La seguridad en Zyncro

Tamaño: px

Comenzar la demostración a partir de la página:

Download "La seguridad en Zyncro"

José Francisco Castillo Franco
hace 8 años
Vistas:

1 La seguridad en Zyncro El Software como Servicio (SaaS) está siendo adoptado rápidamente por las organizaciones que demandan seguridad, fiabilidad y disponibilidad. Zyncro fue creado a la vista de estos conceptos desde su inicio, permitiendo gestionar toda la documentación y comunicación de la empresa y de sus clientes, sin importar en qué lugar del mundo se encuentren. La intención de este documento técnico es la de detallar las medidas de seguridad que se han desplegado en Zyncro y que permiten que pueda utilizarse en forma segura, sin requerir la instalación de componentes de seguridad de terceras partes, como pueden ser cortafuegos, vpns, o detectores de intrusos.

importar en qué lugar del mundo se encuentren.

2 1. Introducción Actualmente la interacción entre empleados, o entre empleados y clientes trasciende las fronteras de las oficinas de la empresa. Entonces, es necesario mantener toda la documentación y mensajería de la empresa en un contexto de seguridad. No solo debe garantizarse la disponibilidad de la misma, sino también la confidencialidad y la integridad en el tránsito de los datos por las redes públicas. Esto es, que sólo los usuarios autenticados puedan accederla, y que nadie ajeno pueda ni conocer ni alterar los datos durante su intercambio o almacenamiento. Zyncro ha aplicado los conceptos de seguridad más estrictos, tanto desde el punto de vista físico como lógico en su plataforma, utilizando protocolos de seguridad que garantizan la protección de los datos, tanto en su almacenamiento como en su circulación. Se utilizan para lograr este cometido los más modernos algoritmos de cifrado de datos. La escalabilidad ha sido junto a la seguridad un pilar en el diseño de la plataforma de Zyncro, de manera que el sistema global es capaz de detectar la necesidad de destinar nuevos recursos para mantener el nivel de respuesta hacia sus usuarios y de ponerlos en marcha en forma automática. La seguridad en Zyncro 2

No solo debe garantizarse la disponibilidad de la misma, sino también la confidencialidad y la integridad en el tránsito de los datos por las redes públicas.

3 2. Información General La infraestructura de Zyncro se encuentra balanceada entre la nube de Amazon EC2/S3 y nuestros dos datacenters en Barcelona y Girona. Este conjunto de servicios es el que le brinda a la plataforma de Zyncro una excepcional confiabilidad ya que los datacenters de Amazon se encuentran distribuídos a nivel mundial y han sido desplegados con los más altos estándares para garantizar la disponibilidad del servicio. A esto se le suman las características de escalabilidad diseñadas en Zyncro que permiten hacer uso de las facilidades de Elastic Compute disponibles en Amazon para sumar nuevos recursos en forma automática cuando la plataforma lo requiere. Datacenters Todos los datacenters propios y de Amazon cuentan con las características más exigentes en cuanto a seguridad física, control de acceso, redundancia de componentes, monitoreo y disponibilidad 7x24. En los datacenters propios, operados por ONO, disponemos de líneas de comunicación redundantes para evitar que la caída de servicio de un operador pueda afectar al servicio. Almacenamiento Los datos se encuentran distribuidos y replicados, de manera que se garantiza una durabilidad de los mismos de 99, %. Alta disponibilidad El conjunto de medidas implementadas garantizan una disponibilidad de los datos durante un 99.99% del tiempo y una disponibilidad del servicio de 99.95%. La seguridad en Zyncro 3

desplegados con los más altos estándares para garantizar la disponibilidad del servicio.

4 Escalabilidad Además de la cantidad estable de servidores que se encuentran operativos para mantener el nivel de prestación estándar de Zyncro, la plataforma de Amazon EC2 permite iniciar cientos de servidores en forma simultánea en cuestión de minutos permitiendo escalar al nivel de recursos que sea necesario en función de las necesidades de un momento particular. Un mecanismo de Load Balancing redirige el tráfico hacia los servidores operativos. La seguridad en Zyncro 4

en cuestión de minutos permitiendo escalar al nivel de recursos que sea necesario en función de las necesidades de un

5 3. Encriptación Zyncro utiliza dos esquemas diferentes de encriptación, uno para el almacenamiento de los datos, y otro para el tránsito de los mismos. Almacenamiento Se utiliza un algoritmo AES (Advanced Encryption Standard, o Rijndael) con clave de 256 bits. A modo de ejemplo, la Agencia de Seguridad de Estados Unidos (NSA) lo utiliza desde hace casi 10 años como algoritmo seguro para la protección de información clasificada. Tránsito Cada vez que los datos deben atravesar un enlace de comunicaciones, se utiliza el protocolo SSL. El certificado ha sido extendido por Equifax Secure. Cada conexión al sitio seguro de Zyncro se encuentra cifrada por el algoritmo AES_256_CBC, con SHA1 para la autenticación de los mensajes y DHE_RSA para proteger el intercambio de claves. La seguridad en Zyncro 5

A modo de ejemplo, la Agencia de Seguridad de Estados Unidos (NSA) lo utiliza desde hace casi 10 años como algoritmo seguro para la protección de información clasificada.

