Re: Platforma HPE GreenLake – aspekt bezpieczeństwa

W dzisiejszych czasach firmy i instytucje coraz częściej szukają rozwiązań w chmurze publicznej, aby sprostać wyzwaniom, takim jak zmniejszenie kosztów pozyskania i utrzymania infrastruktury IT, jak też jej wsparcia, obsługa niestandardowych aplikacji lub wykorzystanie możliwości chmury prywatnej i publicznej dla bardziej sprawnego prowadzenia działalności. Dzięki temu ich pracownicy mogą w czasie rzeczywistym współpracować nad dokumentami z dowolnego miejsca i z wielu urządzeń oraz natychmiastowo komunikować się za pomocą różnych narzędzi. Rozwój chmury publicznej sprawił jednak, że w centrum uwagi znalazły się bezpieczeństwo i zgodność z przepisami.

Rewolucja chmury obliczeniowej

Usługi chmury publicznej działają zupełnie inaczej niż tradycyjna technologia we własnej serwerowni. Nasze dane są teraz przechowywane i przetwarzane na serwerach, które są częścią globalnej sieci centrów przetwarzania danych. W przeszłości organizacje miały pewność, że posiadały pełną kontrolę nad tym, jak działa infrastruktura i kto ją obsługuje. W przypadku chmury publicznej oddajemy jej dostawcom zarządzanie oraz utrzymanie infrastruktury. W tym nowym świecie dane wciąż są naszą własnością i musimy zadbać o ich ochronę, ale odbywa się to za pośrednictwem narzędzi dostarczonych i utrzymywanych przez dostawcę chmury publicznej.

W takiej architekturze użytkownicy mogą uzyskiwać dostęp do plików roboczych i aplikacji z wielu urządzeń, takich jak telefony komórkowe, tablety i laptopy. Rolą organizacji jest ocena, czy kontrole bezpieczeństwa i zgodność każdego rozwiązania chmurowego spełniają ich wymagania. Hewlett Packard Enterprise rozumie wpływ modelu chmury publicznej i prywatnej na bezpieczeństwo, traktując je z najwyższym priorytetem przy tworzeniu i utrzymywaniu własnej platformy chmury publicznej o nazwie HPE GreenLake. Dzięki temu jest ona bezpieczniejsza niż większość rozwiązań lokalnych.

Platforma HPE GreenLake 

Już w 2021 roku HPE ogłosiło HPE Data Services Cloud Console (DSCC). To stworzony dla chmury publicznej panel zarządzający, zapewniający ujednolicone zarządzanie danymi poprzez zestaw usług w chmurze HPE. Usługa jest skierowana do klientów, którzy są zainteresowani zarówno zakupem infrastruktury IT na własność, jak i pozyskiwaniem jej w formie usługowej. Rok później HPE ogłosiło wprowadzenie na rynek nowej platformy chmurowej – HPE GreenLake.

Najprościej wyjaśnić, czym jest HPE GreenLake następującym stwierdzeniem – tym czym Azure jest dla Microsoft’u czy Amazon Web Services jest dla Amazon’a, tym dla HPE jest GreenLake. Największą różnicą między wymienionymi ofertami jest to, że w przypadku oferty HPE sprzęt wraz z danymi fizycznie pozostaje u klienta, natomiast zarządzanie odbywa się poprzez platformę wystawioną w chmurze publicznej HPE. Można powiedzieć, że jest to chmura, która przychodzi do Ciebie. Klasyczny przykład chmury hybrydowej. Wszystkie produkty i usługi, jak tworzy HPE mają w końcu znaleźć się i być dostępne w ramach platformy HPE GreenLake.

Architektura platformy HPE GreenLake

HPE GreenLake to platforma programistyczna, która zapewnia większość funkcjonalności i panel zarządzania dla użytkowników usług HPE GreenLake. To nie to samo, co HPE GreenLake Central. HPE GreenLake zapewnia ujednolicony widok większego portfolio usług HPE GreenLake. HPE GreenLake Central jest jedną z aplikacji działających na platformie. HPE będzie wykorzystywać platformę HPE GreenLake do tworzenia, dostarczania i obsługi usług HPE GreenLake.

