Sophos Central

backgroud-texture-bg

Sophos Central 是所有 Sophos 下一代安全解决方案的网络安全管理平台。本页详细介绍确保 Sophos Central 保持行业最受保护平台的安全措施。

Sophos Central 平台

Sophos Central 是具有高可用性的云原生应用程序。它托管于公有云平台上,例如 Amazon Web Services (AWS) 和 Microsoft Azure,可动态缩放以应对不断变化的工作载荷。

每个 Sophos Central 帐户位于一个指定地区 - 用户在创建帐户时选择其首选地区。所有客户数据锁定至所选地区,无法在地区之间传输。在每个地区,我们跨多个数据中心(可用性区域)复制,在发生基础设施级故障时提供无缝故障转移。

Sophos Central 采用广泛使用的知名行业标准软件库减轻常见漏洞(例如 OWASP Top Ten 介绍)。这使得我们能够从其面临的安全性和稳定性方面的仔细审查获益。

Sophos Central 架构

Sophos Central 使用一组用于标识和会话管理的全局服务,以及完全可缩放的区域 API 和产品服务。所有 Sophos 下一代产品通过 Sophos Central 共享威胁、运行状况和安全信息,提升防护水平。通过一个 Web 接口控制所有内容,方便日常管理。

Sophos Central Architecture

物理安全

我们对公有云提供商运行共享责任模型,为 Sophos Central 提供物理基础设施。他们负责云的安全,Sophos 负责云中的安全。

了解 AWS 共享责任模型


有关 Amazon 保护其提供的基础设施和服务所采取的措施详细信息,请参见其安全白皮书。

AWS 安全白皮书

网络安全

自动缩放虚拟网络

Sophos Central 根据所执行的各种工作负载(例如身份验证或端点管理),划分为多个逻辑上独立的虚拟网络。所有工作载荷放入自动缩放组,负载平衡器背后,这样特定工作载荷增加载荷/流量后,可以分配额外临时资源,赋予组应对载荷的能力。

网络访问控制列表

使用最小权限原则,布置安全组和网络访问控制列表。默认,任何设计用于 Sophos Central 的服务放在不接触虚拟网络外部的虚拟子网。除非有明确需要,并且 Sophos Central Infrastructure Services (CIS) 团队授予访问权,否则不给予服务与其他服务通信的权限。只有暴露在外部接口下的服务获得面向公共的接口。

数据库访问

数据库不暴露在互联网,只能在虚拟网络中访问。他们保留在单独私有子网,不接触其他 Sophos Central 基础设施。希望与数据库交互的服务必须通过数据访问层 (DAL) 进行。可以在本文的数据安全部分找到 DAL 的更多信息。

维护访问

只能通过来自 Sophos IT 基础设施内特定网络的 VPN 隧道提供 Sophos Central 的维护访问。即使具有凭据、密钥和证书,也无法在 Sophos 网络外建立隧道。

DDoS 保护

分布式拒绝服务 (DDoS) 减轻通过专用 DDoS 保护技术、自动缩放、系统监测和流量转移进行。
 

数据安全

完整性

可用性

所有数据存储在数据库集群中,至少三份。事件驱动的集群数据库和至少 3 的复制系数,确保集群中的两个数据库实例可以发生故障,数据仍将保持可用。数据驱动下,任何数据库更改立刻推送到集群的所有实例,而不是在计划上复制更改,确保即使一个实例发生故障,整个数据集仍在故障转移实例上可用。

耐用性

每个数据库实例由自己的每小时快照的存储卷支持。这些实例瞬时,仅存储卷持续。集群复制系数使我们可以破坏数据库实例,无需害怕数据丢失。可以快速解决数据库应用、操作系统等的漏洞而不会丢失数据。

Encryption

所有静止数据采用卷级加密:存储卷、对象存储和虚拟机虚拟驱动器。

对于敏感客户数据,我们采用使用每字段多部分密钥的存储卷内字段级加密。这些部分来自多个不同地点,包括密钥管理系统。每个密钥对于每个客户和每个字段是唯一的。

传输级加密用于通过证书和服务器验证,保护客户端软件与 Sophos Central 平台之间的管理通信安全。

Sophos 不存储也不发送明文 Central 帐户密码。作为激活过程的一部分,新用户注册帐户后,必须设置密码。
 

威胁防护

反恶意软件

Sophos Central 架构设计为所有计算机无用户,无需交互,允许计算机锁定和加固。计算机从原始来源打造,这部分得益于我们的安全数字代码签名过程,仅执行来自开发团队的规定软件作为创建计算机金映像的一部分。

和数据库服务器实例一样,可以随时破坏和重建包含 Sophos Central 的计算机而不丢失数据。

补丁

每三周为虚拟机金映像升级最新软件库和应用程序。任何虚拟机实例存在不超过 3 周,旧实例破坏,根据新的金映像部署新实例。

如果通过漏洞依赖性框架找到漏洞,作为漏洞响应程序的一部分,进行内部或外部测试,缺陷悬赏程序,或其他方式,打补丁或重新部署。

安全监测和响应

Sophos 的全球安全运营中心监测来自 Sophos Central 及其相关服务的所有记录数据。Sophos Central 具有鉴证功能,在发生数据外泄时快速应对事件。
 

客户控制

多重身份验证 (MFA)

所有 Sophos Central 帐户管理员在多租户合作伙伴和企业仪表板中都需要 MFA,我们目前正在为单租户仪表板注册所有 Central 管理员。MFA 注册默认为所有新 Central 帐户开启。集成选项包括通过电子邮件或短信交付 OTP,以及通过任何兼容 app 的基于时间的 OTP (TOTP)。

Role-based administration

可以将一些预定义管理角色分配给管理员,其限制对敏感日志数据访问,并阻止其更改设置和配置。
 

遥测和数据收集

网站的以下页面详细介绍我们收集和存储的数据的完整详细信息:

Sophos 组隐私政策SophosLabs 信息安全政策
 

安全更新

我们采用多种方式为客户确保软件更新的完整性:

  • 数字签名我们发布的所有二进制文件。
  • 默认设备在安全 HTTPS 会话下载更新。如果尚未使用 HTTPS 更新,管理员可以通过 Sophos Central 全局设置激活。
  • 设备接收列有需要安装的组件的清单(我们签名)。设备仅安装列表上我们签名的文件。
  • 设备无法安装我们没有批准的任何文件。