安全與信任中心
你的數據安全是我們的首要任務
我們知道數據是你最有價值的資產之一,一直受到保護,這就是為什麼安全是內置的每層磚Lakehouse平台。Beplay体育安卓版本我們的透明度使您能夠滿足監管需求,同時利用我們的平台。Beplay体育安卓版本
信任
我們信賴的平台是由嵌入安Beplay体育安卓版本全在整個軟件開發和交付生命周期。我們遵循嚴格的操作安全實踐如滲透測試、漏洞評估和強勁的內部訪問控製。我們相信公開透明是贏得信任的關鍵——我們分享如何運作,並與我們的客戶和合作夥伴緊密合作,解決他們的安全需求。beplay体育app下载地址我們提供了pci dss, HIPAA和FedRAMP合規,我們ISO 27001、ISO 27017、ISO 27018和SOC 2 II型兼容的。
合同的承諾
超出了文檔和最佳實踐,你會發現在我們的安全與信任中心,我們還提供合同承諾安全用平實的語言,我們所有的客戶。beplay体育app下载地址這個承諾中捕獲安全附件我們的客戶協議,描述了安全措施和實踐,我們保證您的數據安全。
脆弱性管理
檢測和快速修複脆弱的軟件,你依靠是最重要責任的任何軟件或服務提供者。我們認真對待這一責任和分享我們的修複時間承諾安全附件。
在內部,我們有自動化的脆弱性管理有效地跟蹤,優先考慮、協調、解決漏洞在我們的環境中。我們每天執行身份驗證漏洞掃描數據磚和磚使用的第三方/開源包,以及靜態和動態代碼分析(科協和DAST)使用可信安全掃描工具,在我們推廣新代碼或圖片來生產。磚也雇傭第三方專家分析我們的麵向公眾的網站和報告潛在的風險。
磚已經資助的一個漏洞響應程序監控新興漏洞之前他們掃描報告給我們的供應商。我們完成這個使用內部工具、社交媒體、郵件列表和威脅情報來源(例如,us - cert和其他政府,行業和開源提要)。磚監控漏洞平台開放,等Beplay体育安卓版本CVE趨勢和打開CVDB。我們有建立流程來應對這些我們可以快速識別影響我們公司產品或客戶。beplay体育app下载地址這個程序允許我們快速複製報告漏洞和解決零日漏洞。
我們的脆弱性管理項目致力於治療Severity-0漏洞,如零天,最高的緊迫感,優先解決高於其他產品。
滲透測試和bug賞金
我們執行滲透測試通過結合內部進攻安全團隊,合格的第三方滲透測試人員和全年的公共錯誤賞金計劃。我們使用的混合物起毛、安全代碼審查和動態應用程序測試評估平台的完整性和我們的應用程序的安全。Beplay体育安卓版本我們進行滲透測試的主要發行版,新的服務和安全敏感特性。進攻安全小組工作與我們的冠軍在事件反應小組和安全工程解決結果和注入知識的公司。
我們通常執行外部第三方滲透測試8 - 10和15 - 20每年內部滲透測試,和所有材料發現必須解決之前可以標記為一個測試通過。公開透明作為我們的承諾的一部分,我們分享我們的platform-wide第三方測試報告Beplay体育安卓版本盡職調查方案。
我們的公共錯誤賞金HackerOne促進了程序,允許一個全球網絡安全研究人員和集體滲透測試人員測試磚安全漏洞。的一些關鍵決定我們成功使程序包括:
- 鼓勵參與社區的黑客活躍在我們的程序通過提供透明度HackerOne項目統計數據如反應率和支出
- 及時響應錯誤賞金提交,平均time-to-bounty下一個星期
- 執行變異分析每個有效提交識別替代方式,利用可以使用,並驗證修複的100%
- 增加獎金驅動注意產品的最重要領域
我們努力使我們的項目成功,互相學習。我們的開放和協作方法錯誤賞beplay娱乐ios金計劃導致超過100安全研究人員感謝超過200報告。感謝大家幫助我們保持磚安全!
