Vamos todos parar o COVID19.
Clique para saber tudo o que a Fracttal está fazendo para apoiar as equipes de manutenção durante esse período.
INTRODUÇÃO
Na FRACTTAL, todos os dias nos esforçamos para desenvolver a solução mais segura de gerenciamento de ativos físicos e gerenciamento de nuvem. Nós nos preocupamos que seus dados sejam altamente seguros e acessíveis apenas para sua empresa e seus funcionários.
Seus dados sempre seguros
Mesmo em cafés, aeroportos e outros locais com conexões WiFi públicas, as senhas da FRACTTAL não podem ser roubadas. Os usuários podem abrir o FRACTTAL com confiança em locais públicos por meio de conexões WiFi ou de rede móvel.
O acesso ao FRACTTAL é feito exclusivamente através de uma conexão SSL, que está ativa desde a autorização inicial até o download e upload de dados da empresa.
Proteção Proativa
A FRACTTAL tem mais de 10 anos de experiência combinada fornecendo o mais alto nível de segurança em projetos web. Com a FRACTTAL, você se beneficia de toda a experiência e tecnologia, incluindo o Firewall do Aplicativo, que bloqueia categoricamente a grande maioria dos ataques de aplicativos da Web.
Disponível 24/7
A FRACTTAL usa o estado da arte com centros de dados independentes e tecnologia de clustering para garantir que o serviço esteja no máximo em disponibilidade e desempenho.
Backups
FRACTTAL cria backups diários de dados.
Sistema Operativo
No nível do sistema operacional, o servidor da Web da FRACTTAL está protegido por um firewall em que todas as portas são fechadas, com exceção daquelas usadas para os propósitos do sistema. O acesso técnico ao servidor é feito exclusivamente através de sub-redes da FRACTTAL.
Armazenamento de dados
Todos os datacenters utilizados pela FRACTTAL são protegidos de acordo com o SAS 70 Tipo II (que inclui acesso a mídia de armazenamento físico com base em dados biométricos e proteção máxima contra intrusão) e cumpre com o padrão de salvaguardas.
Isolamento de dados
Os dados do usuário (dados de cada empresa/cliente) são separados em vários níveis. Os dados de diferentes empresas são isolados de tal forma que não há possibilidade de receber acesso ou acessar outra conta por acidente.
Nível do navegador
Os dados de autenticação enviados para a máquina do cliente podem ser criptografados usando JavaScript e uma chave RSA. Além disso, a tecnologia OTP (senha descartável) pode ser acoplada em combinação com um e-Token.
Transferência de dados
A transferência de dados para todos os usuários é feita por meio de uma conexão SSL criptografada (com uma chave de 256 bits).
Nível de Aplicação
A proteção proativa da FRACTTAL bloqueia a maioria dos ataques da Web que tentam usar vulnerabilidades de aplicativos. Usuários mal-intencionados não têm chance de carregar código malicioso. O aplicativo da web está em conformidade com os padrões WAFEC 1.0. O acesso ao FRACTTAL é fornecido aos usuários (empresas) em completo isolamento de outros usuários com senhas criptografadas por double md5. Limitação de sub-redes e registro específico de atividade potencialmente perigosa também é possível.
ESTRUTURA DE SEGURANÇA DA FRACTTAL
As conexões estabelecidas entre os servidores de aplicativos e os Bancos de Dados (DB), bem como entre o usuário e o aplicativo, são feitas através de Secure Sockets Layer (SSL). A aplicação de conexões SSL entre o servidor de banco de dados e os aplicativos clientes ajuda a proteger contra ataques “man in the middle”, criptografando o fluxo de dados entre o servidor e o aplicativo.
Além do protocolo, possui os mais altos certificados de segurança Certificado de validação estendida (Extended Validation Certificates) concedidos pela COMODO CA Limited após uma análise detalhada de todos os aspectos relevantes para a segurança, fortalecendo a confiança e credibilidade oferecidas pelo nosso site e aplicações web. .
Todos os acessos aos servidores de Bancos de Dados (DB) são bloqueados por meio de um servidor proxy que permite somente ações do tipo CRUD por meio de chamadas de procedimento remoto, uma vez que a sessão é validada no Banco de Dados e executada apenas para A empresa especifica a sessão do usuário conectado, portanto, nunca há acesso direto aos dados, sendo quase impenetrável o acesso ao banco de dados. As tentativas de conexão da Internet devem primeiro passar pelo firewall antes de poder alcançar o proxy e, assim, poder acessar os Bancos de Dados.
Segurança de Conexão da Internet
A conexão da Internet, sempre é feita através de um Firewall (CDN) que filtra todas as solicitações para estabelecer conexão com os servidores de aplicativos, qualquer conexão direta com o servidor é rejeitada.
