick über die Sicherheitskontrollen, die Asimily bei der Software-Entwicklung und der Bereitstellung von Dienstleistungen anwendet.
Interne Zugangskontrollen werden auf der Grundlage des Prinzips der geringsten Privilegien eingerichtet, so dass die Mitarbeiter nur Zugang zu Daten haben, die sie für ihre Arbeit benötigen. Asimily verfügt über einen Plan zur Reaktion auf Vorfälle, über den die Mitarbeiter unterrichtet werden. Dieser Prozess wird von unserem Exekutivdirektor geleitet und erfordert die sofortige Zusammenarbeit aller relevanten internen Akteure mit den forensischen Ermittlern.
Die Asimily-Plattform überträgt oder speichert nur in begrenztem Umfang sensible Daten, die im Allgemeinen aus technischen Informationen wie IP- und MAC-Adressen oder Geräteklassifizierungen bestehen. Sensible Daten wie Passwörter und Token, die auf dem Server gespeichert sind, werden im Ruhezustand mit PostgreSQL-Datenbankverschlüsselung mit AES 128 verschlüsselt. Alle vom Edge an den Server gesendeten Daten werden mit dem Verschlüsselungsalgorithmus ChaCha20-Poly1305 verschlüsselt, der Teil der Standardbibliothek OpenSSH ist. Weder PII noch ePHI werden über den Edge an die Cloud oder die On-Premise-Server übertragen. Keine der auf dem Edge verarbeiteten Daten werden auf der Festplatte gespeichert oder aufbewahrt. Alle in der Asimily-Cloud gespeicherten Daten verbleiben im Herkunftsland, und keine Daten werden jemals ohne ausdrückliche Genehmigung des Kunden an Dritte weitergegeben.
Lokale Kontopasswörter und sensible Informationen wie externe Connector-API-Schlüssel werden mit AES 256-Bit-Verschlüsselung gehasht und gesalzen.
Wenn es dem Kunden unangenehm ist, dass Informationen in der Cloud gespeichert werden, bietet Asimily eine reine On-Premises-Bereitstellung an, bei der alle Daten hinter der Firewall des Kunden bleiben können.
Eine Liste von Kontrollen, die Asimily auf Cloud-Umgebungen anwendet, umfasst:
Alle Cloud-Kundeninstanzen sind einem einzigen Kunden gewidmet und voneinander getrennt; es gibt keine Multi-Tenancy.
Die Produktionsumgebungen der Kunden werden auf anderen Servern als die internen Unternehmensanwendungen oder Testumgebungen verwaltet.
Cloud VPN mit einer zusätzlichen 2-Faktor-Authentifizierung wird für jeden internen Zugriff auf Cloud-Server verwendet.
Google Secrets wird verwendet, um alle relevanten Anmeldeinformationen zu speichern, einschließlich Links zum Asimily-Portal selbst.
Es gibt eine Aufgabentrennung, und nur bestimmten Mitarbeitern wird der Zugang gewährt, wobei Änderungen der Zustimmung der Geschäftsleitung bedürfen.
Die Überwachung dient dazu, Änderungen an der Cloud-Konfiguration zu erkennen und darauf hinzuweisen.
Cloud-Server sind so gehärtet, dass der Datenzugriff nur von bestimmten Kundenstandorten aus zulässig ist und Daten aus anderen Quellen abgewiesen werden.
Sowohl auf der Edge- als auch auf der Serverseite werden strenge Firewall-Regeln eingesetzt, um den Datenverkehr zwischen den Systemen auf das zu beschränken, was für den Betrieb erforderlich ist.
Auf der Kundenseite wird ein Geo-Fencing implementiert, so dass Daten nur von bestimmten Standorten aus abgerufen werden können.
Die Überwachung von Cloud-Workloads wird zusammen mit anderen von Google Cloud Platform angebotenen Lösungen verwendet, um verschiedene Arten von Angriffen zu erkennen.
Jeder Zugriff auf die Server wird protokolliert und überwacht.
Eine Liste von Kontrollen, die auf Edge-Geräte angewendet werden können, umfasst:
Es gibt eine Aufgabentrennung, und nur bestimmten Mitarbeitern wird der Zugang gewährt, wobei Änderungen der Zustimmung der Geschäftsleitung bedürfen.
Auf Iptables basierende Firewall-Regeln beschränken die ein- und ausgehende Kommunikation auf Peers, die auf der Whitelist stehen.
Der Edge erfordert nur den ausgehenden Zugang vom Edge zu Cloud- oder On-Premise-Servern über die Firewalls des Kunden; anderer Datenverkehr kann abgelehnt werden.
