AMCS Cloud-Sicherheit

Dieser Artikel soll einen Überblick über die von AMCS eingesetzte Cloud-Sicherheit geben. Es deckt zwei Bereiche ab, nämlich die Anwendungssicherheitsfunktionen und die operativen Sicherheitssysteme , die in der Organisation verwendet werden, um die Produktentwicklung und -verwaltung zu unterstützen.

1. Funktionen der Anwendungssicherheit

Die Cloud-Sicherheit von AMCS basiert auf Best Practices und Technologien der Branche.  Wir setzen auch verschiedene Betriebssysteme und Kontrollen ein, um sicherzustellen, dass wir kontinuierlich auf neue Bedrohungen oder Angriffe achten und gleichzeitig Ihre Daten sicher und geschützt halten.

1.1 Verschlüsselung von Daten während der Übertragung

Die Übertragung aller Daten an unsere Cloud-Umgebung muss mit Industriestandardprotokollen und Cipher Suites verschlüsselt werden.  Dazu gehören:

• Benutzeranmeldeinformationen
• Betriebs- und Finanzdaten
• Personenbezogene Daten (PII)

Systeme von Drittanbietern, die versuchen, Daten ohne diese Verschlüsselungsstufen an unsere APIs zu senden, werden abgelehnt.

Wir setzen mindestens TLS 1.2 durch, um sicherzustellen, dass alle von uns akzeptierten Daten verschlüsselt und authentifiziert sind und während der Übertragung zwischen Anwendungen nicht manipuliert wurden.

1.2 Verschlüsselung ruhender Daten

Sobald Ihre Daten in unsere Cloud-Umgebung aufgenommen wurden, werden sie in sicheren Speicherdiensten gespeichert.  Diese Dienste können je nach Art und Anwendung im Zusammenhang mit den Daten variieren.  Die drei Haupttypen sind Datenbank-, Datei- und BLOB-Speicher.

Alle drei Dienste sind so konfiguriert, dass Ihre ruhenden Daten verschlüsselt werden, d. h., wenn ein Angreifer Zugriff auf den physischen Datenträger oder das Gerät erhält, werden die Daten verschlüsselt.

1.3 Benutzerauthentifizierung, Autorisierung und Auditing

Alle Benutzeranmeldeinformationen werden sicher übertragen und gespeichert.  Kennwörter werden mit einem unidirektionalen Hashalgorithmus gespeichert.

Das System bietet Ihren Benutzeradministratoren die Möglichkeit, die Zugriffsebenen nach Gruppen und Zugriffsrechten zu verwalten.

Alle Benutzeraktivitäten werden überwacht, sodass Sie eine vollständige Rückverfolgbarkeit für Aktivitäten auf Ihrem System haben.

1.4 Single Sign On (SSO) und Multi-Faktor-Authentifizierung (MFA)

Wenn möglich, bietet AMCS eine vollständige Integration mit Ihrem Identitätsanbieter, um eine einmalige Anmeldung für Ihre Benutzer zu implementieren.  Diese Implementierungen unterstützen alle MFA-Steuerelemente, die Sie mithilfe der folgenden Identifizierungsanbieter konfiguriert haben:

• Okta
• Azure AD
• Googeln

1.5 DDoS-Schutz

Alle Netzwerkendpunkte sind vor gängigen Netzwerkangriffen geschützt, einschließlich verteilter Denial-of-Service-Angriffe.  Eine Risikominderung wird automatisch eingerichtet, wenn ein Angriff auftritt und dadurch sichergestellt wird, dass der Dienst für die gültigen Benutzer verfügbar ist.

2. Betriebssicherheitssysteme

2.1 Richtlinie für Datenbanksicherung und -aufbewahrung

AMCS verfügt über eine Datensicherungs- und Aufbewahrungsrichtlinie, die standardmäßig für alle Instanzen der AMCS-Plattform implementiert ist. Diese Richtlinie umfasst die regelmäßige Point-in-Time-Sicherung von Produktionsdatenbanken alle 5 Minuten kontinuierlich. Diese Snapshots werden für die Notfallwiederherstellung an einem anderen geografischen Ort gespeichert, jedoch innerhalb derselben geopolitischen Grenze, um die Anforderungen an die Datenhoheit zu erfüllen.  Die Snapshots werden 35 Tage lang gespeichert und können verwendet werden, um das System mit einer Genauigkeit von einer Sekunde auf einen Point-in-Time zurückzusetzen. Darüber hinaus gehören langfristige Backups und Aufbewahrung zum Standard. Es werden monatliche Backups erstellt, die 12 Monate aufbewahrt werden, und jährliche Backups werden 10 Jahre lang aufbewahrt.

2.2 Kontinuierliche Überwachung und Alarmierung

Alle Produktionssysteme sind in unser globales 24/7-Monitoring-System integriert.  Dadurch wird sichergestellt, dass alle Anwendungen und ihre kritischen Abhängigkeiten verfügbar sind.  Im Falle eines Ausfalls wird ein Alarm ausgelöst, der den Supportprozess einleitet.

2.3 Bedrohungserkennungs- und Einbruchswarnsystem

Das Sicherheitssystem passt sich dem gewohnten Verhalten der Benutzer und etwaiger externer Systeme an, die direkt mit der Umgebung interagieren.  Wenn Aktivitäten auftreten, die nicht dem üblichen Muster entsprechen, werden sie entsprechend gekennzeichnet.  Wenn beispielsweise eine öffentlich zugängliche API, die normalerweise Datenverkehr aus einer europäischen Region bedient, plötzlich aus Nordamerika aufgerufen wird, wird diese Anomalie dem AMCS Cyber Security Team gemeldet.

2.4 Schwachstellenanalyse

Schwachstellenanalyse-Agenten werden verwendet, um alle Server und Endpunkte kontinuierlich auf die neuesten bekannten Schwachstellen zu scannen, und diese werden zentral an das AMCS Cyber Security-Team zurückgemeldet.  Die Schwachstellen werden mit dem CVSS bewertet und gemäß SLA bearbeitet (siehe Anhang A).

2.5 Dynamisches Scannen von Anwendungen

Wir testen unsere neueste Softwareversion kontinuierlich auf alle bekannten OWASP-Schwachstellen.  Diese Scans durchforsten automatisch eine bereitgestellte produktionsähnliche Umgebung und testen Endpunkte auf Schwachstellen oder Fehlkonfigurationen.  Die Schwachstellen werden mit dem CVSS bewertet und gemäß SLA bearbeitet (siehe Anhang A). 

2.6 Unabhängige Sicherheitstests durch Dritte

Die AMCS Cloud unterliegt einem regelmäßigen Sicherheitstest, der von einem unabhängigen CREST-zertifizierten Anbieter durchgeführt wird.  Die Ergebnisse der Tests werden vom AMCS Cyber Security-Team überprüft und gemäß SLA durchgeführt (siehe Anhang A).

2.7 Endgeräteschutz

Alle Endpunkte werden mit erstklassiger Sicherheitssoftware geschützt, um Echtzeitschutz vor Malware, Spyware und anderer bösartiger Software zu bieten.

2.8 Update-Verwaltung

Betriebssystem-Updates und Patches werden automatisch auf allen Servern ausgerollt, und dies geschieht monatlich.  Signifikante Schwachstellen wie Zero-Day-Angriffe werden von Fall zu Fall behandelt.

3. Anlage

3.1 Anhang A – SLA zum CVSS-Rating