Sophos Central

Sophos Trust Center

Sophos Central ist die Cybersecurity-Management-Plattform für alle Sophos-Next-Gen-Sicherheitslösungen. Auf dieser Seite finden Sie Details zu den Sicherheitsmaßnahmen, die Sophos Central zur bestens geschützten Plattform der Branche machen.

Sophos Central Plattform

Sophos Central ist eine Cloud-native Anwendung mit hoher Verfügbarkeit. Sie wird auf Public-Cloud-Plattformen wie Amazon Web Services (AWS) und Microsoft Azure gehostet, die dynamisch skaliert werden können, um fluktuierende Arbeitslasten zu bewältigen.

Jedes Sophos-Central-Konto wird in einer bestimmten Region gehostet – Benutzer wählen beim Erstellen ihres Kontos ihre bevorzugte Region aus. Alle Kundendaten können nur innerhalb der ausgewählten Region und nicht in andere Regionen übertragen werden. In jeder Region replizieren wir Daten in mehreren Rechenzentren (Verfügbarkeitszonen), um bei Ausfällen auf Infrastrukturebene ein nahtloses Failover zu ermöglichen.

Zur Bekämpfung gängiger Schwachstellen in Sophos Central nutzen wir gängige, branchenübliche Software-Libraries (z. B. in den OWASP Top Ten beschriebene). So profitieren wir von dem hohen Kontrollniveau, dem diese hinsichtlich Sicherheit und Stabilität ausgesetzt sind.

Architektur von Sophos Central

Neben vollständig skalierbaren, regionalen API- und Produktservices nutzt Sophos Central eine Reihe globaler Dienste zum Identitäts- und Sitzungsmanagement. Alle Sophos Next-Gen-Produkte tauschen über Sophos Central Bedrohungs-, Integritäts- und Sicherheitsdaten aus und bieten damit noch besseren Schutz. Um die tägliche Verwaltung zu erleichtern, wird alles über eine zentrale Web-Oberfläche gesteuert.

Physische Sicherheit

Wir betreiben ein Shared-Responsibility-Modell mit den Public-Cloud-Anbietern, die die physische Infrastruktur für Sophos Central bereitstellen. Die Anbieter sind für die Sicherheit der Cloud selbst verantwortlich und Sophos für die Sicherheit in der Cloud.

Einzelheiten zu den Maßnahmen, die Amazon zum Schutz seiner Infrastruktur und Services ergreift, finden Sie im folgenden Security Whitepaper.

Netzwerksicherheit

Automatische Skalierung virtueller Netzwerke

Sophos Central ist auf Grundlage der verschiedenen Workloads (wie Authentifizierung oder Endpoint-Verwaltung) in mehrere logisch getrennte virtuelle Netzwerke unterteilt. Alle Workloads werden dann in Auto-Scaling-Gruppen hinter einem Load Balancer platziert. Wenn ein bestimmter Workload eine erhöhte Last/vermehrten Datenverkehr verzeichnet, können so zusätzliche temporäre Ressourcen zugewiesen werden, damit die Gruppe die nötigen Kapazitäten zur Bewältigung der Last erhält.

„Network Access Control“-Listen

Sicherheitsgruppen und „Network Access Control“-Listen werden nach dem „Principle of Least Privilege“ eingerichtet. Standardmäßig wird jeder Dienst, der für die Verwendung in Sophos Central erstellt wurde, in einem privaten Subnetz platziert, das nur innerhalb des virtuellen Netzwerks zugänglich ist. Darüber hinaus dürfen Dienste nur dann untereinander kommunizieren, wenn dies ausdrücklich erforderlich ist und der Zugriff vom Sophos Central Infrastructure Services (CIS) Team gewährt wurde. Nur Dienste, die eine externe Schnittstelle bereitstellen müssen, erhalten eine öffentlich zugängliche Schnittstelle.

Datenbankzugriff

Datenbanken sind nicht über das Internet zugänglich, sondern nur innerhalb des virtuellen Netzwerks abrufbar. Sie werden in separaten, privaten Subnetzen von der übrigen Sophos-Central-Infrastruktur getrennt. Eine Interaktion von Diensten mit einer Datenbank ist nur über den Data Access Layer (DAL) möglich. Weitere Informationen über den DAL finden Sie unter „Datensicherheit“.

Wartungszugriff

Der Wartungszugriff auf Sophos Central ist nur über einen VPN-Tunnel möglich, der von einem bestimmten Netzwerk innerhalb der IT-Infrastruktur von Sophos erstellt wird. Der Tunnel kann nicht außerhalb des Netzwerks von Sophos eingerichtet werden, auch nicht mit entsprechenden Anmeldeinformationen, Schlüsseln und Zertifikaten.

DDoS-Schutz

DDoS-Maßnahmen (Distributed Denial of Service) werden über dedizierte DDoS-Schutztechnologien, automatische Skalierung, Systemüberwachung und Traffic Shedding getroffen.

Datensicherheit

Integrität

Verfügbarkeit

Alle Daten werden in Datenbank-Clustern gespeichert, die in mindestens dreifacher Ausführung vorhanden sind. Die ereignisgesteuerte Cluster-Replikation mit einem Replikationsfaktor von mindestens drei stellt sicher, dass zwei Datenbank-Instanzen in unserem Cluster ausfallen können und die Daten weiterhin verfügbar bleiben. Da alle Datenbankänderungen ereignisgesteuert sind, werden sie sofort an alle Instanzen im Cluster übertragen, anstatt die Änderungen nach einem Zeitplan zu replizieren. Dadurch wird sichergestellt, dass selbst bei einem Ausfall einer Instanz das vollständige Dataset auf Failover-Instanzen verfügbar ist.