O servidor de banco de dados suporta apenas conexões do servidor de aplicativos que são filtradas por um servidor proxy que analisa a execução de códigos mal-intencionados e tempos de conexão, garantindo que ele seja acessado somente pelos protocolos selecionados e todas as proteções Firewall que protegem os dados, garantindo a confiabilidade e disponibilidade das informações.
Proteção contra ataques DDoS
A frequência e força dos ataques de negação de serviço distribuído (DDoS) estão aumentando globalmente. Ao explorar milhões de dispositivos inseguros de Internet das Coisas (IoT), criando botnets que executam ataques volumétricos altamente distribuídos, os ataques DDoS são mais fáceis de executar e mais impactantes do que nunca. Além de serem os maiores volumes de ataque, os esforços estão mudando das camadas de rede e transporte para a camada de aplicativo (camada 7). Os ataques da camada de aplicativos são muito mais sofisticados, geralmente exigem menos recursos para derrubar um site ou um aplicativo e podem interromper as operações com um impacto ainda maior.
Os ataques DDoS interrompem as operações comerciais normais, degradando o desempenho e a disponibilidade do site e dos aplicativos, deixando-os, por vezes, completamente off-line.
Na FRACTTAL, aplicamos mecanismos de mitigação de DDoS para manter o desempenho e a disponibilidade. Nossos sites e aplicativos são dotados da escalabilidade e inteligência de uma rede escalonável para combater os maiores e novos ataques. A proteção contra ameaças não prejudica o desempenho causado por latências induzidas pela segurança, e os serviços de segurança eliminam configurações errôneas, que podem introduzir novas vulnerabilidades.
Evitar o vazamento de dados do cliente (Customer Data Breach)
Um vazamento de dados pode causar o vazamento de informações confidenciais do cliente, como informações de identificação pessoal (PII). Os invasores costumam usar vários vetores de ataque quando eles tentam comprometer os dados do cliente, tais como falsificação de DNS, rastreamento de dados em trânsito, logon tentativas de força bruta ou carregar exploits maliciosos.
Na FRACTTAL, temos um compromisso com os dados do cliente. Nossos sites e aplicativos têm a escalabilidade e inteligência de uma rede escalonável para combater os ataques mais sofisticados e novos para evitar vazamento de dados do cliente.
Bloquear o abuso de bots maliciosos
O abuso de bots maliciosos está crescendo em frequência, sofisticação e impacto. Os tipos mais comuns de abuso incluem copiar conteúdo, verificações fraudulentas e aquisições de contas. As empresas afetadas podem sofrer perdas monetárias, aumentos nos custos operacionais, uma marca danificada e despesas de marketing desperdiçadas.
Os sites e aplicativos da FRACTTAL têm a capacidade de recuperar e a inteligência de uma rede escalonável para combater o abuso malicioso de bots.
Controle para bloquear visitantes suspeitos
Nosso protocolo de limitação de taxa protege contra ataques de negação de serviço, tentativas de login de força bruta e outros tipos de comportamento abusivo direcionados à camada de aplicativo. A rede de transmissão global ilimitada de 15 Tbps do nosso provedor de segurança é 15 vezes maior do que o maior ataque DDoS já registrado, o que permite que todos os ativos da Internet na rede suportem até mesmo ataques DDoS em massa.
O Limite de Frequência fornece a capacidade de configurar limites, definir respostas e obter informações valiosas sobre URLs específicos de sites, aplicativos ou pontos de extremidade da API. Adicionando controle de tráfego granular HTTP/HTTPS para complementar as soluções DDoS e WAF (Web Application Firewall).
DNSSEC
Se o DNS for o diretório telefônico da Internet, o DNSSEC é a identificação das chamadas pela Internet. Ele garante que o tráfego de um aplicativo da Web seja roteado de forma segura para os servidores corretos, de modo que os visitantes de um site não sejam interceptados por um invasor oculto “man in the middle”. Esses ataques geralmente passam despercebidos aos visitantes dos sites, o que aumenta o risco de phishing, infecções por malware e perda de dados pessoais.
Cloud Web Application Firewall
O firewall de aplicativo da web (WAF) da FRACTTAL protege os dados do cliente contra vulnerabilidades comuns, como ataques de injeção de SQL, scripts entre sites e falsificação entre sites.
Nosso provedor de segurança monitora constantemente a Internet para detectar novas vulnerabilidades. Quando se deparam com ameaças que se aplicam a uma parte de nossos usuários, as regras do WAF são aplicadas automaticamente para protegê-las, recebendo aproximadamente 2,9 milhões de solicitações por segundo, nosso provedor de WAF identifica e bloqueia continuamente novas ameaças em potencial.