Organizacje IT i klienci używają platformy HPE GreenLake do kupowania, zarządzania i obsługi swoich usług HPE GreenLake podczas wykonywania zadań, takich jak deweloper uruchamiający maszynę wirtualną czy naukowiec od danych szkolący proces ML, który modeluje prognozy dla dyrektora finansowego badającego analizę kosztów.

Partnerzy będą korzystać z platformy HPE GreenLake do zarządzania i monitorowania środowisk swoich klientów oraz wystawiania im rachunków.

Platforma HPE GreenLake zapewnia pojedynczy punkt wejścia do zarządzania chmurą i usługami w ramach szerokiej oferty HPE GreenLake.

 Strona główna platformy HPE GreenLake 

Każda usługa na platformie HPE GreenLake wykonuje jedną lub więcej funkcji, takich jak:

• Udostępnianie usługi w chmurze HPE GreenLake, takiej jak np. Data Ops Manager, która zarządza sprzętem pamięci masowej wykorzystywanym przez rozwiązania z rodziny HPE GreenLake.
• Skorzystanie z usługi chmurowej SaaS (Software-as-a-service), takiej jak HPE Backup and Recovery Service, którą klienci kupują w celu tworzenia kopii zapasowych swoich maszyn wirtualnych.
• Zwiększenie wartości wielu usług w chmurze HPE GreenLake, takich jak HPE Consumption Analytics, która zapewnia analizę kosztów istotnych z biznesowego punktu widzenia w wielochmurowym środowisku klienta.
• Zwiększenie wydajności dzięki samoobsługowej i wysoce zautomatyzowanej obsłudze chmury
• Dostarczanie dostosowanego do potrzeb środowiska chmurowego z dostępem opartym na rolach dla użytkowników IT, CIO, DevOps i finansów.
• Uzyskanie szybkiego wglądu we wszystkie funkcje dzięki wysokopoziomowym wskaźnikom KPI, takim jak miesięczne koszty, pojemność i warunki zgodności.
• Dzięki udostępnionemu API platforma HPE GreenLake umożliwi zarówno klientom, jak i partnerom automatyzację niektórych wykonywanych przez nich zadań.

Kwestie bezpieczeństwa w chmurze

Wszystkie organizacje powinny rozpocząć od świadomego, celowego rozważenia zagrożeń bezpieczeństwa związanych z prywatnymi lub publicznymi środowiskami chmurowymi. Kluczowe kwestie związane z bezpieczeństwem podczas planowania lub korzystania z lokalnych lub publicznych środowisk chmurowych to między innymi:

• Wspólna odpowiedzialność za bezpieczeństwo i role zarządzania, które jasno określają prawa i obowiązki zarówno działu IT klienta, jak i HPE.
• Jasna definicja kwestii ochrony danych, która spełnia wymagania działu IT w zakresie ochrony danych, w tym dokumentowanie możliwości, procesów i kontroli ograniczania ryzyka dostawcy usług.
• Jasna definicja wymagań prawnych klienta związanych z typem danych, ich wrażliwością, lokalizacją, kontrolą dostępu i ochroną wszystkich danych przechowywanych u dostawcy. Obejmuje to, między innymi, obowiązujące przepisy w regionie lub kraju, takie jak ogólne rozporządzenie o ochronie danych (RODO) i kalifornijska ustawa o ochronie prywatności konsumentów (CCPA). HPE przejmuje jednak wyłącznie ryzyko związane z zabezpieczeniami określonymi w ofercie usług. Klient jest odpowiedzialny za zarządzanie ryzykiem związanym z działaniem systemów, aplikacji i obsługą danych, niezależnie od tego, czy znajdują się one lokalnie, czy w chmurze publicznej.

Architektura bezpieczeństwa HPE GreenLake

HPE wykorzystuje wiele warstw zabezpieczeń, zaczynając od tradycyjnych zabezpieczeń obwodowych, gdy jest to możliwe, takich jak środowiska chmury prywatnej. Jednak w miarę skalowania HPE GreenLake w celu uwzględnienia dodatkowych usług, centrów danych, HA (wysokiej dostępności), regionalności i wielochmurowości, staje się jasne, że samo bezpieczeństwo oparte na obwodzie staje się niemożliwe do zdefiniowania i utrzymania. W związku z tym platforma HPE GreenLake została zaprojektowana tak, aby była bezpieczna z wykorzystaniem hierarchii przedstawionej na poniższym diagramie.