我們希望我們的客戶有信心beplay体育app下载地址在工作負載在磚上運行。如果你的團隊想要運行一個漏洞掃描對磚或滲透測試,我們建議您:
- 飛機係統上運行脆弱性掃描數據在雲服務提供商的帳戶。
- 對代碼運行測試,這些測試是完全包含在數據平麵(或其他係統)位於你的雲服務提供者賬戶和評估你的控製。
- 加入磚Bug的賞金程序訪問一個專門部署磚進行滲透測試。任何針對我們的多租戶的滲透測試控製飛機需要參與這個項目。
安全調查和事件反應
我們使用磚作為SIEM和XDR平台每天9 tb的數據檢測和安全調查。Beplay体育安卓版本我們接收和處理日誌和安全信號從雲基礎設施,設備,身份管理係統和SaaS應用程序。我們使用結構化流管道和δ生活表來確定最相關的安全事件使用數據驅動的方法和統計毫升模型生成新穎的警報,或關聯,減少重複和優先考慮現有的警報從已知的安全產品。我們的模型運行手冊上的對手戰術、技術和程序(TTP)跟蹤使用主教法冠ATT&CK框架。我們的安全調查小組使用協作磚筆記本創建可重複的調查過程中,不斷地進化事件調查beplay娱乐ios劇本,並執行威脅狩獵對超過2 pb的曆史事件日誌處理複雜非結構化和半結構化數據搜索。
我們的事件響應團隊保持最新,幫助磚準備事件管理場景:
- 參與industry-reputed課程從供應商無和參加安全會議像錄象:cloudsec,黑色的帽子,BSides, RSA
- 執行與行政領導和內部團隊定期桌麵演習實踐安全響應場景相關的磚產品和企業基礎設施
- 與工程團隊合作優先平台可觀測性,允許有效的安全檢測和響應Beplay体育安卓版本
- 定期更新招聘和培訓策略基於改進的事件反應技能和能力矩陣
內部訪問
我們嚴格的政策和控製應用於內部員工訪問我們的生產係統,客戶環境和客戶數據。
我們需要多因素身份驗證訪問核心基礎設施雲服務提供商等遊戲機控製台(AWS, GCP和Azure)。磚的政策和程序,以避免使用顯式憑據,如密碼或API密鑰,隻要有可能。例如,隻有任命安全團隊成員可以處理異常請求新的AWS我校長或政策。
磚的員工可以訪問生產係統在非常特殊的情況下(如緊急break-fix)。訪問是由Databricks-built係統驗證訪問和執行政策的檢查。訪問要求,員工是我們的VPN連接,並使用我們的單點登錄解決方案驗證的多因素身份驗證。
了解更多→
我們的內部安全標準要求盡可能職責分離。例如,我們集中我們的雲提供商的身份驗證和授權過程分離授權訪問(瑪麗應該訪問係統)授予訪問(瑪麗現在可以訪問係統)。
我們優先考慮最小特權訪問,為我們的訪問內部係統和生產係統。最小特權是顯式地構建到我們的內部政策和反映在我們的程序。例如,大多數客戶可以控製是否磚員工可beplay体育app下载地址以訪問他們的工作區,和我們編程應用眾多檢查之前訪問可以自動授予和撤銷訪問之後有限的時間。
了解更多→
安全軟件開發生命周期
磚的軟件開發生命周期(SDLC)構建安全所有的設計,開發和生產步驟-從功能要求生產監控工具支持的旨在通過生命周期跟蹤功能。我們有自動安全脆弱性掃描和自動跟蹤係統,圖書館和代碼。
磚利用一個思想門戶跟蹤特性請求並允許投票為客戶和員工。beplay体育app下载地址我們的功能設計過程包括隱私和安全設計。一個初步評估後,高影響力的特性受到產品的安全設計審查安全團隊從工程與安全協會冠軍,以及其他威脅建模和安全特定的檢查。
