Segurança do Akamai Identity Cloud

O sucesso dos nossos clientes (e, consequentemente, nosso próprio) depende de nosso compromisso em manter a segurança, confidencialidade, integridade e disponibilidade das identidades digitais que hospedamos. Devemos simplesmente proteger os funcionários, clientes e terceiros que têm autorização para acessar propriedades on-line ou dispositivos gerenciados de nossos clientes. É por isso que nossa arquitetura de plataforma global possibilita o acesso a dados com escopo no nível do campo, a criptografia completa do banco de dados em repouso, a disponibilidade de serviços líderes, a confiabilidade de dados, backups distribuídos e recursos de recuperação de desastres incomparáveis. Também é por isso que o Akamai Identity Cloud está à frente da concorrência em certificações credenciadas de terceiros.

How We Keep Your Customer Identity Data Secure

Monitoramento de segurança, bloqueio e proteções contra fraude

O Akamai Identity Cloud monitora continuamente nossos ambientes de produção, verificando o estado e a integridade da plataforma Akamai Identity Cloud. Reunimos métricas detalhadas sobre os principais indicadores de desempenho relacionados a tempo de atividade e disponibilidade para cada serviço. Anormalidades acionam alertas para a equipe do Centro de comando de operações de rede (NOCC), disponível24 horas por dia, 7 dias por semana, durante o ano inteiro.

Ataques de força bruta (apropriações de contas)

O Akamai Identity Cloud oferece a funcionalidade de bloqueio de conta para proteger contra tentativas de violação de senhas por ataques de força bruta. Depois de um número específico de tentativas de login de um usuário, o Akamai Identity Cloud bloqueia uma conta. Esse recurso é totalmente personalizável. Os clientes determinam quando e como bloquear as tentativas de login. Além disso, o Akamai Identity Cloud oferece opções de autenticação baseadas em CAPTCHA e SMS. Os clientes podem determinar o limite de tentativas que acionam essas medidas adicionais de autenticação.

Ataques distribuídos avançados persistentes

O Akamai Identity Cloud tem experiência em impedir ataques distribuídos. Com o monitoramento proativo de bots e atividades mal-intencionadas, correlacionado a dezenas de métricas personalizadas específicas ao login e ao registro, podemos bloquear os vários conjuntos de IPs dinâmicos utilizados pelos agentes mal-intencionados durante um ataque.

Por meio de bloqueio de IP e listas de permissões, o Akamai Identity Cloud pode garantir que o acesso seja concedido somente quando autorizado. Por exemplo, o Akamai Identity Cloud pode identificar endereços IP de países ou regiões específicas e impedir que eles acessem o registro e/ou login, dependendo da escolha de cada cliente (bloqueio geográfico). Ele também pode bloquear listas de endereços IP específicos (por exemplo, listas de endereços IP inválidos conhecidos e endereços IP associados a práticas indevidas). Se os endereços IP forem legítimos, mas forem exceções às regras padrão, ou se tiverem sido adicionados incorretamente às listas de proibições, o Akamai Identity Cloud pode permiti-los, garantindo que os endereços IP da lista em questão sejam sempre aceitos.

Ataques de negação de serviço

A Online Business Systems, Inc., uma empresa de testes de penetração externa de terceiros, testou a capacidade da Akamai Identity Cloud de suportar ataques DoS. As estratégias de redução dos efeitos de bots incluem limitação de taxa para reduzir efeitos de ataques DoS de bots, reCAPTCHA para reduzir efeitos de bots que criam perfis de usuário falsos e validação do lado do cliente e do servidor para garantir que todos os valores de campo sejam legítimos.

Monitoramento de tendências

O Akamai Identity Cloud emprega monitoramento personalizado de API por cliente para estabelecer tendências de uso, bem como para identificar e bloquear padrões de uso anormais. É comprovado que o Akamai Identity Cloud identifica e reduz atividades maliciosas para os clientes. E como cada cliente é único, o Akamai Identity Cloud pode implementar regras de alertas e bloqueio que refletem as diferenças de tendências inerentes.

Ajustar as regras de bloqueio personalizadas de um cliente é um processo colaborativo entre o Akamai Identity Cloud e o cliente. Clientes diferentes têm perfis e tolerâncias a riscos diferentes, e isso afeta as concessões entre bloquear o tráfego legítimo e assumir alguns custos resultantes de fraude. Os ataques persistentes avançados podem envolver vários ajustes das regras personalizadas do mecanismo de políticas.