 Zasady bezpieczeństwa na platformie HPE GreenLake

Platforma HPE GreenLake opiera się na wiodących na rynku funkcjach bezpieczeństwa, począwszy od HPE Trusted Supply Chain i krzemowej architektury zaufania (Silicon Root of Trust). Rozszerzymy tę zaawansowaną ochronę w górę stosu technologicznego na maszyny wirtualne i kontenery, a nawet na same aplikacje. Zapewnimy certyfikat zerowego zaufania aż do warstwy oprogramowania, zapewniając wyjątkowy poziom bezpieczeństwa.

Platforma HPE GreenLake wykorzystuje do uwierzytelniania otwarte protokoły zgodne ze standardami branżowymi, takie jak OIDC i SAML 2.0. System zarządzania tożsamością (IAM) obsługuje silne uwierzytelnianie poprzez uwierzytelnianie wieloskładnikowe (MFA). Dostęp do instancji użytkownika jest regulowany przez tokeny generowane przez IAM, które są ważne dla pojedynczego użytkownika i zawierają identyfikator użytkownika. Tokeny dostępu są krótkotrwałe i można je odświeżyć za pomocą tokenów odświeżania o ograniczonym czasie trwania lub poprzez ponowne uwierzytelnienie. Po zalogowaniu do platformy HPE GreenLake użytkownicy są automatycznie logowani do innych usług HPE GreenLake, do których przyznano im dostęp.

Po zalogowaniu użytkownika usługa IAM weryfikuje poświadczenia w celu uwierzytelnienia użytkownika i określenia odpowiednich uprawnień. Po pomyślnym uwierzytelnieniu platforma HPE GreenLake wysyła zapytanie do katalogu usług, wyświetlając usługi, do których użytkownik ma dostęp w ramach ogólnych subskrypcji firmy. Ponadto użytkownik za pośrednictwem portalu może pozyskać nowe usługi lub dostęp do wersji próbnych. Środowisko HPE GreenLake zawiera rozbudowane funkcje monitorowania, które można skonfigurować w celu powiadamiania o różnych zdarzeniach.

Aby zapewnić wysoką dostępność, platforma HPE GreenLake wykorzystuje instancje w różnych geograficznych regionach lub klastry wysokiej dostępności, które zapewniają ciągły dostęp do wszystkich usług i aplikacji.

Interfejs API ułatwia automatyzację komunikacji systemowej, umożliwiając klientom płynną integrację ich własnych aplikacji z platformą HPE GreenLake. Katalog usług zawiera listę wszystkich zasobów dostępnych do wdrożenia na platformie HPE GreenLake, a niektóre usługi HPE GreenLake mogą kontrolować aplikacje klienta działające w środowisku chmury hybrydowej, w tym wybranych dostawców chmury publicznej i środowisk chmury prywatnej w centrum danych klienta lub zewnętrznego dostawcy kolokacji. Opcjonalnie, gdy klient subskrybuje jedną lub więcej usług chmurowych HPE GreenLake, komponenty usługi HPE GreenLake będą komunikować się bezpośrednio z infrastrukturą pozyskaną w ramach modelu usługowego HPE GreenLake Flex posiadaną w siedzibie klienta.

Poniższy diagram przedstawia sposób dostarczania klientom usług HPE GreenLake oraz ich aktualizacji. Zespół HPE GreenLake stale rozwija i aktualizuje funkcje, aby poprawić komfort użytkowania i zaspokoić nowe i pojawiające się potrzeby klientów. Ciągła integracja i rozwój oprogramowania (CI/CD) umożliwia szybkie wdrażanie tych zmian. Podejście to zapewnia stosowanie i przestrzeganie odpowiednich praktyk w zakresie rozwoju i bezpieczeństwa i zostało szerzej wyjaśnione w sekcji "Secure SDLC" niniejszego artykułu.