我們使用敏捷開發方法,將新特性分解為多個sprint。磚不外包磚的發展平台,和所有開發人員都必須經過安全軟件開發培訓,包括OWASP前十名——當雇傭,此後每年。Beplay体育安卓版本生產數據和環境是分開發展,QA和舉辦環境。所有的代碼簽入到源代碼控製係統,需要單點登錄的多因素身份驗證和細粒度的權限。代碼合並需要功能性工程業主批準的每個領域的影響,以及所有代碼是同行評議。產品安全團隊手動審查安全敏感代碼消除業務邏輯錯誤。
我們使用最好的工具來識別脆弱的包或代碼。自動化在預生產環境中運行驗證主機和容器操作係統的漏洞掃描和安裝的軟件包,以及動態和靜態代碼分析掃描。工程票自動創建任何漏洞和分配給相關團隊。產品安全小組還分類關鍵漏洞評估其嚴重性的磚結構。
我們運行質量檢查(如單元測試和端到端測試)在SDLC過程的多個階段,包括在合並代碼,代碼合並後,在發布和生產。我們的測試包括積極測試,回歸測試和負麵測試。一旦部署,我們有廣泛的監控識別故障,用戶可以對係統可用性通過警報狀態頁。在發生任何P0或P1問題,磚自動化觸發“5個為什麼”的根本原因分析方法,選擇後期團隊成員監督審查。發現是行政領導溝通,並跟蹤後續項目。
磚有正式的發布管理過程,包括正式發布前可行或不可行的決策代碼。變化經過測試旨在避免回歸和驗證新功能測試在現實的工作負載。此外,有策劃推出監測早期識別問題。實現職責分離,隻有我們的部署管理係統可以發布更改生產,和多人的批準是必需的部署。
我們遵循一個不變的基礎設施模型,係統所取代,而不是修補改善可靠性和安全性,避免的風險配置漂移。新係統圖像或啟動應用程序代碼時,我們的工作負載轉移到新實例,推出新的代碼。這是正確的控製平麵和數據平麵(參見安全特性部分磚結構)。一旦在生產代碼,驗證流程確認工件不添加,刪除或擅自改變。
SDLC過程的最後階段是創建麵向客戶的文檔。磚文檔管理就像我們的源代碼,和文檔存儲在相同的源代碼控製係統。重大變化既需要技術和文檔團隊審查才可以合並和發表。
訪問文檔→
安全策略和溝通細節
磚遵循RFC 9116, ISO / IEC 30111:2019 (E)和ISO / IEC 29147:2018 (E)安全漏洞處理和通信標準。對我們的安全通信和PGP簽名的詳細信息,請參閱我們的security.txt文件。
安全特性
我們提供全麵的安全保護您的數據和工作負載,如加密、網絡控製、數據管理和審計。
| 網絡訪問 | 雲 | |||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
||||||||||||||||||
| 用戶和組管理 | 雲 | |||||||||||||||||
|
||||||||||||||||||
| 訪問管理 | 雲 | |||||||||||||||||
|
||||||||||||||||||
| 數據安全 | 雲 | |||||||||||||||||
|
||||||||||||||||||
| 數據治理 | 雲 | |||||||||||||||||
|
||||||||||||||||||
| 工作負載的安全 | 雲 | |||||||||||||||||
|
||||||||||||||||||
| 審計和日誌記錄 | 雲 | |||||||||||||||||
|
||||||||||||||||||
| 安全驗證(合規) | 雲 | |||||||||||||||||
|
||||||||||||||||||
* Azure磚與Azure活動目錄集成,和磚豐富的集成與穀歌的身份。你不能配置這些磚本身,但是您可以根據需要配置Azure Active Directory或穀歌標識。
