Sicherheitsinformation

Sicherheitsinformation

Sicherheitsinformation Die Infrastruktur von SocialShared, befindet sich in der Amazon Web Services Cloud, marktführendes Unternehmen in Cloud Computing. Die Amazon Plattform liefert dem Projekt eine hohe Zuverlässigkeit und Verfügbarkeit vermittelt, durch die Verwendung grosser DataCentern und globalen redundanten Computervernetzungen, welche die höchsten Qualitäts- und Vertrauenswürdigkeitsstandards erfüllen. Ihre Cloud beschafft, je nach Bedarf, auch Flexibilität und Bequemlichkeit, wenn es um die Erweiterung Ihres Projektes geht; so ist es möglich Hardware-Ressourcen zu migrieren, erweitern und in dynamischer Art zu vermindern, ohne Unterbrechungen des Services.

Integrität des Services:

Amazon garantiert die Zuverlässigkeit ihrer Cloud Computing Services mit dem Angebot einer SLA Vereinbarung von 99,95% für die EC2 Services (http://aws.amazon.com/es/ec2/sla/).

Skalierbarkeit:

Die Verwaltung der Plattform bei Amazon AWS erlaubt uns schnell und wirksam über so viele Maschinen zu verfügen, wie jederzeit nötig sind, damit unser Service und die Verarbeitung optimal sind. Diese Maschinen kann man numerisch erweitern oder vermindern , je nach den Notwendigkeiten jeden Augenblickes. Man kann in Minuten zahlreiche Maschinen zur Verfügung haben, welche langsam wieder ausgeschaltet werden können, im selben Rythmus wie die Notwendigkeit von Datenverarbeitung fällt. Es handelt sich also nicht um einen Server der die Webseite Social Shared verwaltet, sondern um ein Servernetz im Cluster, welche sich gegenseitig ergänzen und aufreihen, umd die Stabilität und Integrität des Services zu gewährleisten.

Datencenter:

Da wir mit Amazon Web Services für den Betrieb unserer Maschinen rechnen können, haben wir somit viele Jahre Erfahrung und alle nötigen Sicherheitsbescheinigungen eines führenden Unternehmens in Cloud Computing. Auf physischer und Netzebene sind alle Sicherheitsmassnahmen in ihrem Security Whitepaper (http://awsmedia.s3.amazonaws.com/pdf/aws_security_whitepaper.pdf), zusammengefasst.

Hohe Verfügbarkeit:

Die Flexibilität ihrer Plattform und die Durchführung durch eine unbestimmte Anzahl Server, welche parallel arbeiten, erlaubt es, eine optimale Verfügbarkeit des Services während praktisch 99,99% der Zeit zu sichern. Daten und ihre Lagerung Es ist praktisch unmöglich physisch an die Daten in unseren Servern zu kommen. Man kann nur an die Daten durch eine logische Weise, mittels Authentifizierungssysteme. Für die Ausführung sind die Daten in logischen EBS Volumen von Amazon Web Services verfügbar, aufgeteilt und repliziert, so dass eine Dauerhaftigkeit dieser von fast 99,99 % garantiert wird. „Auf logischem Niveau“ arbeiten die Server aneinandergereiht im Cluster. Wenn ein Server Integritätsfehler aufweist, sind die Daten automatisch repliziert und sicher in einem Paralell-Server.

**DATENBACKUPS **

Ebene 1 – Ergänzungssicherungen

Diese Sicherheitskopien befinden sich in demselben Netzwerk wie die Applikations-Server, auf AWS-EBS Speichergeräten. Je nach Art des Inhaltes, wurden Ergänzungssicherungen mit verschiedenen Aktualisierungsfrequenzen programmiert:

Dateien der Web: einmal am Tag am frühen Morgen. Ergänzungssicherungen 45 Tage lang gespeichert. Software-Entwicklungsdateien und Überarbeitungen: zweimal am Tag. Ergänzungssicherungen 21 Tage lang gespeichert.

  • Datenbanken (1): dreimal am Tag. Komplette SQL-Kopien alle 8 Stunden. 30 Tage lange gespeichert.
  • Datenbanken (2): 72 Mal am Tag. Komplette SQL-Kopien alle 20 Minuten. 2 Tage lang gespeichert.
  • Dateien für Server-Konfiguration: einmal am Tag schrittweise. 120 Tage lang gespeichert.
  • Log-Dateien für Zugänge und Besuche: einmal am Tag. Daten 2 Jahre lang gespeichert.

Niveau 2 – vollständige Bilder des Systems und Daten (Disks-Snapshots).