HPE GreenLake Platform operational architecture

Komunikacja z konsolą HPE DSCC

Schemat zarządzania w ramach konsoli HPE DSCC na przykładzie pamięci masowych HPE Alletra

Na przykładzie zarządzania pamięciami masowymi z rodziny HPE Alletra, wyjaśnimy jak odbywa się komunikacja z jedną z konsol dostępnych w ramach platformy HPE GreenLake, a mianowicie HPE Data Services Cloud Console (DSCC). W celu zarządzania pamięciami masowymi z rodziny HPE Alletra administrator najpierw loguje się do konsoli HPE DSCC, gdzie wybierze odpowiednią aplikację do zarządzania wybranym rodzajem magazynu na dane (np. blokową i plikową). Bez względu na rodzaj pamięci masowej czy konkretny model macierzy, administrator dla konfiguracji sprzętowej będzie korzystał z jednej usługi o nazwie Data Ops Manager. Tam znajdą się wszystkie macierze posiadane przez danego klienta. Wszystkie czynności będzie mógł wykonać w ramach tej aplikacji, którą w pełni utrzymuje i aktualizuje HPE. Sprzęt jest praktycznie ukryty pod warstwą konsoli HPE DSCC. Administratora interesuje tylko zapewnienie odpowiedniego poziomu wydajności dla swoich aplikacji oraz bezpieczeństwo całego środowiska, w tym zarządzanie dostępami.

Bezpieczny rozwój systemu (SDLC)

Aby zapewnić solidne i bezpieczne rozwiązanie, HPE GreenLake przestrzega ścisłych metodologii zapewnienia bezpieczeństwa w całym cyklu rozwoju oprogramowania. Jest to stosowane we wszystkich ofertach usług HPE GreenLake.

Optymalne bezpieczeństwo, zapewniane przez platformę HPE GreenLake i powiązane z nią usługi, zaczyna się od bezpiecznej metodologii cyklu życia oprogramowania (SDLC), jak wyszczególniono w poniższej tabeli.

Software development lifecycle

Ponadto metodologie stosowane przez zespół tworzący platformę HPE GreenLake obejmują:

• Wymagane szkolenia w zakresie bezpieczeństwa dla programistów
• Statyczna i dynamiczna analiza kodu
• Przeglądy kodu pod kątem bezpieczeństwa
• Śledzenie, badanie i naprawianie luk bezpieczeństwa
• Okresowe skanowanie pod kątem bezpieczeństwa systemu i testy penetracyjne

Analiza zagrożeń architektonicznych

Analiza zagrożeń architektonicznych to proces, w ramach którego sprawdzane jest każde oprogramowanie wdrażane w ramach platformy HPE GreenLake. Eksperci ds. bezpieczeństwa badają projekt architektury, jej interfejsy, komponenty i dane w celu zidentyfikowania potencjalnych podatności, które mogą zostać wykorzystane przez przestępców. Obejmuje to sprawdzenie diagramu architektury w celu zidentyfikowania potencjalnych zagrożeń bezpieczeństwa, rozbicie każdego komponentu i interakcji między komponentami, określenie ryzyka związanego ze zidentyfikowanymi zagrożeniami, przypisanie wpływu i priorytetów działań oraz planowanie środków zaradczych. Architekt odpowiedzialny za projekt stworzy całą dokumentację, zdefiniuje specyfikacje funkcjonalne i projektowe oraz przekaże je do analizy.

Zapewnienie bezpiecznego rozwoju oprogramowania

DevSecOps to koncepcja stosowania zabezpieczeń w modelu DevOps. Ma ona na celu wdrożenie bezpieczeństwa we wszystkich fazach cyklu życia produktu i ułatwia wczesne wykrywanie problemów, zapewniając skuteczne zabezpieczenia warstwowe i tworząc bezpieczny produkt. Od fazy zebrania wymagań po wdrożenie, zespół HPE GreenLake wykorzystuje narzędzia i procesy do bezpiecznego tworzenia oprogramowania oraz wykrywania i usuwania błędów na wczesnym etapie cyklu życia.

W tej fazie wszystkie systemy i oprogramowanie są odcięte od świata zewnętrznego, wyłączając niepotrzebne protokoły, porty i usługi. Bezpieczeństwo musi być wdrażane zgodnie z projektem, biorąc pod uwagę bezpieczeństwo z góry i przez cały czas oraz stosując najlepsze praktyki branżowe, takie jak Open Web Application Security Project (OWASP).