Beplay体育安卓版本平台架構
磚Lakehouse架構分為兩個獨立的飛機簡化你的權限,避免數據重複和降低風險。控製平麵管理平麵磚工作區應用程序運行和管理的筆記本電腦,配置和集群。除非你選擇使用serverless計算,數據平麵內運行雲服務提供者賬戶,處理您的數據沒有把它從你的帳戶。您可以在您的數據中嵌入數據磚漏出保護建築使用功能,如customer-managed vpc /聯接和管理控製台選項禁用出口。
雖然某些數據,比如你的筆記本電腦,配置,日誌和用戶信息,存在內部控製飛機,這些信息是加密靜止在控製飛機,和通信控製飛機在傳輸過程中進行加密。您還可以選擇某些數據所在:你可以舉辦自己的存儲元數據的數據表(蜂巢metastore),查詢結果存儲在雲服務提供者賬戶,並決定是否使用磚秘密的API。
假設您有一個數據工程師跡象在磚和寫一個筆記本,將原始數據在卡夫卡的一套規範化數據發送到存儲如Amazon S3湖或Azure數據存儲。六個步驟實現:
- 數據工程師無縫地進行身份驗證,通過單點登錄如果需要,磚的web UI的控製平麵,駐留在磚帳戶。
- 作為數據工程師編寫代碼,web瀏覽器將它發送到控製飛機。JDBC / ODBC請求也遵循同樣的路徑,進行身份驗證令牌。
- 準備好後,控製飛機使用雲服務提供者api來創建一個磚集群,由新實例數據平麵,CSP在您的帳戶。管理員可以使用集群政策執行安全性配置文件。
- 一旦啟動實例,集群管理器發送數據集群工程師的代碼。
- 集群從卡夫卡在你的賬戶,轉換您的帳戶中的數據並將其寫入一個存儲在您的帳戶。
- 集群的狀態報告和任何輸出回集群管理器。
數據工程師不需要擔心很多細節——他們隻是寫代碼和數據磚運行它。
合規
beplay体育app下载地址世界各地的客戶相信我們與他們最敏感的數據。磚已經實施控製以滿足獨特的合規需求高度監管的行業。
盡職調查方案
自助服務的安全檢查,您可以下載我們的盡職調查方案。它包括常見的合規文件如ISO認證和年度筆測試確認信。你也可以聯係你磚我們的客戶服務團隊副本的企業安全指導和SOC 2 II型報告。
下載認證和標準
概述
磚重視隱私。我們明白您分析的數據使用磚是重要的組織和客戶,和可能會受到各種各樣的隱私法律法規。beplay体育app下载地址
幫助你了解磚符合監管框架可能適用於你,我們已經準備了隱私faq和文件透明地提出如何磚方法的隱私。
幫助在磚工作區安全事件進行調查
如果你懷疑你的工作空間數據可能已遭泄露,或者你已經注意到在你的數據不一致或不準確的地方,請盡快報告給數據磚。
報告垃圾郵件或可疑通信源自磚
如果你有收到垃圾郵件或任何通訊,你相信是虛假的,或不恰當,內容不當或惡意軟件,請盡快聯係磚。
理解內部漏洞掃描器對磚產品報告
幫忙分析漏洞掃描報告,請提出一個請求通過磚支持頻道,提交產品版本,任何特定的配置,具體的報告輸出和掃描是如何進行的。
了解CVE影響磚工作區或者運行時
如果你需要一個第三方CVE的影響,信息或磚CVE的,請提出一個請求通過你的磚支持渠道,並提供CVE描述、嚴重程度和引用上發現的國家漏洞數據庫
報告一個缺陷在磚產品或服務
如果你已經找到了一種可再生的脆弱性在任何我們的產品,我們想知道這樣我們就可以解決它。請加入我們的公共錯誤賞金計劃由HackerOne促成的。
HIPAA
HIPAA美國監管,包括各種各樣的保護受保護的健康信息。磚與hipaa兼容的部署選項。
支持雲
