標準に対するセキュリティの構築
数か月前、LogicMonitorは情報セキュリティ管理のISO 27000規格に認定されていたので、情報セキュリティ認定プログラムを構築するための取り組みと、安全のための独自のベストプラクティスについて少し書く機会があると思いました。 LogicMonitorプラットフォームの使用。
LogicMonitorは、IT運用の専門家によって設立され、当初から強力なセキュリティ文化を享受してきました。 しかし、SaaSビジネスでは、セキュリティプログラムの強度と回復力を証明することが、顧客の信頼を獲得するための重要な要素です。 そのため、データのセキュリティを確保するために構築したコントロールとプロセスのサードパーティによる検証をお客様に提供するため、セキュリティ認定の大ファンになりました。
数年前、LogicMonitorは、AICPA SOC 2 Type1監査で最初のサードパーティのセキュリティコンプライアンスイニシアチブに着手しました。 タイプ1の監査では、セキュリティ管理策のベースラインセットを単一の時点でのみ測定するため、正式なプログラムの構築を開始するためのハードルは比較的低くなりました。 セキュリティスタンスを構築するための最初のステップは、基本的なシステムを整備することです。 システムを入手して初めて、システムを中心にビジネスプロセスを構築できます。
セキュリティプロセスが整ったので、SOC 2 Type2イニシアチブに着手しました。 SOC 2 Type 1とは異なり、SOC 2 Type 2監査は、組織の機密性/整合性/可用性管理の継続的な適用(通常は12か月以上)を測定します。 プロセスが継続的に機能することを証明するために作成されることは、ポイントインタイム測定よりもはるかに高い基準であり、InfoSecプログラムで妥当な成熟度が必要です。
したがって、SOC 2を使用して、ISO27000認証を採用しました。 ISO認証はISO27001 / 27002フレームワークの実装に基づいており、SOC 2と基本的な制御の多くを共有していますが、多くの利点があります。1)国際標準化機構から出ているため、世界中で受け入れられています。ゴールドスタンダード; 2)技術的なセキュリティ管理の測定に加えて、ISOはInfoSecプログラム自体の管理も評価し、エグゼクティブレベルまでの関与を保証します。 LogicMonitorは、プログラム全体を検証するISO / IEC 27001:2013と、SaaSプラットフォームのセキュリティをさらに実証するISO / IEC 27017:2015のXNUMXつのISO規格に対して認証することを選択しました。
LogicMonitorデプロイメントの保護
ほとんどのクラウドサービスプロバイダーと同様に、LogicMonitorは、お客様のデータを保護するための「責任分担」モデルを維持しています。 私たちの仕事は、ビジネスオペレーション、技術プラットフォーム、アプリケーションスイートを保護し、お客様が展開を保護するために必要な製品内機能を提供することです。 上記のサードパーティ認定は、私たちが自分たちの役割を果たしたことを示しています。 その安全な基盤の上に構築されており、セキュリティのベストプラクティスに従ってLogicMonitorの展開を管理するのはお客様の責任です。
アクセス制御はセキュリティの基本的な柱のXNUMXつであり、LogicMonitorは、環境に必要な個人だけがアクセスできるようにするためのさまざまなオプションを提供します。認証側では、強力なパスワードを使用した標準の「Webフォーム」資格情報、オプションのXNUMX番目の資格情報を提供します。要因の確認、および自動ブルートフォース攻撃保護。 または、SAMLベースのSSOプロバイダーと統合し、エンドユーザーアカウントをオンザフライで自動的にプロビジョニングします。 どちらかを選択することも、両方を使用することもできますが、いずれの場合も、アカウントのプロビジョニングとプロビジョニング解除のプロセスを慎重に管理して、アクセスする予定のプロセスのみを確保する必要があります。 さらに、設定されたIPアドレスまたはネットブロックのセットへのアクセスをさらに制限して、パブリックインターネット全体からポータルにアクセスできないようにすることができます。 エンドユーザーが企業のオフィスからLogicMonitorにのみアクセスする場合、またはVPN経由で既知のネットブロックに接続する場合は、この機能を利用して保証を強化することをお勧めします。
認証されると、エンドユーザーのアクセスは、きめ細かいロールベースのアクセス制御システムを使用してさらに管理できます。 いくつかのデフォルトの役割が付属していますが、必要に応じて独自の役割を構築し、特定のニーズに応じて最小特権に基づいてアクセスをスコープする柔軟性を提供します。 また、LogicMonitorセッションのタイムアウトをカスタマイズする機能も提供しており、この機能を利用して、セキュリティポリシーに基づいて適切な期間だけ再認証せずに、エンドユーザーがログインしたままになるようにすることをお勧めします。
LogicMonitorの独自のコレクターアーキテクチャは、他のソリューションとの差別化を図る多くの方法の1.2つです。 コレクターは非常に厳格なセキュリティで設計されています。LMマザーシップとの相互認証により中間者攻撃が防止され、常時オンのTLS XNUMXが転送中のデータを保護します。メモリ内のデータストレージは、読み取り可能なものがないことを意味します。ファイルシステムがあり、インバウンドTCPポートがないため、ネットワーク攻撃からの耐性が保証されます。 ただし、Collectorアプリケーションは、それがホストされている環境と同じくらい強力です。 コレクターのワークロードを他のアプリケーションと直接共有するのではなく、仮想マシンなどの専用システムにコレクターをインストールすることをお勧めします。 そしてもちろん、展開するすべてのシステムに標準のOSセキュリティ強化を適用する必要があります。 私たちは好きです CISベンチマーク 私たち自身。 最後に、これは言うまでもありませんが、これらのシステムがインストールされているネットワークに適切な保護を提供する必要があります。 コレクターシステムをパブリックインターネットに配置することはできますが、おそらくそうしたくないでしょう。 🙂
インストールを保護したら、監査ログ機能を使用して、実装内で何が起こっているかを追跡します。 ログの追跡と分析は、セキュリティ監視の基本的な信条の一部であり、私たちはそれを簡単にします。 UI内の監査ログを検索して、認証アクション、構成の変更、その他の注目すべきイベントなど、アカウント内の意味のあるアクティビティを探すことができます。 または、ログ集約システムまたはSIEMを導入している場合は、REST APIを使用してLMから監査ログを抽出し、選択したツールに挿入できます。
LogicMonitor製品とセキュリティのためのビジネスを徹底的に構築しました。 さらに詳しい情報に興味がある場合は、 Security Overview 当社の製品セキュリティとサードパーティ認証の内部を説明するページ。 一流のセキュリティのためにLM展開を構成する方法については、 セキュリティのベストプラクティス サポート文書