Weryfikacja bezpieczeństwa i testowanie kodu

Zgodnie z najlepszymi praktykami branżowymi przesłany kod powinien zostać poddany wzajemnej weryfikacji, czyli weryfikacji przez kompetentnego programistę oprócz autora kodu. Równolegle do procesu wzajemnej weryfikacji, wrażliwe na bezpieczeństwo komponenty HPE GreenLake są również poddawane weryfikacji kodu pod kątem bezpieczeństwa przez analityka bezpieczeństwa. Weryfikacja kodu pod kątem bezpieczeństwa to proces analizy kodu źródłowego w celu wykrycia luk w zabezpieczeniach. Platforma HPE GreenLake wykorzystuje zarówno ręczny przegląd kodu, jak i automatyczne narzędzia do statycznego testowania bezpieczeństwa aplikacji (SAST) w celu sprawdzenia kodu podczas faz rozwoju. Te przeglądy kodu są oparte na standardach branżowych, takich jak OWASP i innych najlepszych praktykach.

Bezpieczeństwo wdrożenia

W fazie wdrażania nowych wersji lub aktualizacji oprogramowania platformy HPE GreenLake konieczne jest utrzymanie bezpieczeństwa i spójności nowego lub zaktualizowanego oprogramowania. HPE GreenLake wykorzystuje wysoki stopień zautomatyzowanych praktyk wdrażania, aby zminimalizować błędy, które mogłyby zostać wprowadzone przez procesy manualne, co obejmuje liczne kontrole w celu zapewnienia jakości kodu przed wdrożeniem. Wdrożenie zarządza również ochroną wrażliwych danych, które są wymagane przez aplikacje działające w środowisku produkcyjnym - na przykład w celu bezpiecznego przenoszenia z repozytoriów do chronionej pamięci masowej w środowiskach produkcyjnych.

Platforma HPE GreenLake przestrzega sprawdzonych zasad bezpieczeństwa oprogramowania, które są wbudowane w proces przepływu pracy, zapewniając spójne stosowanie i egzekwowanie tych zasad w zespołach. Proces wdrażania zapewnia wysoki poziom bezpieczeństwa poprzez egzekwowanie stosowania solidnych procesów i procedur. Aby zapewnić silne uwierzytelnianie, w całej organizacji wymagane jest stosowanie uwierzytelniania wieloskładnikowego (MFA), a poświadczenia repozytorium i klucze podlegają rotacji przez maksymalnie 90 dni.

Wdrożenia są autoryzowane tylko przez zatwierdzony personel i wymagają co najmniej dwóch potwierdzeń. Aby zapewnić, że żaden złośliwy artefakt nie zostanie wdrożony, cały kod zawarty w ostatecznej implementacji jest zgodny z zasadami przeglądu kodu i wydania.

Bezpieczeństwo eksploatacji

Po zarejestrowaniu się na platformie HPE GreenLake bardzo ważne jest, aby użytkownicy i organizacje utrzymywali odpowiednie mechanizmy kontroli bezpieczeństwa. Procedury logowania, hasła i procesy powinny być rutynowo monitorowane, aby zapobiec udostępnianiu danych logowania, kradzieży lub nadużyciom.

HPE GreenLake odpowiada za ochronę platformy HPE GreenLake i powiązanej z nią infrastruktury, zapewniając klientom usługi, z których można bezpiecznie korzystać. Audytorzy zewnętrzni regularnie testują i weryfikują skuteczność kontroli bezpieczeństwa.

Zespół HPE GreenLake korzysta z najlepszych w swojej klasie narzędzi do ciągłego monitorowania i ulepszania bezpieczeństwa platformy HPE GreenLake podczas bieżącej eksploatacji. Usługi platformy HPE GreenLake wymagają użycia wszystkich dostępnych narzędzi i technik bezpieczeństwa - takich jak projektowanie z zerowym zaufaniem i najmniejszymi uprawnieniami, segmentacja zasobów, audyt wykorzystania wszystkich kont, ciągłe egzekwowanie najlepszych praktyk bezpieczeństwa, scentralizowany warstwowy audyt działań związanych z zarządzaniem dostępem oraz silny dostawca jednokrotnego logowania.

