Sophos Central

Sophos Trust Center

O Sophos Central é a plataforma de gerenciamento de segurança cibernética para todas as soluções de segurança Sophos Next-Gen. Esta página detalha as medições de segurança que fazem do Sophos Central a plataforma mais bem protegida do mercado.

Plataforma Sophos Central

O Sophos Central é um aplicativo nativo da nuvem com alta disponibilidade. Ele é hospedado em plataformas de nuvem pública, como Amazon Web Services (AWS) e Microsoft Azure, que usam o dimensionamento dinâmico para se alinhar com o ritmo acelerado das incessantes mudanças nas cargas de trabalho.

Cada conta do Sophos Central é armazenada em uma região específica – os usuários escolhem suas regiões preferidas ao criar uma conta. Os dados de todos os clientes são associados com a região escolhida e não podem ser transferidos entre regiões. Em cada uma das regiões, usamos a replicação entre vários datacenters (zonas de disponibilidade) para oferecer failover dinâmico na eventualidade de falhas de infraestrutura.

O Sophos Central usa bibliotecas de software renomadas e amplamente utilizadas que seguem os padrões da indústria para a correção de vulnerabilidades comuns (como no OWASP Top Ten, por exemplo). Com isso podemos no beneficiar do alto nível de escrutínio que enfrentam em termos de segurança e estabilidade.

Arquitetura do Sophos Central

O Sophos Central usa um conjunto de serviços globais para o gerenciamento de identidade e sessão, juntamente com API regional totalmente escalável e serviços de produtos. Todos os produtos Sophos Next-Gen compartilham informações sobre ameaças, integridade e segurança através do Sophos Central, aumentando a sua proteção. Tudo é controlado através de uma única interface na Web, oferecendo um gerenciamento facilitado para o dia a dia.

Segurança física

Operamos um modelo de responsabilidade compartilhada com os provedores de nuvem pública que fornecem a infraestrutura física para o Sophos Central. Eles são responsáveis pela segurança da nuvem e a Sophos é responsável pela segurança na nuvem.

Para obter detalhes sobre as etapas que a Amazon segue para proteger a infraestrutura e os serviços que oferece, consulte o documento técnico sobre segurança.

Segurança de rede

Redes virtuais autodimensionáveis

O Sophos Central é segmentado em diferentes redes virtuais separadas logicamente com base nas variadas cargas de trabalho que desempenham (como autenticação ou gerenciamento de endpoint). Todas as cargas de trabalho são alocadas em grupos autodimensionáveis, por trás de um balanceador de carga, de modo que quando uma carga de trabalho em particular observa o aumento em carga/tráfego, recursos temporários adicionais podem ser alocados para dar ao grupo a capacidade de lidar com a carga.

Listas de controle de acesso à rede

Grupos de segurança e listas de controle de acesso à rede são dispostas usando o princípio do privilégio mínimo. Por padrão, qualquer serviço criado para ser usado com o Sophos Central é colocado em uma sub-rede privada que não é exposta fora da rede virtual. Além disso, os serviços não recebem permissão para conversar com outros serviços a menos que seja explicitamente necessário e que o acesso tenha sido concedido pela equipe do Sophos Central Infrastructure Services (CIS). Apenas aos serviços que precisam expor uma interface externa é dada uma interface voltada ao público.

Acesso a banco de dados

Os bancos de dados não são expostos à Internet, mas apenas acessíveis dentro da rede virtual. Eles são mantidos em sub-redes privadas separadas da outra infraestrutura do Sophos Central. Os serviços que queiram interagir com um banco de dados devem fazê-lo através de uma DAL (Data Access Layer). Você encontrará mais informações sobre a camada DAL na seção de Segurança de dados deste documento.

Acesso de manutenção

O acesso de manutenção do Sophos Central só está disponível através de um túnel VPN originado de uma rede específica na infraestrutura de TI da Sophos. O túnel não pode ser estabelecido fora da rede da Sophos mesmo com credenciais, chaves e certificados.

Proteções contra DDoS

A mitigação de negação de serviço distribuído (DDoS) é feita utilizando-se tecnologias de proteção DDoS, autodimensionamento, monitoramento de sistema e desvio de tráfego.

Segurança de dados

Integridade

Disponibilidade

Todos os dados são armazenados em clusters do banco de dados que são, no mínimo, triplicados. A replicação em cluster direcionada pelo evento, com um fator de replicação de pelo menos três, garante que duas instâncias do banco de dados em nosso cluster podem falhar e que, ainda assim, os dados permanecerão disponíveis. Por ser direcionada por evento, qualquer mudança no banco de dados é enviada imediatamente a todas as instâncias no cluster – em vez de a mudança ser replicada em um agendamento –, garantindo que, mesmo quando uma instância falha, o conjunto de dados completo fica disponível nas instâncias de failover.