Detecção de invasões

O sistema de detecção de invasões OSSEC analisa automatica e regularmente os registros em busca de atividades suspeitas. As novas proteções contra fraudes nas criação de contas incluem autenticação baseada em CAPTCHA e SMS, opções que os clientes pode optar por implementar como medida adicional de proteção contra roteirizados de criação de contas. O Akamai Identity Cloud monitora proativamente bots e atividades mal-intencionadas, correlacionando dezenas de métricas personalizadas específicas ao login e ao registro, bem como identificando anomalias específicas aos padrões de tráfego exclusivos de um cliente.

Programa de gerenciamento do Akamai Identity Cloud Security

Entre em contato com a equipe de sua conta para analisar o relatório de ISO 27001, AT-101 e SOC 2 Tipo 2 do Akamai Identity Cloud e obter uma descrição detalhada do ISMS (Sistema de gerenciamento de segurança da informação). Confira abaixo uma visão geral resumida.

Sistema de gerenciamento de segurança da informação

A Política de governança de ISMS (Sistema de gerenciamento de segurança da informação) do Akamai Identity Cloud está definindo e oferecendo suporte ao ISMS em vigor. O manual do ISMS está disponível para clientes mediante solicitação e assinatura de um NDA (Acordo de confidencialidade). O ISMC (Comitê de gerenciamento de segurança da informação) é responsável por garantir que o Akamai Identity Cloud mantenha a conformidade com as normas ISO 27001:2013 e ISO 27018:2014 (proteção de informações de identificação pessoal na nuvem) por meio da implementação de políticas e procedimentos definidos no manual do ISMS.

O ISMC é composto pelos diretores executivo, financeiro, de tecnologia e de vendas, pelos vice-presidentes de engenharia e operações, e pelo conselho geral. O ISMS também garante que os padrões sejam mantidos para continuar em conformidade com as certificações Cloud Security Alliance (CSA star) de nível 2, HIPAA/HITECH, Privacy Shield, OIDC RP, SOC 2 Tipo 2 (segurança, confidencialidade e disponibilidade) e TRUSTe.

Todas as políticas e todos os procedimentos de segurança são analisados e aprovados para uso anualmente ou com mais frequência, conforme determinado pelo risco. A correção da avaliação de riscos pode resultar em atualizações de políticas e procedimentos para garantir sua eficácia.

A eficácia do ISMS do Akamai Identity Cloud é medida por métricas trimestrais e anuais que refletem com precisão o status da implementação e operação dos sistemas e controles de segurança do Akamai Identity Cloud. Todos os membros da equipe recebem treinamento em segurança no ato da contratação e, depois, anualmente.

Controle de acesso

Para os serviços Akamai Identity Cloud, o acesso aos respectivos sistemas é estritamente controlado. Esse acesso é revogado em caso de mudança nas funções e desligamento do funcionário. As revisões de acesso são realizadas trimestralmente. Usamos VPN, SSH e autenticação multifator para controlar o acesso a sistemas de produção.

Backups

Os dados dos clientes são sempre gravados simultaneamente em bancos de dados criptografados em vários data centers (backups dinâmicos/ativos) em diferentes AZs (zonas de disponibilidade). Os backups criptografados pontuais são realizados todas as noites, armazenados em diversos bancos de dados em diferentes AZs e atualizados com backups incrementais a cada 300 segundos.

Continuidade dos negócios

A Akamai testa e analisa políticas de continuidade de negócios todos os anos. Devido ao modelo de implantação de alta disponibilidade do Akamai Identity Cloud em todas as AZs acessíveis por região, a continuidade dos negócios só seria necessária em caso de desastre regional que impactasse simultaneamente todas as AZs de uma região, além de cada uma de suas instalações de backup.

Não há um ponto único de falha. Usando a AZ do leste dos EUA como exemplo, seria necessário haver de 30 a 60 falhas simultâneas em data centers separados para que seja necessário acionar a continuidade dos negócios. Os runbooks de serviços Akamai Identity Cloud para transferir clientes entre zonas foram testado à exaustão para o caso excepcionalmente improvável de perda de toda uma região composta por diferentes data centers. "Segurança e privacidade por padrão" é um dos princípios básicos do Akamai Identity Cloud. A segurança e a privacidade estão presentes em todo o ciclo de vida do desenvolvimento de software.

Firewalls e Zero Trust

Além dos firewalls padrão do setor para todos os dados que entram na rede de dados interna de qualquer fonte externa, o Akamai Identity Cloud usa grupos de segurança que atuam como firewalls virtuais para controlar o tráfego de entrada e saída.