6 4. Seguridad de la Aplicación Zyncro puede utilizarse a través de un navegador web, ya sea en PC de sobremesa o portátil o a través de un dispositivo móvil utilizando Zyncro Mobile. Además, también está disponible una aplicación de escritorio para las diferentes versiones de Windows. En todos los casos, existe un proceso de autenticación que identifica al usuario a través de su y de un password. El envío del password durante el proceso de autentificación se realiza de forma encriptada. Acceso a la información Los documentos y carpetas compartidas que son subidas a Zyncro o que se sincronizan, sólo están visibles por las personas autorizadas por el propietario. Esta misma persona es la única responsable de especificar los permisos a esa información por parte del resto de usuarios (lectura, escritura, invitación, ). Los empleados de Zyncro no tienen acceso a los ficheros e información de los usuarios. Configuraciones especiales de seguridad El administrador de la organización dispone de tres opciones para configurar el grado de seguridad aplicable a la información de los usuarios: Se puede restringir la comunicación con usuarios de fuera de la organización o simplemente especificar con que dominios está permitida. La seguridad en Zyncro 6

En todos los casos, existe un proceso de autenticación que identifica al usuario a través de su e-mail y de un password.

7 Se puede restringir el envío de links directos de descargas de archivos (Zlinks) por parte de los usuarios de la organización. Se puede restringir la posibilidad de que los usuarios de la organización estén disponibles en el buscador global de usuarios. Además, el administrador pese a que no dispone de acceso directo a documentos y carpetas a los que su propietario no le ha concedido permiso, dispone de una opción de descarga a través de la cual puede generar en un fichero comprimido.zip toda la estructura de carpetas y ficheros creada por toda la organización (por cada uno de sus usuarios). La seguridad en Zyncro 7

Además, el administrador pese a que no dispone de acceso directo a documentos y carpetas a los que su propietario no le ha concedido permiso, dispone de

8 5. Gestión de la Plataforma La gestión del entorno de producción de Zyncro se realiza al amparo de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD) de España. Algunas de las medidas que se tienen en cuenta son: Existe una política para la gestión de soportes y documentos. Existen registros y auditorías sobre los accesos, los incidentes y las actualizaciones de software. El acceso a los servidores se realiza utilizando intercambio de certificados y no passwords, y se renuevan periódicamente, haciendo caducar los anteriores. Todas las versiones de software que se despliegan en la plataforma se encuentran instaladas con las máximas actualizaciones de seguridad disponibles. Existen auditorías periódicas referidas al cumplimiento de las mayores normas de seguridad. Para asegurar la calidad de servicio, el entorno se encuentra completamente monitoreado. Aproximadamente 180 variables se observan con una periodicidad inferior a los 5 minutos para poder detectar cualquier anomalía y desencadenar los mecanismos de soporte, que se encuentran asistidos por personal de guardia en modalidad 7x24. Además, los usuarios del servicio tienen acceso a un mecanismo de tickets donde pueden registrar las incidencias sobre la operación de Zyncro y hacer un seguimiento de las mismas hasta obtener la respuesta del Equipo de Soporte de acuerdo al SLA establecido. La seguridad en Zyncro 8

Existen registros y auditorías sobre los accesos, los incidentes y las actualizaciones de software.

9 6. Proceso de Desarrollo En Zyncro, los aspectos de seguridad se consideran en todas y cada una de las etapas del proceso de ingeniería de producto. El desarrollo de Zyncro se puede representar en el siguiente ciclo de vida: Cualquier versión del producto, antes de ser instalada en los entornos de producción, debe pasar necesariamente por los entornos de desarrollo, integración y pre-producción. En cada uno de ellos es sometido al correspondiente test de integración y seguridad para asegurar todos los parámetros de funcionamiento e integridad de accesos. Las actualizaciones de software se gestionan a través de un sistema de seguimiento que registra las solicitudes de cambio (Release Change Request RCR ), las pruebas finales ejecutadas, los requerimientos implementados, las incidencias detectadas y las correspondientes firmas de aprobación por parte del Product Manager, Development Manager, Quality Manager y Security Officer. Durante todo el ciclo de desarrollo, existe una trazabilidad directa de los requerimientos, esto se lleva adelante utilizando una herramienta centralizada denominada SpiraTeam (de la marca Inflectra). Esto permite tener una visión global a nivel de requerimientos de versión, casos de test vinculados, ejecución de pruebas y reporte de incidencias y resolución de las mismas. La seguridad en Zyncro 9

entornos de desarrollo, integración y pre-producción.

10 7. Sistema de Calidad El equipo de desarrollo y operación de Zyncro dispone de la certificación ISO realizada por Bureau Veritas. Además, Zyncro opera sus plataformas de producción y preproducción de acuerdo al estándar ITIL. La seguridad en Zyncro 10

Documentos relacionados

Elementos requeridos para crearlos (ejemplo: el compilador)

Elementos requeridos para crearlos (ejemplo: el compilador) Generalidades A lo largo del ciclo de vida del proceso de software, los productos de software evolucionan. Desde la concepción del producto y la captura de requisitos inicial hasta la puesta en producción