Platforma HPE GreenLake została zbudowana w oparciu o technologię kontenerową, aby zapewnić dodatkowe korzyści operacyjne i stałe bezpieczeństwo. Kontenery zapewniają poziom izolacji, więc wszelkie potencjalne problemy spowodowane błędnym kodem są ograniczone, a użycie prywatnych kontenerów dodatkowo minimalizuje powierzchnię ataku klastra. Kontrola dostępu oparta na rolach (RBAC) obsługuje nadanie możliwie jak najniższych uprawnień dla każdej zdefiniowanej roli i upraszcza przypisywanie uprzywilejowanych czynności do określonych użytkowników, usprawniając zgodność. Cała komunikacja wewnętrzna i zewnętrzna wymaga użycia protokołu TLS 1.2, a usługa zarządzania kluczami automatycznie kontroluje cykl życia certyfikatów. Ponadto wszystkie połączenia przychodzące są ograniczone do dedykowanych klastrów równoważenia obciążenia w celu ochrony przed atakami typu denial-of-service (DOS).

Bieżące zadania są dodatkowo zabezpieczone poprzez automatyczne skanowanie kontenerów i obrazów, zapewniając, że znane luki są szybko wykrywane i korygowane, stosowane są standardowe bezpieczne pliki konfiguracyjne, a wszystkie działania są rejestrowane i poddawane audytowi.

Reakcja na zdarzenie naruszające bezpieczeństwo

Zdarzenie związane z zagrożeniem bezpieczeństwa systemu to zmiana w codziennym zarządzaniu systemem informatycznym wskazująca, że polityka bezpieczeństwa informacji, polityka dopuszczalnego użytkowania lub standardowa procedura bezpieczeństwa, reguła lub standard mogły zostać naruszone lub zapewnienie bezpieczeństwa mogło zawieść. Incydent bezpieczeństwa to naruszenie lub bezpośrednie zagrożenie naruszeniem polityk bezpieczeństwa informacji, polityk dopuszczalnego użytkowania lub standardowych procedur, zasad i standardów bezpieczeństwa, które zagrażają poufności, integralności i dostępności systemu informacyjnego lub informacji przetwarzanych, przechowywanych lub przesyłanych przez system. Wszystkie incydenty bezpieczeństwa zaczynają się jako tzw. zdarzenia bezpieczeństwa. Dopiero po zidentyfikowaniu, przeanalizowaniu i przeklasyfikowaniu zdarzenia bezpieczeństwa staje się ono incydentem bezpieczeństwa.

Polityka reagowania na incydenty bezpieczeństwa HPE GreenLake dotyczy każdego zasobu zarządzanego przez HPE GreenLake, w tym między innymi aplikacji, systemów operacyjnych, systemów zarządzania bazami danych i sieciowych systemów operacyjnych. Jest ona poddawana corocznemu przeglądowi, aktualizowana w przypadku zmiany środowiska i ma zastosowanie do wszystkich pracowników.

Po wykryciu i sklasyfikowaniu incydentu bezpieczeństwa polityka reagowania na incydenty bezpieczeństwa definiuje proces powiadamiania, przypisywania „właściciela”, selekcji, rejestrowania, śledzenia, komunikacji, sprawdzania przyczyny i rozwiązywania. Po rozwiązaniu incydentu podejmowane są kroki w celu zidentyfikowania przyczyny źródłowej, zdefiniowania środków zaradczych, aby zapobiec ponownemu wystąpieniu problemu oraz utworzenia raportu z oceny ryzyka. W zależności od ustaleń aktualizowane są szkolenia dotyczące świadomości incydentów i cała dokumentacja.

Zarządzanie lukami w zabezpieczeniach

Luka w zabezpieczeniach to teoretyczny lub udowodniony błąd w komponencie oprogramowania. Jeśli luka w zabezpieczeniach może zostać wykorzystana, może zakłócać odpowiednie przetwarzanie i może prowadzić do ujawnienia wrażliwych danych. Platforma HPE GreenLake jest monitorowana pod kątem luk w zabezpieczeniach na kilku etapach bezpiecznego SDLC. Monitorowanie obejmuje zarówno kod źródłowy, jak i aktualizację komponentów, dzięki czemu HPE GreenLake może postępować zgodnie ze standardowymi procedurami w celu szybkiego wykrywania, badania i naprawiania problemów.