Os grupos de segurança fornecem um mecanismo de bloqueio baseado em rede que os firewalls também fornecem. No entanto, é mais fácil gerenciar grupos de segurança. O Akamai Identity Cloud também projetou um modelo de VPC (Nuvem privada virtual) Zero Trust para proteger ainda mais seus dados. Zero Trust é um modelo de segurança que aborda as deficiências das estratégias centradas no perímetro de falha, removendo a suposição de confiança. Com o Zero Trust, não há confiança padrão para qualquer entidade, incluindo usuários, dispositivos, aplicações e pacotes, independentemente do que se trata, de sua localização na rede corporativa ou de sua relação a ela. Consulte o documento de infraestrutura de alto nível do Akamai Identity Cloud para obter mais detalhes.

Acesso com escopo de dados no nível do campo

O Akamai Identity Cloud projetou especificamente a autorização de acesso com escopo diretamente em sua plataforma de CIAM. Essa funcionalidade exclusivamente projetada e personalizável garante que, no caso de um usuário registrado enviar dados confidenciais, esses dados serão usados apenas para a finalidade para a qual foram enviados. Esse acesso com escopo no nível do campo pode ser usado para quantos bancos de dados de perfis você optar por configurar.

O acesso com escopo fornece às organizações a capacidade de conceder direitos de acesso granulares, no nível do campo, para cada uma das credenciais de clientes usadas ao consultar um registro de usuário. Isso é essencial para reduzir o risco de exposição de dados do cliente. O acesso com escopo oferece uma capacidade inigualável de conceder exatamente o tipo certo de acesso a dados a outros sistemas nos websites de uma organização e em aplicações móveis, aplicações de terceiros, plataformas e serviços que compõem a pilha tecnológica de marketing. Ele pode até ser aplicado a agências digitais que podem exigir alguns dados de usuário para executar uma campanha em nome de uma empresa. Os clientes também têm a opção de definir escopos de acesso diferentes para diferentes websites que gravam no mesmo banco de dados.

Criptografia

O Akamai Identity Cloud criptografa todos os dados em trânsito. A plataforma utiliza criptografia para proteger imagens de máquinas virtuais e dados durante o transporte entre redes e em instâncias de hipervisor. Todos os dados em trânsito utilizam os mais recentes padrões de criptografia TLS (chaves de 2048/256 bits) e protocolos de segurança TLS1.1 ou posteriores. O Akamai Identity Cloud oferece criptografia completa de disco para dados em repouso e protege ainda mais os dados, garantindo que cada ponto de acesso (interface de usuário/APIs para ferramentas, websites, aplicações, agências etc.) esteja no escopo do menor privilégio para garantir que somente os campos de dados necessários possam ser acessados. Todas as réplicas de dados e backups de diferentes AZs (até 10 data centers separados cada) também são criptografados.

Outras proteções de dados

  • Camada de abstração: Os serviços do Akamai Identity Cloud fornecem uma camada de abstração consistente, além do acesso aos dados. Os armazenamentos de dados subjacentes são projetados para proporcionar consistência, confiabilidade e privacidade de dados, e são otimizados para proporcionar desempenho.
  • Outros controles de acesso: Conformidade com OAuth 2.0.
  • Proteção dos dados: Cada implantação do Akamai Identity Cloud e seus dados associados são isolados em seu próprio ambiente de produção logicamente discreto. Controles de segurança de vários locatários, incluindo tokens de sessão exclusivos, valores de tempo limite de sessão configuráveis e políticas de senha, são aplicados para impedir o acesso não autorizado.
  • Acesso ao painel com escopo: O Akamai Identity Cloud usa as funções para aplicar o acesso ao painel. Os clientes podem configurar a 2FA para administradores de clientes. Os administradores de clientes controlam o acesso aos dados de sua aplicação Akamai Identity Cloud.
  • Segurança do data center: A equipe de segurança profissional que usa vigilância por vídeo, sistemas de detecção de invasões e outros meios eletrônicos controla o acesso físico aos data centers AWS (Amazon Web Services), onde os dados dos clientes são processados, tanto no ponto de entrada no perímetro quanto nas instalações. A equipe autorizada da AWS usa mecanismos de autenticação multifatores para acessar os andares do data center. A proteção antivírus gerenciada centralmente ajuda a evitar que códigos de software prejudiciais afetem nossos serviços ou dados de clientes.
  • Validação de esquemas: O Akamai Identity Cloud valida os esquemas do cliente no momento da implantação para garantir que elementos de dados confidenciais, como senhas, não sejam armazenados com clareza.
  • Algoritmo de hash bcrypt: Isso tem um fator de custo de 10 para proteção de senha.
  • Validação de entradas: Usada para integridade de dados.

Verificações

O Akamai Identity Cloud envolve um terceiro reconhecido pelo setor para realizar anualmente um teste independente e imparcial de vulnerabilidade da aplicação e penetração na rede. Os clientes podem solicitar o acesso aos relatórios de teste. O teste de vulnerabilidade da aplicação baseia-se nos padrões OWASP, SANS, CWE e WASC.