Sophos Central es la plataforma de administración de ciberseguridad para todas las soluciones de seguridad next-gen de Sophos. Esta página detalla las medidas de seguridad que garantizan que Sophos Central se mantenga como la plataforma más protegida de la industria.
Plataforma Sophos Central
Sophos Central es una aplicación nativa en la nube con una alta disponibilidad. Se aloja en plataformas en la nube pública, como Amazon Web Services (AWS) y Microsoft Azure, que se amplían de forma dinámica para adaptarse a cargas de trabajo en constante cambio.
Cada cuenta de Sophos Central está alojada en una región determinada y los usuarios seleccionan su región preferida al crear su cuenta. Todos los datos de los clientes están vinculados a la región seleccionada y no se pueden transferir entre regiones. Dentro de cada región, utilizamos la replicación en múltiples centros de datos (zonas de disponibilidad) para proporcionar una recuperación de errores sin interrupciones en el caso de fallos a nivel de infraestructura.
Sophos Central utiliza bibliotecas de software bien conocidas, ampliamente utilizadas y estándar de la industria para mitigar las vulnerabilidades más comunes (p. ej. las incluidas en el OWASP Top Ten). Esto nos permite beneficiarnos de su elevado nivel de escrutinio en lo que respecta a la seguridad y la estabilidad.
Arquitectura de Sophos Central
Sophos Central utiliza un conjunto de servicios globales para la administración de identidades y sesiones, junto con una API regional y servicios de productos completamente escalables. Todos los productos next-gen de Sophos comparten información sobre amenazas, estados y seguridad a través de Sophos Central, elevando la protección. Todo se controla a través de una sencilla interfaz web para facilitar la gestión diaria.
Seguridad física
Operamos un modelo de responsabilidad compartida con los proveedores de la nube pública que proporcionan la infraestructura física para Sophos Central. Ellos son responsables de la seguridad de la nube y Sophos es responsable de la seguridad en la nube.
Consulte el monográfico de seguridad de Amazon para detalles sobre las medidas que adopta para proteger la infraestructura y los servicios que ofrece.
Seguridad de redes
Redes virtuales de escalado automático
Sophos Central está segmentado en una serie de redes virtuales separadas lógicamente tomando como base las distintas cargas de trabajo que ejecutan (como la autenticación o la gestión de endpoints). Todas las cargas de trabajo se ubican en grupos de escalado automático, detrás de un equilibrador de carga, de modo que cuando una carga de trabajo en particular detecta un aumento de la carga o el tráfico, es posible asignar recursos temporales adicionales para darle al grupo la capacidad necesaria para manejar la carga.
Listas de control de acceso a la red
Hay implementados grupos de seguridad y listas de control de acceso a la red utilizando el principio del mínimo privilegio. Por defecto, cualquier servicio creado para usarse en Sophos Central se coloca en una subred privada no expuesta al exterior de la red virtual. Adicionalmente, los servicios no tienen permiso para hablar con otros servicios salvo que sea explícitamente necesario y el equipo de Sophos Central Infrastructure Services (CIS) haya concedido el acceso. Solo a los servicios que deben exponer una interfaz externa se les da una interfaz pública.
Acceso a bases de datos
Las bases de datos no están expuestas a Internet y solo son accesibles dentroe la red virtual. Se mantienen en subredes privadas separadas de la infraestructura restante de Sophos Central. Los servicios que desean interactuar con una base de datos deben hacerlo a través de la capa de acceso a datos (DAL). Consulte la sección Seguridad de datos en este documento para obtener más información sobre la capa de acceso a datos.
Acceso de mantenimiento
El acceso de mantenimiento a Sophos Central está solo disponible a través de un túnel VPN con origen en una red específica dentro de la infraestructura de TI de Sophos. El túnel no puede establecerse fuera de la red de Sophos, ni siquiera con credenciales, claves y certificados.
Protecciones DDoS
Las mitigaciones de ataques de denegación de servicio distribuidos (DDoS) utilizan tecnologías de protección contra DDoS específicas, escalado automático, monitorización del sistema y desbordamiento de tráfico.
Seguridad de datos
Integridad
Disponibilidad
Todos los datos se guardan en clústeres de bases de datos que, como mínimo, están triplicados. La replicación en clúster basada en eventos, con un factor de replicación de por lo menos tres, garantiza que aunque fallen dos instancias de la base de datos en nuestro clúster, los datos siguen estando disponibles. Al estar basada en eventos, cualquier cambio en la base de datos se impone inmediatamente a las demás instancias en el clúster, en lugar de que los cambios se repliquen de forma programada, lo que garantiza que, en caso de fallo de una instancia, el conjunto completo de datos siga disponible en las instancias de recuperación de errores.