In einem 2-Stunden-Intervall wird automatisch ein Snapshot (oder Kopie-Bild der Festplatte) generiert, von jeder der Festplatten, die das System und seine Daten bilden. Diese Bilder oder exakte Kopien vom Zustand der Daten in einem bestimmten Augenblick, werden 8 Tage lang gespeichert. Mit Hilfe dieser Snapshots ist es möglich das ganze System und die Konfigurationen komplett wiederherzustellen, sowie auch den Zustand der Daten und in wenigen Minuten, an jedem ausgewählten Punkt der letzten 8 Tage in 2-Stunden-Intervallen. Zum Beispiel: man könnte von Null einen neuen Server zur Datenspeicherung herstellen, der eine exakte Kopie vom Original-Server ist und zeigen wie er vor 5 Tagen um 19 Uhr war. Auf diese Art stützen wir uns auf die Flexibilität, Dauerhaftigkeit und Garantie, die uns die Dienstleistungen von Amazon Web Services anbieten.

Niveau 3 – Ergänzungssicherungen in einem Server im entfernten Netzwerk von HETZNER.

Einmal am Tag wird eine inkrementelle Backup-Version in einem sicheren und privaten Server hergestellt; dieser befindet sich im Remote-Netzwerk des Lieferanten HETZNER in Deutschland. Dieser Server speichert die gesamte im Niveau 1 detaillierte Information, täglich inkrementell, während einem Maximalzeitraum von 14 Tagen.

SICHERHEIT

Zugriff auf Webs und Sicherheit:

Der Zugriff auf die SocialShared Portale schränkt sich auf eine SSL 128bits Chiffrierung, SHA-1 Algorithmus und Sicherheitsschlüssel von 2048 bits. Das Protokoll ist sicher und verschlüsselt zwischen Kunde und Server, durch Verwendung des HTTPS Protokolls und schützt alle Kommunikationen von möglichen externen Blicken.

Zugriff auf die Plattform und Management:

Intern kennzeichnet sich unser Netz durch die Sicherheit auf mehreren Ebenen bei dem Zugriff auf die Plattform:

- Frontale Ebene:

Die Server von SocialShared sind nur über die Webs ihrer Internet-Domains zugänglich. Kein Verkehr ist erlaubt, der nicht von den Webservern in den Anschlüssen 80 und 443 (http und https). Ein Angreifer könnte nur Webservices finden, wenn er die Anschlüsse durchkämmen würde.

-Backend Ebene:

Das technische Personal welches die Plattform SocialShared verwaltet, hat einen Zugriff durch die Hintertür zu dem ganzen Servernetz, für die Verwaltung und Führung. Der Zugriff ist via SSH, ohne Authentifizierung durch Passwort, und durch eine RSA Schlüsseldatei von 1024-2048 bits beschränkt, welche nur das für den Service verantwortliche technische Personal besitzt.

Die IP Adresse im Internet in welcher der Server SSH lauscht, hat keine Beziehung zu den Internet-Domains von SocialShared und hat deshalb einen Sicherheitscharakter aufgrund der Dunkelheit. Nur das berechtigte Personal hat die Kenntnis und den Zugriff auf diesen Zugriffsserver vía IP oder via Verwaltungssubdomain.

Diese beiden konzeptuellen Sicherheitsebenen im Netz, werden durch die einschränkende Verwendung von Firewalls in jedem Punkt des Services. Die Firewalls erlauben den Zugriff von aussen nur von den erlaubten Anschlüssen aus.

Die verschiedenen Server der Plattform SocialShared sind geschützt und befinden sich in einem privaten virtuellen VPC Netzen im Amazon AWS Netz: die Kommunikation zwischen ihnen ist möglich und auch von Firewall verwaltet. Der Zugriff auf den Service ist nur auf den vorher erwähnten Sicherheitsebenen definiert: frontal und backend, kontrolliert und über Firewall.

Datenverkehr:

Jegliche Kommunikation von Daten zwischen den Servern, sei es zur Erzeugung von fernen Backups, oder für die Veröffentlichung von einem Entwicklungscode, wird mittels einem SSH Tunnel, immer durch geschützten Schlüsselaustausch RSA öffentlich/privat, durchgeführt. Die Chiffrierung der Kommunikation kommt durch AES 128-192-256 Bits, während der Schlüsselaustausch den Algorithmus ECDH-SHA2-NISTP benutzt.

Über die Web von SocialShared beschränkt es sich auf SSL-Chiffrierung von 128bits, SHA-1 Algorithmus und Verschlüsselungscode von 2048 Bits.