Dessa forma, podemos oferecer uma estrutura de segurança abrangente em várias nuvens, com uma única fonte de controle para a segurança de sites, aplicativos e APIs hospedados em vários ambientes. A segurança em várias nuvens fornece visibilidade de eventos de segurança. Qualquer tráfego de ataque visto pelo nosso provedor de segurança é registrado e analisado.
Nosso firewall de aplicativo da web está na mesma rede Anycast que alimenta nossas funções CDN, HTTP/2 e otimização da web. Nossos conjuntos de regras do WAF resultam em uma latência menor que 1 milissegundo.
Com o uso do WAF, garantimos a conformidade com o requisito 6.6 do PCI DSS 2.0 e 3.0, protegendo nossos clientes das 10 principais vulnerabilidades do OWASP por padrão. Estas regras do OWASP são complementadas por 148 regras integradas do WAF.
As 10 principais vulnerabilidades do OWASP evitadas na FRACTTAL
ESTRUTURA DE BACKUP DA FRACTTAL
Introdução:
É obrigatório que provedores, desenvolvedores e administradores forneçam um backup das respectivas rotas que permitem a recuperação de desastres das plataformas sob sua responsabilidade. E utilizar rotas que sejam destinados ao controle de versão, documentação e outras definições que produzem sistemas da FRACTTAL em pleno funcionamento e controle de sistemas de informação e conhecimento do que é FRACTTAL o único proprietário dos direitos.
Alcance
Aplica-se a todos os dados hospedados em servidores sob a proteção do FRACTTAL de acordo com os objetivos de segurança dos dados estabelecidos pela área e os dados do usuário incluídos (por acordo mútuo) em qualquer plano de backup fornecido pela área.
Descrição Continuidade de Negócio
A seguir, descrevemos os recursos fornecidos pela FRACTTAL para continuidade de negócios e recuperação de desastres. Esta informação é extremamente importante saber como ele poderia se recuperar de eventos perturbadores que poderiam causar perda de dados ou indisponibilidade provoca aplicação e tempos de recuperação estimado (ERT), que é o tempo máximo aceitável antes da aplicativo recupera totalmente após o evento de perturbação o tempo de recuperação de destino (RTO) e o objetivo do ponto de recuperação (RPO).
Política de Retenção
A política de retenção estabelecida é de 15 dias, estes dados correspondem à revisão dos diferentes ciclos de implantação de saídas de produção dos planos de melhoria, novos produtos e correção de erros na aplicação, no nível de banco de dados, por ser uma base de dados transacional de informação não contábil ou legal, é apenas necessário garantir a disponibilidade de dados e estrutura ao longo do tempo.
Esta política nos permite recuperar para qualquer ponto de restauração dentro de 15 dias.
Plano De Backup
Em geral, backups completos são feitos semanalmente, backups diferenciais são feitos duas vezes ao dia e cópias de backup do log de transações são feitas a cada cinco minutos.
Restaurar um ponto no tempo é útil em vários cenários. Por exemplo, quando um usuário acidentalmente apaga dados ou acidentalmente sobrescreve dados corretos com dados incorretos.
Por esse motivo, temos cópias de segurança do log de transações, que são feitas a cada cinco minutos.
Talvez seja necessário aguardar o próximo backup do log de transações antes de poder restaurar para um ponto no tempo nos últimos cinco minutos.
Sob essas considerações, você pode recuperar uma versão específica para a última semana, dia ou minuto, além das versões completas. Antes da possível perda de arquivos, será possível ir para os backups diferenciais e, antes de uma perda total do servidor, será possível ir para os backups completos. Desta forma, é possível recompor o servidor completo, incluindo a instalação do sistema operacional.
As ferramentas a serem usadas são os utilitários do Microsoft Azure e outras plataformas nas quais esses backups são gerados e armazenados de maneira automatizada e são retidos pelo tempo definido neste documento. Todas as cópias são criptografadas usando o AES 256 garantindo a segurança das informações em cópias de backup.
O backup não é armazenado apenas na região em que o servidor está hospedado, mas também é replicado em um data center emparelhado. Isso fornece melhor proteção e a capacidade de restaurar o servidor em uma região diferente no caso de um desastre.
Rotinas de Controle de Acompanhamento
Para evitar falhas na restauração de dados do servidor, as informações armazenadas nos backups devem ser verificadas mensalmente e na íntegra. Para isso, as rotinas de controle de backup são executadas.
Consistem no teste integral dos backups, desde a sua restauração a partir do servidor de backup para outro teste (duplicado do servidor de produção original), descompressão e importação de dados para os testes de desempenho correspondentes (dependendo do ser sistema recuperando). Como, por razões de volumes e tempos de dados, seria impossível verificar todos os backups, as amostras serão tiradas de 5 a 10 de forma aleatória e rotativa, para realizar este processo. Isso será feito usando as ferramentas fornecidas pelo Microsoft Azure para essa finalidade.