Durabilidade

Cada instância de um banco de dados é suportada por seu próprio volume de armazenamento, do qual capturamos um instantâneo de hora em hora. Essas instâncias são transientes e apenas os volumes de armazenamento persistem. Isso permite que destruamos instâncias de bancos de dados sem medo de perder dados, graças aos fatores de replicação do cluster. Vulnerabilidades em aplicativos de bancos de dados, sistemas operacionais, etc. podem ser tratadas rapidamente sem perda de dados.

Criptografia

Todos os dados em repouso são criptografados usando criptografia no nível do volume: volumes de armazenamento, armazenamento de objeto e unidades de discos virtuais de máquinas virtuais.

Para dados confidenciais de cliente, usamos criptografia no nível de campo em volumes de armazenamento usando uma chave multipartes por campo. Essas partes são formadas a partir de vários locais diferentes, incluindo um sistema de gerenciamento de chave. Cada chave é exclusiva para cada cliente e cada campo.

A criptografia no nível de transporte é usada para proteger a comunicação de gerenciamento entre o software cliente e a plataforma do Sophos Central por meio de certificados e validação do servidor.

A Sophos nunca armazena nem envia senhas de contas do Central em texto simples sem formatação. Quando um novo usuário cadastra uma conta, ele deve criar uma senha como parte do processo de ativação.

Proteção contra ameaças

Anti-malware

O Sophos Central é projetado de modo que todas as máquinas sejam independentes do usuário – não requerem interação; isso permitindo que as máquinas sejam bloqueadas e protegidas. As máquinas são criadas a partir de fontes primitivas, em parte graças ao nosso processo de assinatura de código digital seguro, e apenas executam o software prescrito por nossa equipe de desenvolvimento como parte da criação da imagem dourada da máquina.

Como com as instâncias de servidor de banco de dados, as máquinas que compreendem o Sophos Central podem ser destruídas e recriadas a qualquer momento, sem perda de dados.

Patches

As imagens douradas para máquinas virtuais são atualizadas com as recentes bibliotecas de softwares e aplicativos a cada três semanas. Nenhuma instância de máquina virtual existe por mais de três semanas, e as instâncias antigas são destruídas e as novas instâncias são criadas baseadas nas imagens douradas.

Caso seja encontrada uma vulnerabilidade por meio da estrutura de dependência de vulnerabilidades, testes internos ou externos, programa de recompensa por bugs ou outros meios, os patches e a reimplantação ocorrem como parte do programa de resposta a vulnerabilidades.

Monitoramento de segurança e resposta

O Centro de Operações de Segurança Global da Sophos monitora todos os dados de log do Sophos Central e seus serviços relacionados. O Sophos Central tem capacidades forenses para a eventualidade de uma violação de dados para a resposta rápida a incidentes.

Controles do cliente

Autenticação multifator (MFA)

A MFA é obrigatória para todos os administradores de contas do Sophos Central em nossos painéis Partner e Enterprise multilocatários; no momento, estamos trabalhando no processo de incorporar todos os administradores do Central em painéis de locatário único. Por padrão, o registro MFA está sempre ativado para todas as contas novas do Central. Opções integradas atualmente incluem OTP entregue por e-mail ou mensagem SMS, bem como OTP com base em tempo (TOTP) através de aplicativos compatíveis.

Administração baseada em função

Várias funções administrativas predefinidas podem ser atribuídas a administradores que restringem o acesso a dados de log confidencias, bem como evitam que façam alterações a parâmetros e configurações.

Telemetria e coleta de dados

Detalhes completos sobre os dados que coletamos e armazenamos estão descritos nas seguintes páginas do nosso site:

Atualização protegida

Garantimos a integridade das nossas atualizações de software para os clientes de diferentes formas:

  • Assinamos digitalmente todos os arquivos binários que publicamos.
  • Por padrão, os dispositivos baixam atualizações por uma sessão HTTPS segura. Se ainda não estiver usando a atualização por HTTPS, o administrador pode ativá-la nas Configurações Globais do Sophos Central.
  • Os dispositivos recebem um manifesto (assinado por nós) que lista os componentes que precisam instalar. Os dispositivos instalam somente arquivos que estão na lista e que são assinados por nós.
  • Os dispositivos não podem instalar arquivos que não tenhamos aprovado.