Sophos Central

Sophos Trust Center

Sophos Central è la piattaforma di gestione unificata per tutte le soluzioni di cybersecurity Next-Gen di Sophos. Su questa pagina trovi una descrizione dettagliata di tutte le misure di protezione che implementiamo per fare in modo che Sophos Central sia e rimanga la piattaforma più sicura del settore.

La piattaforma Sophos Central

Sophos Central è un’applicazione nativa del cloud con elevata affidabilità. È ospitata su piattaforme cloud pubbliche, come Amazon Web Services (AWS) e Microsoft Azure, che offrono scalabilità dinamica e si adattano a workload in continua evoluzione.

Ogni account Sophos Central è ospitato in un’area geografica specifica: gli utenti la selezionano durante il processo di creazione dell’account. Tutti i dati dei clienti vengono isolati all’interno dell’area geografica selezionata e non possono essere trasferiti altrove. In ogni area geografica implementiamo la replica su più data center (aree di disponibilità) per garantire failover senza soluzione di continuità, qualora si verificassero interruzioni di servizio a livello di singole infrastrutture.

Sophos Central impiega librerie software note e utilizzate a livello globale, nonché conformi agli standard di settore, per mitigare le vulnerabilità più comuni (ad es. quelle segnalate nella OWASP Top Ten). Questo ci permette di usufruire del loro elevato livello di meticolosità in termini di sicurezza e stabilità.

L’architettura di Sophos Central

Sophos Central utilizza un insieme di servizi globali per la gestione delle identità e delle sessioni, oltre a servizi locali completamente scalabili per API e prodotti. Tutti i prodotti next-gen di Sophos sfruttano Sophos Central per condividere in tempo reale informazioni sulle minacce, sullo stato di integrità dei sistemi e sulla sicurezza, incrementando così il livello di protezione. L’intero sistema è controllato da una singola interfaccia web, per una gestione quotidiana semplificata.

Sicurezza fisica

Adottiamo un modello di responsabilità condivisa con i provider di servizi cloud pubblici che forniscono l’infrastruttura fisica di Sophos Central. I provider si assumono la responsabilità della protezione del cloud stesso, mentre Sophos si impegna a proteggere i contenuti all’interno del cloud.

Per informazioni dettagliate sulle misure adottate da Amazon per proteggere l’infrastruttura e i servizi, leggi il whitepaper di Amazon sulla sicurezza.

Protezione della rete

Auto scaling per le reti virtuali

Sophos Central è segmentata in varie reti virtuali e separate in maniera logica in base ai diversi workload (ad esempio autenticazione o gestione degli endpoint). Tutti i workload vengono quindi inseriti in gruppi di auto scaling, dietro un sistema di bilanciamento del carico. In questo modo, se si dovesse verificare un aumento del carico o del traffico per un workload specifico, sarà possibile assegnare ulteriori risorse temporanee per incrementare la capacità del gruppo e gestirne il carico.

Elenchi di controllo degli accessi alla rete

Implementiamo gruppi di protezione ed elenchi di controllo degli accessi alla rete, utilizzando il principio dell’assegnazione di meno privilegi possibili. Per impostazione predefinita, qualsiasi servizio progettato per l’uso con Sophos Central viene collocato su una subnet privata, che non è raggiungibile dall’esterno della rete virtuale. Inoltre, i servizi non possono comunicare con altri servizi, a meno che non sia strettamente necessario, nel qual caso l’accesso deve essere autorizzato in maniera esplicita dal team Sophos Central Infrastructure Services (CIS). Solo i servizi che devono mostrare un’interfaccia esterna sono autorizzati ad avere un’interfaccia pubblica.

Accesso al database

I database non sono accessibili da Internet, ma solo dall’interno della rete virtuale. Vengono conservati in subnet private e indipendenti dal resto dell’infrastruttura di Sophos Central. I servizi che richiedono l’interazione con un database devono utilizzare il livello di accesso ai dati (DAL). Per maggiori informazioni sul DAL, vedi la sezione di questo documento dedicata alla Protezione dei dati.

Accesso di manutenzione

L’accesso di manutenzione a Sophos Central è disponibile solo tramite un tunnel VPN avente origine in una rete specifica all’interno dell’infrastruttura informatica di Sophos. Il tunnel non può essere stabilito all’esterno della rete di Sophos, neppure se vengono forniti credenziali, chiavi e certificati.

Protezione contro gli attacchi DDoS

La mitigazione degli attacchi Distributed Denial of Service (DDoS) viene svolta con tecnologie dedicate di protezione contro DDoS, più auto scaling, monitoraggio del sistema e riduzione del traffico.

Protezione dei dati

Integrità

Disponibilità

Tutti i dati sono memorizzati in cluster di data base che vengono, come minimo, triplicati. La replica in cluster basata sugli eventi, con un fattore minimo di replicazione pari a tre, garantisce la disponibilità dei dati anche in caso di interruzione del servizio su due database del cluster. Poiché le dinamiche sono guidate dagli eventi, qualsiasi cambio di database non viene replicato in base a una pianificazione, bensì è implementato immediatamente su tutte le istanze del cluster. In questo modo, anche se un’istanza dovesse risultare non disponibile, il completo set di dati sarà disponibile sulle istanze di failover.