Der eingehende Zugriff auf Edge erfolgt ausschließlich über direkte SSH-Verbindungen und gegebenenfalls über VPN.
Der Edge-SSH-Zugang verwendet kundenspezifische, 30 Zeichen lange, randomisierte Passwörter.
Beim Aufbau von Datenverarbeitungsfunktionen werden alle im Speicher abgelegten Daten nur so lange wie nötig zwischengespeichert und nach der Verarbeitung gelöscht. Der Code ist so definiert, dass der verwendete Speicher gesperrt ist und kein anderer Prozess darauf zugreifen kann. Solche In-Memory-Analysen werden nur in begrenztem Umfang durchgeführt und meist für Echtzeitaspekte wie die Flussanalyse verwendet.
ITIL-basierte Änderungskontrollprozesse werden so implementiert, dass jede Änderung von mehreren Beteiligten überprüft wird, bevor sie in Betrieb genommen wird. Diese Prozesse umfassen auch Rollback-Vereinbarungen für den Fall, dass die Änderung nicht wie geplant funktioniert. Asimily verlangt eine Aufgabentrennung für fast jede Aktion, einschließlich des technischen Entwurfs, der Implementierung und des Einsatzes. Alle Aktualisierungen auf dem Server werden von einer ausgewählten Anzahl von Mitarbeitern durchgeführt.
Asimily führt in regelmäßigen Abständen interne und externe Penetrationstests durch. Asimily führt regelmäßige Schwachstellen-Scans in den wichtigsten Phasen unseres sicheren Entwicklungslebenszyklus durch.
Das Team von Asimily überwacht kontinuierlich die gesamte Infrastruktur auf Betriebszeit, und es werden täglich Backups der Datenbank erstellt, um sicherzustellen, dass alle Daten leicht wiederhergestellt werden können. Asimily macht außerdem tägliche Server-Snapshots von jedem Server, die in der US-Multiregion für hohe Verfügbarkeit gespeichert werden. Der Ausfall eines einzelnen Servers oder einer ganzen Google Cloud-Region hat keinen Datenverlust zur Folge.
ISO/IEC 27001 (Management der Informationssicherheit)
ISO/IEC 27017 (Sicherheit in der Cloud)
ISO/IEC 27018 (Datenschutz in der Wolke)
ISO/IEC 27701 (Datenschutz)
SOC 2 und SOC 3.
Asimily unterstützt auch AWS und Oracle Cloud Infrastructure (OCI) für Regionen außerhalb der USA. Asimily verwendet einen risikobasierten Ansatz für die Bewertung der Sicherheit von Anbietern, bevor diese in das Unternehmen aufgenommen werden. Die Sicherheit des Anbieters wird bewertet, um eine Risikoeinstufung und eine Genehmigungsentscheidung für das Anbieter-Onboarding zu bestimmen.
Bitte kontaktieren Sie Ihren Asimily-Vertreter, wenn Sie weitere Fragen zur Asimily-Lösung haben.
Sicherheit und Compliance bei Asimily
Asimily unterhält eine SOC2-Typ-II-Bescheinigung. Unser SOC2-Typ-II-Bericht ist auf Anfrage erhältlich, indem Sie eine E-Mail senden an security@asimily.comInterne Prozesse
Das Unternehmenssicherheitsprogramm von Asimily wird gemeinsam vom VP of Engineering und dem CTO verwaltet. Als Teil des Onboardings und in regelmäßigen Abständen werden die Mitarbeiter in den richtigen Sicherheitsprozessen geschult. Bei Beendigung des Arbeitsverhältnisses wird eine Reihe von Schritten befolgt, zu denen auch das Entfernen des Zugangs zu allen Asimily-Datenbanken und -Portalen gehört. Darüber hinaus stellen die Arbeitsverträge von Asimily sicher, dass die Mitarbeiter sowohl während als auch nach ihrer Anstellung die Vertraulichkeit wahren müssen.Interne Zugangskontrollen werden auf der Grundlage des Prinzips der geringsten Privilegien eingerichtet, so dass die Mitarbeiter nur Zugang zu Daten haben, die sie für ihre Arbeit benötigen. Asimily verfügt über einen Plan zur Reaktion auf Vorfälle, über den die Mitarbeiter unterrichtet werden. Dieser Prozess wird von unserem Exekutivdirektor geleitet und erfordert die sofortige Zusammenarbeit aller relevanten internen Akteure mit den forensischen Ermittlern.
