Sophos Central
Sophos Central 是所有 Sophos 下一代安全解决方案的网络安全管理平台。本页详细介绍确保 Sophos Central 保持行业最受保护平台的安全措施。
Sophos Central 平台
Sophos Central 是具有高可用性的云原生应用程序。它托管于公有云平台上,例如 Amazon Web Services (AWS) 和 Microsoft Azure,可动态缩放以应对不断变化的工作载荷。
每个 Sophos Central 帐户位于一个指定地区 - 用户在创建帐户时选择其首选地区。所有客户数据锁定至所选地区,无法在地区之间传输。在每个地区,我们跨多个数据中心(可用性区域)复制,在发生基础设施级故障时提供无缝故障转移。
Sophos Central 采用广泛使用的知名行业标准软件库减轻常见漏洞(例如 OWASP Top Ten 介绍)。这使得我们能够从其面临的安全性和稳定性方面的仔细审查获益。
网络安全
自动缩放虚拟网络
Sophos Central 根据所执行的各种工作负载(例如身份验证或端点管理),划分为多个逻辑上独立的虚拟网络。所有工作载荷放入自动缩放组,负载平衡器背后,这样特定工作载荷增加载荷/流量后,可以分配额外临时资源,赋予组应对载荷的能力。
网络访问控制列表
使用最小权限原则,布置安全组和网络访问控制列表。默认,任何设计用于 Sophos Central 的服务放在不接触虚拟网络外部的虚拟子网。除非有明确需要,并且 Sophos Central Infrastructure Services (CIS) 团队授予访问权,否则不给予服务与其他服务通信的权限。只有暴露在外部接口下的服务获得面向公共的接口。
数据库访问
数据库不暴露在互联网,只能在虚拟网络中访问。他们保留在单独私有子网,不接触其他 Sophos Central 基础设施。希望与数据库交互的服务必须通过数据访问层 (DAL) 进行。可以在本文的数据安全部分找到 DAL 的更多信息。
维护访问
只能通过来自 Sophos IT 基础设施内特定网络的 VPN 隧道提供 Sophos Central 的维护访问。即使具有凭据、密钥和证书,也无法在 Sophos 网络外建立隧道。
DDoS 保护
分布式拒绝服务 (DDoS) 减轻通过专用 DDoS 保护技术、自动缩放、系统监测和流量转移进行。
数据安全
完整性
可用性
所有数据存储在数据库集群中,至少三份。事件驱动的集群数据库和至少 3 的复制系数,确保集群中的两个数据库实例可以发生故障,数据仍将保持可用。数据驱动下,任何数据库更改立刻推送到集群的所有实例,而不是在计划上复制更改,确保即使一个实例发生故障,整个数据集仍在故障转移实例上可用。
耐用性
每个数据库实例由自己的每小时快照的存储卷支持。这些实例瞬时,仅存储卷持续。集群复制系数使我们可以破坏数据库实例,无需害怕数据丢失。可以快速解决数据库应用、操作系统等的漏洞而不会丢失数据。
Encryption
所有静止数据采用卷级加密:存储卷、对象存储和虚拟机虚拟驱动器。
对于敏感客户数据,我们采用使用每字段多部分密钥的存储卷内字段级加密。这些部分来自多个不同地点,包括密钥管理系统。每个密钥对于每个客户和每个字段是唯一的。
传输级加密用于通过证书和服务器验证,保护客户端软件与 Sophos Central 平台之间的管理通信安全。
Sophos 不存储也不发送明文 Central 帐户密码。作为激活过程的一部分,新用户注册帐户后,必须设置密码。
威胁防护
反恶意软件
Sophos Central 架构设计为所有计算机无用户,无需交互,允许计算机锁定和加固。计算机从原始来源打造,这部分得益于我们的安全数字代码签名过程,仅执行来自开发团队的规定软件作为创建计算机金映像的一部分。
和数据库服务器实例一样,可以随时破坏和重建包含 Sophos Central 的计算机而不丢失数据。
补丁
每三周为虚拟机金映像升级最新软件库和应用程序。任何虚拟机实例存在不超过 3 周,旧实例破坏,根据新的金映像部署新实例。
如果通过漏洞依赖性框架找到漏洞,作为漏洞响应程序的一部分,进行内部或外部测试,缺陷悬赏程序,或其他方式,打补丁或重新部署。
安全监测和响应
Sophos 的全球安全运营中心监测来自 Sophos Central 及其相关服务的所有记录数据。Sophos Central 具有鉴证功能,在发生数据外泄时快速应对事件。