Cloud-Sicherheit | Mendix

Direkt zum Inhalt

Seitensuche

Vertrieb kontaktieren
Kostenlos Testen
Print

Cloud-Sicherheit

Welche Arten von Sicherheitskontrollen gibt es in der Mendix Wolke?

Unsere Cloud-Sicherheitsarchitektur gewährleistet ein Höchstmaß an Datenschutz, Anwendungssicherheit und betrieblicher Transparenz. Dieses Dokument beschreibt, wie unsere Cloud-Infrastruktur mithilfe umfassender Best Practices und Tools der Branche die Sicherheit auf allen Ebenen gewährleistet – von der Entwicklung und Bereitstellung bis hin zur Laufzeit und Überwachung.
Ein Diagramm, das die verfügbaren Sicherheitskontrollen zeigt
Sicherheitskontrollen für die Mendix Cloud-Systeme umfassen verschiedene Verschlüsselungsstufen, Transport Layer Security (TLS), Zugriffsbeschränkungen und Schutz vor bösartigem und unerwünschtem Internetverkehr. In den folgenden Abschnitten werden diese Sicherheitskontrollen ausführlich beschrieben.

Wie werden Daten während der Übertragung gesichert?

Der Mendix Der Zugriff auf die in einem Container ausgeführte Runtime erfolgt über eine lastausgeglichene Routing-Schicht aus geclusterten Front-End-Webservern, die den Datenverkehr an die jeweilige Anwendungsumgebung weiterleitet. Dabei ist der Webserver für die TLS-Verbindungen verantwortlich. Zusätzlich werden alle gängigen Zugriffs- und Sicherheitsdienste des IaaS-Anbieters für den Datenverkehr zu dessen Infrastruktur genutzt. Die vom Browser ausgehende TLS-Verbindung endet beim Webserverdienst auf der lastausgeglichenen Routing-Schicht. Dadurch wird eine Ende-zu-Ende-Verschlüsselung der Daten sichergestellt, sodass andere Anwendungsumgebungen keine Daten aus der Zielanwendungsumgebung abfangen können.

Weitere Informationen zur Datensicherheit finden Sie in der Datensicherheit .

Wie wird der Zugriff auf eingehende Anfragen eingeschränkt?

Innerhalb der Mendix Cloud: Es ist möglich, den Zugriff auf eingehende Anfragen mithilfe mehrerer Steuerelemente einzuschränken. Durch die Konfiguration von Zugriffsbeschränkungen haben Sie eine detaillierte Kontrolle über den externen Zugriff auf Ihre Anwendung.

Beschränkung des Zugriffs innerhalb der Mendix Die Cloud wird durch Zugriffsbeschränkungsprofile konfiguriert. Ein Zugriffsbeschränkungsprofil kann eine beliebige Anzahl von IPv4- und IPv6-Adressbereichen oder eine Client-Zertifizierungsstelle oder beides enthalten.

Welche Art von Verschlüsselung wird in der Mendix Wolke?

Mendix bietet sofort einsatzbereite Verschlüsselung für ruhende und übertragene Daten in App-Umgebungen. Für mehr Kontrolle über die Verschlüsselung können Kunden mithilfe plattformgestützter Module eine zusätzliche Verschlüsselungsebene für Datensätze in der Datenbank hinzufügen.

Einzelheiten zum Routing und zur Netzwerkverschlüsselung finden Sie im Abschnitt Wie werden Daten während der Übertragung gesichert? oben. Weitere Informationen zur Anwendungsdatenverschlüsselung finden Sie im Datensicherheit .

Wie schneidet Mendix Sicherheit durch Penetrationstests und verantwortungsvolle Offenlegung gewährleisten?

Die Plattform betreibt in Zusammenarbeit mit einem externen Bug-Bounty-Anbieter ein Programm zur verantwortungsvollen Offenlegung. Dies ermöglicht es ethischen Hackern, Schwachstellen sicher zu melden und so die Sicherheitslage der Plattform zu stärken.

Zusätzlich zu den laufenden, von der Community betriebenen Sicherheitsbemühungen, Mendix Die Plattform wird regelmäßig von zertifizierten, unabhängigen Sicherheitsfirmen Penetrationstests unterzogen. Diese Bewertungen finden mehrmals jährlich statt und umfassen eine Kombination aus Black-Box-Tests, White-Box-Analysen und Red-Teaming-Übungen, um die Widerstandsfähigkeit der Plattform gegenüber realen Angriffsszenarien gründlich zu bewerten.