ZUVERLÄSSIGKEIT DES SERVICES

Jeder Dienst in der SocialShared Architektur wird in einem Server-Netz mit Applikationen verteilt. Der Applikation wird in drei Phasen geteilt:

Web Datenverarbeitungsebene:

Die Web Datenverarbeitungsserver werden gebildet und zerstört je nach der notwendigen Anzahl für die Servicestabilität, der Zugriff auf den Service wird durch einen Lastausgleich ELB (AWS) durchgeführt. Die Bildungs- und Zerstörungskapazität der Maschinen ist automatisch und verwaltet sich selbst, je nach verschiedenen Parametern, wie die Ladung des Systems als Ganzes, oder die von der Plattform verwandte Bandbreite.

Datenverarbeitungsebene von Dateien, Sitzungen und Media:

Die Media Server vermitteln die Web-Datenverarbeitung der Dateien und Sitzungsdaten, welche für ihre Aktivität notwendig sind. Ihr Zugriff ist auch durch Verwendung in jeder Frontale ausgeglichen.

Datenverarbeitungsebene:

Die Datenbankserver sind in einem Cluster organisiert, und der Zugang erfolgt auch auf balanzierte Weise durch die Applikation.

Diese Verteilung der Services erlaubt es, vor Situationen, die den Dienst behindern könnten, schnell zu reagieren, und sie gewähren eine Extraschicht Zuverlässigkeit, basierend auf Multipunkt. Die technische Kapazität, neue Applikationsmaschinen für jedes Niveauin kürzester Zeit miteinzubeziehen, zusammen mit der Flexibilität des Backup-Systemes, ermöglicht eine schnelle Reaktion, im Falle von möglichen Katastrophesituationen oder von Überlastung des Netzes.

SICHERHEIT DER WEB APP

Die Applikation verwaltet mögliche unerlaubte Zugänge auf drei Sicherheitsniveaus:

  • Erste Phase, wenn eine bestimmte Anzahl von Versuchen von unerlaubten Zugängen bemerkt wird, erscheint automatisch ein Captcha-System um Bots zu vermeiden.

  • Zweite Phase, die IP-Adresse des fernen Besuchers würde blockiertt werden, wenn eine definierte Schwelle maximaler Versuche überschritten wird.

  • Dritte und letzte Phase, wenn trotz blockierter IP, neue unerlaubte Zugangsversuche bemerkt werden, wird der Benutzer blockiert, und erhält per E-Mail eine Benachrichtigung mit Anweisungen für die Reaktivierung.

PLATTFOR- MANAGEMENT

Das Management des Produktionsumfeldes von SocialShared wird im Rahmen des Organgesetzes 15/1999 vom 13. Dezember über Persönlichen Datenschutz (LOPD) in Spanien ausgeführt.

Einige der Managementmaßnahmen sind:

  • Es gibt Richtlinien für die Verwaltung von Datenträgern und Dokumenten.
  • Es stehen Log Angaben und Daten über Zugänge, Vorfalle und Software-Aktualisierungen zur Verfügung, sowie über jegliche Servicearbeiten an der Plattform.
  • Der Zugriff zu den Servern für ihre Instandhaltung oder Software-Aktualisierung, erfolgt mittels Austausch von Bescheinigungen oder Verschlüsselungen, nicht durch Passwörter.
  • Alle Software Versionen der Plattform sind aktualisiert, unter Berücksichtigung der list text hereSicherheitsaktualisierungen, welche in sicheren Repositorien veröffentlicht sind.

MONITORISIERUNG UND SUPPORT

Um die Servicequalität zu garantieren, befindet sich das OSI-Environment unter ständiger Monitorisierung auf zwei Ebenen.

Amazon AWS stellt einerseits Tools und Alarme zur Verfügung die den Status der Hardware, welche die Plattform SocialShared gestaltet, bestimmen. Mit einer 5-Minuten-Frequenz, sind verschiedene Aspekte der Server-Funktion ein Motiv für Alarm und die zuständige Warnung an den Support. Ebenso werden einige Alarmsensoren automatisch die Anzahl der vorhandenen Maschinen erhöhen, im Fall einer Überbearbeitung, eine Transferenz-Überlastung oder -Höhepunkt um die Plattform an ein Szenario hoher oder niedriger Nachfrage anzupassen.

Ausserdem informiert, ein Remote-Monitorisierungs-System, mittels NODEPING Plattform mit einer 1-Minutenfrequenz über jede Eventualität oder Ausfall des Services. Es ist programmiert um verschiedene Funktionsparameter zu messen, zu denen die Bearbeitungszeiten, Zugriffszeiten auf die Database, Zugriffszeiten auf Multimedien-Inhalt, usw. Im Fall eines Absturzes wird ein Alarm-SMS geschickt um die Support-Abteilung zu informieren.

Der Support basiert auf einem Wachdienstpersonal im 24x7-Format, welches auf jede Eventualität oder jedes Ereignis im Service antwortet.