Strapazierfähigkeit

Jede Instanz einer Datenbank wird mit einem eigenen Speicher-Volume unterstützt, von dem stündlich eine Momentaufnahme erstellt wird. Diese Instanzen sind vorübergehend, wobei nur die Speicher-Volumes bestehen bleiben. So sind wir in der Lage, Datenbankinstanzen dank der Cluster-Replikationsfaktoren ohne Datenverlust-Risiken zu löschen. Schwachstellen in Datenbankanwendungen, Betriebssystemen usw. können schnell und ohne Datenverluste behoben werden.

Verschlüsselung

Alle ruhenden Daten werden durch Verschlüsselung auf Volume-Ebene verschlüsselt: Speicher-Volumes, Objektspeicher und virtuelle Laufwerke virtueller Maschinen.

Für sensible Kundendaten nutzen wir eine Verschlüsselung auf Feldebene innerhalb von Speicher-Volumes unter Verwendung eines mehrteiligen Schlüssels pro Feld. Diese Teile werden aus mehreren verschiedenen Orten, einschließlich eines Schlüsselverwaltungssystems, gebildet. Jeder Schlüssel ist für jeden Kunden und jedes Feld einzigartig.

Die Verschlüsselung auf Übertragungsebene dient zur Sicherung der Verwaltungskommunikation zwischen der Client-Software und der Sophos Central Plattform über Zertifikate und Server-Validierung.

Sophos speichert und sendet Passwörter für Central-Konten niemals im Nur-Text-Format. Wenn sich ein neuer Benutzer für ein Konto anmeldet, muss er im Rahmen des Aktivierungsprozesses ein Passwort festlegen.

Bedrohungsschutz

Anti-Malware

Sophos Central ist so konzipiert, dass alle Maschinen benutzerlos sind, keine Interaktion erfordern und gesperrt und gehärtet werden können. Maschinen werden komplett neu aufgesetzt, was zum Teil auf unseren sicheren digitalen Code-Signaturprozess zurückzuführen ist, und führen nur die vorgeschriebene Software aus unserem Entwicklungsteam aus, um das Gold Image der Maschine zu erstellen.

Wie bei Datenbankserver-Instanzen können Maschinen, auf denen Sophos Central ausgeführt wird, jederzeit ohne Datenverlust gelöscht und neu erstellt werden.

Patching

Die Gold Images für virtuelle Maschinen werden alle drei Wochen mit den neuesten Software-Libraries und -Anwendungen aktualisiert. Keine virtuelle Maschineninstanz existiert mehr als drei Wochen. Alte Instanzen werden gelöscht und neue Instanzen basierend auf den neuen Gold Images bereitgestellt.

Sollte eine Schwachstelle über das Vulnerability Dependency Framework, interne oder externe Tests, das Bug-Bounty-Programm oder andere Kanäle gefunden werden, finden im Rahmen des Programms zur Reaktion auf Schwachstellen Patches und erneute Bereitstellungen statt.

Security Monitoring und Reaktion

Das globale Security Operations Center von Sophos überwacht alle Protokolldaten von Sophos Central und zugehörigen Diensten. Um bei einer Datenpanne schnelle Reaktionsmaßnahmen gewährleisten zu können, verfügt Sophos Central über Forensik-Funktionen.

Kundenkontrollen

Mehrstufige Authentifizierung (MFA)

MFA ist für alle Sophos-Central-Kontoadministratoren in unseren mandantenfähigen Partner- und Enterprise-Dashboards erforderlich und wir registrieren derzeit alle Central-Administratoren für Einzelmandanten-Dashboards. Eine MFA-Registrierung ist bei allen neuen Central-Konten standardmäßig aktiviert. Zu den integrierten Optionen gehören derzeit OTP per E-Mail oder SMS sowie zeitbasiertes OTP (TOTP) über jede kompatible App.

Rollenbasierte Administration

Administratoren können eine Reihe von vordefinierten Administrator-Rollen zugewiesen werden, die den Zugriff auf vertrauliche Protokolldaten beschränken und verhindern, dass sie Änderungen an Einstellungen und Konfigurationen vornehmen.

Telemetrie und Datenerfassung

Ausführliche Informationen zu den von uns erhobenen und gespeicherten Daten finden Sie auf den folgenden Seiten unserer Website:

Sichere Updates

Wir gewährleisten die Integrität unserer Software-Updates für Kunden mit folgenden Maßnahmen:

  • Wir signieren alle Binärdateien, die wir veröffentlichen, digital.
  • Geräte laden Updates standardmäßig über eine sichere HTTPS Session herunter. Falls noch keine HTTPS-Updates eingerichtet sind, kann der Administrator diese über „Globale Einstellungen“ in Sophos Central aktivieren.
  • Geräte erhalten eine (von uns signierte) Manifestdatei, in der die zu installierenden Komponenten aufgelistet sind. Geräte installieren nur aufgelistete und von uns signierte Dateien.
  • Geräte können keine Dateien installieren, die wir nicht genehmigt haben.