Durabilidad
Cada instancia de una base de datos es respaldada con un volumen de almacenamiento propio del que se toma una instantánea cada hora. Estas instancias son transitorias, siendo persistentes solo los volúmenes de almacenamiento. Esto nos permite destruir instancias de la base de datos sin miedo a perder datos gracias a los factores de replicación de los clústeres. Las vulnerabilidades en aplicaciones de bases de datos, sistemas operativos, etc., pueden resolverse rápidamente sin pérdida de datos.
Cifrado
Todos los datos en reposo se cifran utilizando un cifrado a nivel de volumen: volúmenes de almacenamiento, almacenamiento de objetos y unidades virtuales de equipos virtuales.
Para los datos sensibles de los clientes, utilizamos un cifrado a nivel de campo dentro de los volúmenes de almacenamiento utilizando una clave de varias partes por campo. Estas partes se forman desde distintas ubicaciones, incluyendo un sistema de gestión de claves. Cada clave es exclusiva a cada cliente y a cada campo.
El cifrado a nivel de transporte se utiliza para proteger la comunicación de gestión entre el software cliente y la plataforma Sophos Central mediante certificados y validación de servidor.
Sophos nunca almacena ni envía las contraseñas de las cuentas de Central en texto plano. Cuando un usuario nuevo se registra para crear una cuenta, debe configurar una contraseña como parte del proceso de activación.
Protección contra amenazas
Antimalware
La arquitectura de Sophos Central está diseñada de forma que todos los equipos sean autónomos, sin requerir ningún tipo de intervención, y con la posibilidad de bloquearlos y reforzarlos. Los equipos se crean a partir de fuentes en perfecto estado, en parte gracias a nuestro proceso seguro de firma de código digital, y solo ejecutan el software prescrito por nuestro equipo de desarrollo como parte de la creación de la imagen maestra de la máquina.
Al igual que ocurre con las instancias de servidor de base de datos, los equipos que componen Sophos Central pueden destruirse y volver a crearse en cualquier momento sin pérdida de datos.
Aplicación de parches
Las imágenes maestras de los equipos virtuales se actualizan con las bibliotecas de software y las aplicaciones más recientes cada tres semanas. Ninguna instancia de equipo virtual existe más de tres semanas, destruyéndose las instancias antiguas y desplegándose instancias nuevas basadas en las nuevas imágenes maestras.
En caso de detectarse una vulnerabilidad a través del marco de dependencia de vulnerabilidades, pruebas internas o externas, programas de recompensas por la detección de errores u otros medios, el parcheado y el redespliegue tienen lugar como parte del programa de respuesta a vulnerabilidades.
Monitorización de la seguridad y respuesta
El centro de operaciones de seguridad global de Sophos monitoriza todos los datos de registro de Sophos Central y sus servicios relacionados. Sophos Central tiene capacidades de análisis forense en caso de filtraciones de datos para una respuesta ante incidentes rápida.
Controles de los clientes
Autenticación multifactor (MFA)
La autenticación multifactor es necesaria para todos los administradores de cuenta de Sophos Central en nuestros paneles de control de Enterprise y Partner de múltiples inquilinos, y actualmente estamos inmersos en el proceso de inscribir a todos los administradores de Central en paneles de control de un solo inquilino. La inscripción con MFA está activada por defecto para todas las cuentas nuevas de Central. Las opciones integradas actualmente incluyen la OTP enviada por correo electrónico o SMS, así como la OTP basada en tiempo (TOTP) a través de cualquier aplicación compatible.
Administración delegada
Es posible asignar a los administradores una serie de funciones administrativas predefinidas para restringir el acceso a datos de registro sensibles, así como para evitar que realicen cambios en los ajustes y las configuraciones.
Telemetría y recopilación de datos
Todos los datos que recopilamos y almacenamos se detallan en las siguientes páginas de nuestro sitio web:
Actualizaciones seguras
Garantizamos la integridad de nuestras actualizaciones de software para nuestros clientes de distintas formas:
- Firmamos digitalmente todos los archivos binarios que publicamos.
- Los dispositivos realizan las descargas por defecto mediante una sesión HTTPS segura. Si no están utilizando ya la actualización mediante HTTPS, el administrador puede activarla en la configuración global en Sophos Central.
- Los dispositivos reciben un manifiesto (firmado por nosotros) que enumera los componentes que deben instalar. Los dispositivos instalan solamente los archivos que figuran en la lista y que están firmados por nosotros.
- Los dispositivos no pueden instalar ningún archivo que no hayamos aprobado.