Durabilità

Ogni istanza di un database è supportata con un volume di archiviazione indipendente, per il quale viene creato uno snapshot ogni ora. Queste istanze sono temporanee, solo i volumi di archiviazione sono permanenti. Possiamo così eliminare in maniera permanente qualsiasi istanza di database senza rischio di perdita dei dati, grazie ai fattori di replicazione dei cluster. Pertanto, eventuali vulnerabilità in applicazioni di database, sistemi operativi ecc. possono essere risolte rapidamente, senza perdere alcun dato.

Prodotti di cifratura

Tutti i dati inattivi vengono crittografati con cifratura a livello di volume: volumi di archiviazione, archiviazione di oggetti e unità virtuali di virtual machine.

Per i dati sensibili dei clienti, impieghiamo una cifratura a livello di campo all’interno dei volumi di archiviazione, utilizzando una chiave multiparte per i singoli campi. Le parti della chiave vengono formate da diverse posizioni e includono un sistema di gestione delle chiavi. Ogni chiave è univoca per ciascun cliente e campo.

Per proteggere le comunicazioni di gestione tra il software client e la piattaforma Sophos Central, viene utilizzata la cifratura a livello di trasporto, con convalida dei certificati e del server.

Sophos non memorizza e non invia mai password degli account a Central senza cifrarle. Quando un nuovo utente crea un account, viene richiesta l’impostazione di una password come parte del processo di attivazione.

Protezione contro le minacce

Antimalware

Sophos Central è strutturata in modo da rendere i computer indipendenti dall’interazione degli utenti; inoltre, permette di isolare e applicare protezione avanzata ai dispositivi. I computer vengono compilati utilizzando origini pulite, grazie in parte al nostro processo di firma digitale del codice, ed eseguono solamente il software specificato dal nostro team di sviluppatori come parte del processo di creazione dell’immagine gold del computer.

Analogamente a quanto succede per le istanze server, i computer Sophos Central possono essere formattati permanentemente e ricompilati in qualsiasi momento, senza il rischio di perdere i dati.

Patch

Le immagini gold delle virtual machine vengono aggiornate con le librerie software e le applicazioni più recenti ogni tre settimane. Nessuna istanza di virtual machine ha una vita superiore a tre settimane: le istanze meno recenti sono eliminate e al loro posto vengono distribuite nuove istanze basate sulle nuove immagini gold.

Se una vulnerabilità dovesse essere rilevata grazie a framework delle dipendenze della vulnerabilità, test interni o esterni, programmi che mettono in palio premi per l’identificazione di bug, o altri mezzi, provvederemo ad applicare patch e a eseguire la ridistribuzione come parte del piano di risposta alle vulnerabilità.

Monitoraggio della sicurezza e risposta

Il Security Operations Center globale di Sophos monitora tutti i dati dei log di Sophos Central e dei servizi correlati. Sophos Central offre opzioni di indagine approfondita in caso di violazione dei dati, permettendoci di rispondere tempestivamente agli incidenti.

Controlli per i clienti

Autenticazione a due fattori (Multi-Factor Authentication, MFA)

L’MFA è obbligatoria per tutti gli amministratori degli account Sophos Central nelle nostre dashboard multitenant Partner ed Enterprise; stiamo attualmente lavorando per includere tutti gli amministratori di Central per le dashboard a tenant singolo. La registrazione per l’MFA è attiva per impostazione predefinita in tutti i nuovi account Central. Le opzioni integrate includono al momento OTP (password monouso) inviate tramite e-mail o SMS e TOTP (password monouso a tempo) con qualsiasi app compatibile.

Amministrazione basata sui ruoli

Sono disponibili ruoli di amministrazione predefiniti che possono essere assegnati agli amministratori per limitare l’accesso ai dati di log di natura sensibile e per impedire la modifica non autorizzata di impostazioni e configurazioni.

Telemetria e raccolta di dati

Per informazioni dettagliate sui dati che raccogliamo e memorizziamo, visita le seguenti pagine del nostro sito web:

Aggiornamenti sicuri

Al fine di garantire l’integrità dei nostri aggiornamenti del software per i clienti, adottiamo diverse misure:

  • Firmiamo digitalmente tutti i file binari che pubblichiamo.
  • I dispositivi scaricano gli aggiornamenti utilizzando una sessione HTTPS protetta per impostazione predefinita. Se non si utilizzano già gli aggiornamenti tramite HTTPS, l’amministratore può attivarli dalle Impostazioni globali in Sophos Central.
  • I dispositivi ricevono un file manifest (firmato da noi) che elenca i componenti da installare. I dispositivi installano solo i file che si trovano in questo elenco e che sono firmati da noi.
  • I dispositivi non possono installare alcun file che non abbiamo approvato.