当依赖第三方供应商安全地管理和处理您的在线数据和日志文件时,需要一定的信心。因此,需要一个全天候保护数据完整性的解决方案。
Logz.io由来自防火墙创新者Check Point Software的企业安全老手打造,它超越了以往,通过日志管理和分析支持和保护客户的安全环境。本白皮书深入探讨了我们如何开发创新的微服务体系结构,以将最优秀的技术与细致的组织流程和人性化的在线服务安全相结合。
首先,我们的文化和内部开发、运营以及DevOps流程本身都是为了提供最大的数据安全性而构建的。其次,从网络和云实例逻辑安全到物理数据中心安全,我们能够保护服务、数据和访问。最后,我们在一开始就在我们的架构中注入了五个关键的底层特性。
内部研发流程
面向安全的环境从高编码标准开始,这些标准可以防止试图的安全漏洞,并伴随着严格的代码审查和测试(例如代码覆盖测试)。我们采用最严格的开发流程和编码标准,以确保两者都遵循最佳安全实践。此外,我们的测试平台执行一组不同的黑盒和白盒测试,以确保质量(包括正在进行的渗透测试)。从物理层到应用层,所有系统层都将安全作为第一优先级来实施和支持研发过程。
物理数据中心安全
我们依靠亚马逊云的异常灵活和安全的云基础设施,跨多个AWS云区域和可用性区域逻辑存储数据。AWS简化了遵守行业和政府要求的过程,并确保了最大限度的数据安全和保护。例如,AWS基础设施与IT安全最佳实践保持一致,并遵循许多合规标准,如:
- SOC 1/SSAE系统
- 16/ISAE 3402(前身为SAS 70 II型)
- HIPAA公司
- SOC 2(充电状态2)
- SOC 3(充电状态3)
- FISMA公司
- DIACAP公司
- 联邦RAMP
运行我们解决方案的所有数据中心都是全天候安全和监控的,对AWS设施的物理访问严格限制为选择AWS云员工。
实例和网络安全
每个微服务都在一个定义良好的Docker容器中运行,该容器允许特定级别的访问来选择控制器。我们使用Docker来避免错误的实例配置更改、升级和损坏,这些都是常见的安全漏洞来源。此外,我们加强了容器中的操作系统,以启用各种网络访问控制(例如iptables)。
我们采取了必要的预防措施,以确保数据传输中涉及的每一层都受到最佳技术的保护。我们的网络使用AWS安全组、VPC、ACL和其他自定义措施进行分段。此外,我们的威胁控制中心通过实时分析和处理的安全警报保持最新状态。通过深入的网络监控,我们能够检测到异常情况,并采取积极主动的方法来消除潜在的违规行为。
客户数据安全
我们通过为每个客户提供专用的数据存储来确保数据漏斗的每一步都安全,从而确保全面的数据隔离。数据通过我们的数据导入系统进行标记、隔离和隧道传输。我们根据与其关联的组织来标记给定客户数据的每个特定部分,该组织在数据的整个生命周期中都与该数据相关联。当数据在我们的接收管道中传输时,它被标记为特定的信息,包括其关联的客户,因此只有该客户才能访问它。我们支持对传输中的数据进行SSL加密,因此客户可以安全地将其数据上传到Logz.io云,并安全地浏览自己的Logz.io控制台。冷数据被加密并托管在单独的简单存储服务(S3)存储桶中,这些存储桶通过持久AES 256位加密进行保护。
此外,我们不断跟踪和维护客户数据的位置和状态。这样,例如,当我们退役一个操作系统并使相关机器退役时,我们可以确保在将机器返回AWS之前清除掉可能留下的任何信息残留物。磁盘经过特殊格式化,以确保以后无法恢复数据。
访问管理
为了进一步强调上述几点,数据安全现在比以往任何时候都更加重要。我们能够实现比大多数组织更高的隐私和安全级别。由于了解了客户日志数据的敏感性,我们已经建立并继续维护我们的系统,同时考虑到企业级安全。Logz.io利用多层方法,拥有一个处理安全事务的SOC团队以及定义和实施安全协议、程序、团队教育和实施的安全架构师。我们把应用程序和数据安全放在首位。
如果您对上述任何一点有任何疑问、建议或疑虑,请随时联系我们:security@logz.io