Datensicherheit
Alle Benutzersitzungen in der Webanwendung von Asimily werden mit TLS 1.2 verschlüsselt. Die Webanwendung verwendet SSL-Zertifikate, die von Digicert ausgestellt wurden. Bei der Bereitstellung vor Ort kann auf Wunsch die interne PKI-Infrastruktur des Kunden genutzt werden.Die Asimily-Plattform überträgt oder speichert nur in begrenztem Umfang sensible Daten, die im Allgemeinen aus technischen Informationen wie IP- und MAC-Adressen oder Geräteklassifizierungen bestehen. Sensible Daten wie Passwörter und Token, die auf dem Server gespeichert sind, werden im Ruhezustand mit PostgreSQL-Datenbankverschlüsselung mit AES 128 verschlüsselt. Alle vom Edge an den Server gesendeten Daten werden mit dem Verschlüsselungsalgorithmus ChaCha20-Poly1305 verschlüsselt, der Teil der Standardbibliothek OpenSSH ist. Weder PII noch ePHI werden über den Edge an die Cloud oder die On-Premise-Server übertragen. Keine der auf dem Edge verarbeiteten Daten werden auf der Festplatte gespeichert oder aufbewahrt. Alle in der Asimily-Cloud gespeicherten Daten verbleiben im Herkunftsland, und keine Daten werden jemals ohne ausdrückliche Genehmigung des Kunden an Dritte weitergegeben.
Lokale Kontopasswörter und sensible Informationen wie externe Connector-API-Schlüssel werden mit AES 256-Bit-Verschlüsselung gehasht und gesalzen.
Wenn es dem Kunden unangenehm ist, dass Informationen in der Cloud gespeichert werden, bietet Asimily eine reine On-Premises-Bereitstellung an, bei der alle Daten hinter der Firewall des Kunden bleiben können.
Aushärtung
Sowohl auf Edges als auch auf Servern laufen jederzeit Sophos Anti-Malware-Agenten. Für On-Premises-Komponenten wie Edges können Kunden nach vorheriger Genehmigung ihre eigenen Anti-Malware-Agenten installieren, wenn sie dies wünschen.Eine Liste von Kontrollen, die Asimily auf Cloud-Umgebungen anwendet, umfasst:
Alle Cloud-Kundeninstanzen sind einem einzigen Kunden gewidmet und voneinander getrennt; es gibt keine Multi-Tenancy.
Die Produktionsumgebungen der Kunden werden auf anderen Servern als die internen Unternehmensanwendungen oder Testumgebungen verwaltet.
Cloud VPN mit einer zusätzlichen 2-Faktor-Authentifizierung wird für jeden internen Zugriff auf Cloud-Server verwendet.
Google Secrets wird verwendet, um alle relevanten Anmeldeinformationen zu speichern, einschließlich Links zum Asimily-Portal selbst.
Es gibt eine Aufgabentrennung, und nur bestimmten Mitarbeitern wird der Zugang gewährt, wobei Änderungen der Zustimmung der Geschäftsleitung bedürfen.
Die Überwachung dient dazu, Änderungen an der Cloud-Konfiguration zu erkennen und darauf hinzuweisen.
Cloud-Server sind so gehärtet, dass der Datenzugriff nur von bestimmten Kundenstandorten aus zulässig ist und Daten aus anderen Quellen abgewiesen werden.
Sowohl auf der Edge- als auch auf der Serverseite werden strenge Firewall-Regeln eingesetzt, um den Datenverkehr zwischen den Systemen auf das zu beschränken, was für den Betrieb erforderlich ist.
Auf der Kundenseite wird ein Geo-Fencing implementiert, so dass Daten nur von bestimmten Standorten aus abgerufen werden können.
Die Überwachung von Cloud-Workloads wird zusammen mit anderen von Google Cloud Platform angebotenen Lösungen verwendet, um verschiedene Arten von Angriffen zu erkennen.
Jeder Zugriff auf die Server wird protokolliert und überwacht.
Eine Liste von Kontrollen, die auf Edge-Geräte angewendet werden können, umfasst:
Es gibt eine Aufgabentrennung, und nur bestimmten Mitarbeitern wird der Zugang gewährt, wobei Änderungen der Zustimmung der Geschäftsleitung bedürfen.
Auf Iptables basierende Firewall-Regeln beschränken die ein- und ausgehende Kommunikation auf Peers, die auf der Whitelist stehen.
Der Edge erfordert nur den ausgehenden Zugang vom Edge zu Cloud- oder On-Premise-Servern über die Firewalls des Kunden; anderer Datenverkehr kann abgelehnt werden.
Der eingehende Zugriff auf Edge erfolgt ausschließlich über direkte SSH-Verbindungen und gegebenenfalls über VPN.
Der Edge-SSH-Zugang verwendet kundenspezifische, 30 Zeichen lange, randomisierte Passwörter.