Tempo de inatividade
Restaurar vezes contando com o tamanho atual do banco de dados de 100GB em infraestrutura produtiva e com ambientes de disponibilidade restauração e redirecionamento, nos permitem comprometer um RTO de 4 horas e um RPO de 24 horas no pior dos cenários.
POSSÍVEL PERDA DE DADOS
Para que haja perda total de dados, os dois eventos a seguir devem ocorrer simultaneamente:
Para evitar essas situações, você tem o serviço Microsoft Azure do Passive Active Site Recovery, configurando a recuperação de desastre entre as regiões do Azure.
E com ferramentas de recuperação de desastres para a execução e controle dos backups e programação e validação de backups semanais.
Considerações
TERMINOLOGIA USADA PARA DESCRIÇÃO
Responsável pelo backup: Pessoa responsável por executar (no caso de backups manuais) ou programação e, em seguida, controlar as cópias de backup. A pessoa responsável deve ser claramente identificada e localizada em caso de incidente urgente fora do horário de trabalho.
Classificação de informação: Por exemplo, dependendo de sua importância (crítica, importante ou baixa), dependendo da sensibilidade dos dados pessoais processados (alta, média, baixa), etc. Isso nos permitirá considerar se as cópias devem ser compactadas, protegidas com senhas ou até mesmo criptografadas.
Natureza da informação: Análise do que será copiado de nossos sistemas. Que tipo de informação será copiada? Completa (clonagem ou imagem), Sistema (registros, configuração), aplicativos, bancos de dados, documentos etc. Dependendo da natureza das informações, será necessário tomar decisões, como o tipo de software de backup a ser usado para permitir “cópias ativas”.
Volume de informações: faça uma estimativa da quantidade de dados a serem copiados. Isso será necessário para levar em conta, por exemplo, qual estratégia de cópia usar, o tipo de mídia para fazer as cópias ou até mesmo estimar o tempo necessário para fazer a cópia.
Programação: O backup pode ser feito manualmente ou automatizada e deve levar em conta especialmente escolhido para fazer o tempo, preferindo menos atividade para reduzir os inconvenientes para os usuários (e eles não deveriam estar trabalhando enquanto as cópias são feitas ). Por exemplo, a noite.
Periodicidade/Frequência: A periodicidade do calendário é mais fácil de entender e gerenciar (diariamente, semanalmente, mensalmente, anualmente). A frequência das cópias dependerá das alterações nas informações e será pelo menos semanal, a menos que tenha havido alterações.
Tipo de backup: Dependendo da quantidade de informações a serem copiadas, o backup pode ser Completo (todos), incremental (somente os arquivos modificados ou criados desde a última cópia incremental são copiados) ou diferencial (copia os arquivos modificados desde a última cópia completa). O incremental precisa de menos espaço, mas é mais complicado restaurar do que o diferencial.
Localização/Armazenamento: Dependendo da situação das cópias, estas poderão ser locais se os suportes forem armazenados nas mesmas instalações onde o sistema de informações está localizado, remotos se forem armazenados em um salão diferente e externos se forem feitos pela Internet e armazenados em servidores externos ao corpo docente. As instalações de armazenamento local devem ter a máxima segurança física, por exemplo, através do uso de armários à prova de fogo com chave e nas condições ambientais corretas.
Suporte: é o objeto físico que armazena ou contém dados ou documentos, ou um objeto que pode ser tratado em um sistema de informações e no qual os dados podem ser registrados e recuperados. O tipo de mídia de armazenamento que melhor atende às necessidades específicas do sistema em questão deve ser escolhido.
Estratégia: Pode ser permanente ou girar os suportes. Quanto mais simples o esquema estratégico, mais fácil é manter. Por exemplo, faça cópias incrementais durante a semana, de segunda a sábado, e complete aos domingos, etc.
Software: A ferramenta usada para fazer as cópias deve suportar as características que foram planejadas de acordo com as necessidades. As cópias podem ser agendadas com tarefas usando scripts de linha de comando ou com software específico (gratuito ou investir em sistemas de cópia comerciais).
Pré-tarefas: Ações a serem executadas antes do backup. Ex. Fechar aplicativos para uma cópia correta, desativar serviços, etc.
Pós-tarefas: Ações a serem executadas no final da cópia de backup. Por exemplo, ligue ou reinicie um serviço.
Origem: Onde estão as informações a serem copiadas (máquina / rota)? Previsão de crescimento?
Destino: Em qual suporte ou máquina/rota as cópias serão feitas?
Controle de cópias/Supervisão: É MUITO IMPORTANTE verificar a correta execução das cópias. Revisar logs, suportar e executar testes de integridade em informações copiadas é uma parte fundamental do procedimento.