Dobre praktyki dot. bezpieczeństwa

HPE GreenLake wykorzystuje liczne najlepsze praktyki w zakresie bezpieczeństwa oparte na standardach branżowych i wewnętrznych zasadach, które są stosowane we wszystkich ofertach usług HPE GreenLake, w tym na platformie HPE GreenLake. Chociaż lista ta jest zbyt długa, aby uwzględnić ją w całości, poniższe pozycje stanowią reprezentatywną próbkę:

• Ciągłe szkolenie personelu w zakresie praktyk, zasad i procedur bezpieczeństwa w zależności od roli i poziomu danej osoby.
• Korzystanie ze standardów branżowych w bezpiecznym cyklu życia oprogramowania (SDLC), aby wymagać od klientów określenia poziomów dostępu do danych, w tym kwestii bezpieczeństwa, regulacyjnych i umownych.
• Przeprowadzanie okresowych audytów bezpiecznego SDLC
• Ciągłe przeprowadzanie ocen bezpieczeństwa aplikacji i sieci naszej infrastruktury usług w chmurze hybrydowej.
• Korzystanie z planu ciągłości działania (BCP) w celu zapewnienia maksymalnej dostępności środowiska, co pozwala na spójne zarządzanie i planowanie ciągłych ocen ryzyka.
• Stosowanie silnych polityk i procedur w celu zapewnienia bezpiecznej alokacji i wykorzystania fizycznych i wirtualnych zasobów, aplikacji i infrastruktury.
• Korzystanie z systemów zarządzania kluczami szyfrującymi w celu identyfikacji i kontroli właścicieli kluczy oraz zarządzania cyklem życia kluczy.
• Stałe monitorowanie zgodności naszych środowisk programistycznych i produkcyjnych z naszymi politykami prywatności i bezpieczeństwa.
• Regularny przegląd polityk i procedur bezpieczeństwa
• Stosowanie kontroli dostępu
• Kontrola i egzekwowanie ograniczeń dostępu do systemów w oparciu o jasno określone wymagania biznesowe
• Segmentacja dostępu do danych
• Egzekwowanie możliwie najniższych poziomów uprawnień
• Uwierzytelnianie, autoryzacja i odpowiedzialność (AAA)
• Wdrożenie kontroli:
  • kontrole zapobiegawcze, wykrywające, naprawcze i kompensacyjne w celu złagodzenia skutków nieautoryzowanego dostępu.
  • Zapewnienie bezpiecznego uwierzytelniania:
    • Korzystanie z otwartych standardów uwierzytelniania najemców i systemów
    • Uwierzytelnianie wieloskładnikowe (MFA)
    • Obsługa standardów federacji tożsamości (takich jak SAML 2.O) i integracja z systemami jednokrotnego logowania (SSO) klienta.
  • Wykorzystanie narzędzi, takich jak integralność plików i sieciowe systemy zapobiegania włamaniom (IPS), a także techniki „głębokiej obrony” i utwardzone systemy operacyjne.
  • Zapewnienie interoperacyjności poprzez dostarczanie danych w formatach zgodnych ze standardami branżowymi, przesyłanych bezpiecznymi kanałami oraz przy użyciu standardowych formatów i wirtualizacji.
  • Wdrożenie i ciągłe testowanie planu reagowania na incydenty bezpieczeństwa w celu zapewnienia dokładnych procedur i procesów zarządzania incydentami.
  • Ograniczanie ryzyka w łańcuchu dostaw poprzez wdrażanie mechanizmów kontrolnych, ciągłe sprawdzanie zgodności z wymogami bezpieczeństwa informacji i ograniczanie przechowywania danych do określonych regionów geograficznych.
  • Egzekwowanie monitorowania, ograniczania i usuwania luk w zabezpieczeniach we wszystkich komponentach „open source” oraz innych firm wykorzystywanych na platformie HPE GreenLake.

Zainteresowanych tematyką zabezpieczania platformy HPE GreenLake zachęcam do pobrania dokumentu, w którym szczegółowo omówione jest to zagadnienie.