Sicherer Entwicklungslebenszyklus
Asimily befolgt die OWASP-Praktiken zur sicheren Kodierung und lässt seine gesamte Software sowohl für Edge als auch für Server durch einen Tenable Vulnerability Scanner laufen, um Schwachstellen zu identifizieren und zu beheben. Statische und dynamische Analysen werden ebenfalls eingesetzt, bevor eine Version in die Produktion geht, zusammen mit internen Penetrationstests. Der Quellcode wird in privaten Code-Repositories auf GitHub gehostet und durch ähnliche Kontrollen gesichert, wie sie Asimily für Kundendaten einsetzt, wie z. B. die obligatorische 2-Faktor-Authentifizierung und den eingeschränkten Zugang nur für Mitarbeiter in der Entwicklung und Qualitätssicherung. Zum Schutz vor Angriffen auf die Lieferkette läuft das Build-System von Asimily auf einem geschützten Server, und die bereitgestellten ausführbaren Dateien werden kryptografisch verifiziert, damit sie mit dem autorisierten Build des Servers übereinstimmen.Beim Aufbau von Datenverarbeitungsfunktionen werden alle im Speicher abgelegten Daten nur so lange wie nötig zwischengespeichert und nach der Verarbeitung gelöscht. Der Code ist so definiert, dass der verwendete Speicher gesperrt ist und kein anderer Prozess darauf zugreifen kann. Solche In-Memory-Analysen werden nur in begrenztem Umfang durchgeführt und meist für Echtzeitaspekte wie die Flussanalyse verwendet.
ITIL-basierte Änderungskontrollprozesse werden so implementiert, dass jede Änderung von mehreren Beteiligten überprüft wird, bevor sie in Betrieb genommen wird. Diese Prozesse umfassen auch Rollback-Vereinbarungen für den Fall, dass die Änderung nicht wie geplant funktioniert. Asimily verlangt eine Aufgabentrennung für fast jede Aktion, einschließlich des technischen Entwurfs, der Implementierung und des Einsatzes. Alle Aktualisierungen auf dem Server werden von einer ausgewählten Anzahl von Mitarbeitern durchgeführt.
Asimily führt in regelmäßigen Abständen interne und externe Penetrationstests durch. Asimily führt regelmäßige Schwachstellen-Scans in den wichtigsten Phasen unseres sicheren Entwicklungslebenszyklus durch.
Verfügbarkeit
Asimily verwendet eine hochverfügbare Architektur und hat die Lösung speziell so konzipiert, dass keine einzelnen Fehlerpunkte auftreten, um die Verfügbarkeit zu gewährleisten. Sowohl der Edge-Prozessor als auch der Server starten kritische Prozesse neu, wenn sie angehalten werden oder ins Stocken geraten, und beide funktionieren weiter, auch wenn der jeweils andere offline geht. Darüber hinaus ist die Funktionalität sogar innerhalb des Servers getrennt, so dass die Datenverarbeitungsschicht ausfallen kann, ohne dass die kundenorientierte Webschnittstelle ausfällt.Das Team von Asimily überwacht kontinuierlich die gesamte Infrastruktur auf Betriebszeit, und es werden täglich Backups der Datenbank erstellt, um sicherzustellen, dass alle Daten leicht wiederhergestellt werden können. Asimily macht außerdem tägliche Server-Snapshots von jedem Server, die in der US-Multiregion für hohe Verfügbarkeit gespeichert werden. Der Ausfall eines einzelnen Servers oder einer ganzen Google Cloud-Region hat keinen Datenverlust zur Folge.
Asimily Cloud-Anbieter & SaaS-Anbieter von Drittanbietern
Asimily nutzt Google Cloud Services als unseren Cloud-Anbieter und jeder Kunde erhält seine eigenen, einzigartigen Server-Instanzen in seinem Herkunftsland. Google Cloud Services erfüllt die folgenden regulatorischen Standards und wird nach diesen geprüft:ISO/IEC 27001 (Management der Informationssicherheit)
ISO/IEC 27017 (Sicherheit in der Cloud)
ISO/IEC 27018 (Datenschutz in der Wolke)
ISO/IEC 27701 (Datenschutz)
SOC 2 und SOC 3.
Asimily unterstützt auch AWS und Oracle Cloud Infrastructure (OCI) für Regionen außerhalb der USA. Asimily verwendet einen risikobasierten Ansatz für die Bewertung der Sicherheit von Anbietern, bevor diese in das Unternehmen aufgenommen werden. Die Sicherheit des Anbieters wird bewertet, um eine Risikoeinstufung und eine Genehmigungsentscheidung für das Anbieter-Onboarding zu bestimmen.
Bitte kontaktieren Sie Ihren Asimily-Vertreter, wenn Sie weitere Fragen zur Asimily-Lösung haben.