Penetrationstests sind ein wichtiger Bestandteil der Mendix Sicherheitsprogramm der Plattform und wird regelmäßig von zertifizierten, unabhängigen Sicherheitsfirmen durchgeführt. Ihre Wirksamkeit wird durch jährliche Audits bestätigt und dokumentiert in Mendix Sicherheitszertifizierungen und -bescheinigungen, einschließlich des SOC 2 Typ II-Berichts, der PCI DSS Level 1 Service Provider Attestation of Compliance, der ISO/IEC 27001:2013-, ISO/IEC 27017:2015- und NEN 7510-1:2017-Zertifizierung.

Welche DDoS-Kontrollen gibt es für die Mendix Wolke?

Alle Mendix Apps gehostet in Mendix Cloud v4 stehen hinter AWS Shield Advanced und sind gegen die häufigsten und am häufigsten auftretenden DDoS-Angriffe auf Netzwerk- und Transportebene geschützt. Zusätzlich zu diesem Schutz bietet die Mendix Die Cloud bietet zusätzliche Funktionen zur Erkennung und Abwehr großer und komplexer DDoS-Angriffe, eine nahezu Echtzeit-Sichtbarkeit von DDoS-Angriffen und einen 24/7-Zugriff auf das AWS DDoS Response Team.

Wie werden Bedrohungserkennung und Vorfallreaktion plattformübergreifend verwaltet?

Die Sicherheitsvorgänge für die Plattform werden unterstützt durch Siemens Cyber ​​Defense Center, das kontinuierliche Sicherheitsüberwachung, Bedrohungserkennung und Reaktion auf Vorfälle bietet.
Dieses Zentrum ist rund um die Uhr in Betrieb und für die Analyse von Sicherheitsereignissen, die Koordinierung der Vorfallbehandlung und die Gewährleistung einer schnellen Eindämmung von Bedrohungen in der gesamten Cloud- und Anwendungsumgebung verantwortlich.

Zur Unterstützung dieser Bemühungen liefert eine Endpoint Detection and Response (EDR)-Plattform eine datengesteuerte Analyse der Cloud-Infrastruktur und ermöglicht so die Erkennung von anomalem Verhalten, Richtlinienverstößen und neu auftretenden Bedrohungen.

Parallel dazu prüft eine Cloud-Native Application Protection Platform (CNAPP) die Infrastruktur kontinuierlich auf Fehlkonfigurationen, gefährdete Dienste und Schwachstellen zur Laufzeit und ermöglicht so eine frühzeitige Erkennung und rechtzeitige Behebung von Risiken.

Darüber hinaus scannt eine Plattform zur Schwachstellenverwaltung die Umgebung kontinuierlich auf bekannte Schwachstellen, Konfigurationsschwächen und gefährdete Assets und ermöglicht so eine proaktive Risikoidentifizierung und -priorisierung.

Dieser integrierte Ansatz stellt sicher, dass alle Ebenen der Plattform – von der Infrastruktur bis zur Laufzeit – proaktiv vor sich entwickelnden Cyberbedrohungen geschützt sind.

Wie werden Schwachstellen für die Plattform verfolgt, bewertet und offengelegt?

Mendix veröffentlicht Sicherheitshinweise durch Hebelwirkung Siemens ProduktCERT, ein engagiertes Team erfahrener Sicherheitsexperten, das den Empfang, die Untersuchung, die interne Koordination und die öffentliche Berichterstattung von Sicherheitsproblemen im Zusammenhang mit verwaltet Siemens Produkte, Lösungen und Dienstleistungen.

Mendix fügt den Common Vulnerability Scoring System (CVSS)-Score und den CVSS-Vektor für Sicherheitslücken hinzu, die in den Versionshinweisen zu Studio Pro beschrieben sind. Mendix fügt außerdem die Mendix-spezifische CVE-IDs, sobald diese verfügbar sind.

Wie funktioniert das? Mendix Soll ich meine App per Cloud vor bösartigem und unerwünschtem Internetverkehr schützen?

Alle Mendix Apps gehostet in Mendix Cloud v4 ist durch eine AWS Web Application Firewall (WAF) geschützt.

WAF ist ein Sicherheitsdienst, der Ihre Anwendungen vor bösartigem und unerwünschtem Internetverkehr schützt, ohne Ihren Anwendungscode zu ändern. WAF befasst sich mit verschiedenen Angriffskategorien, darunter viele hochriskante und häufig auftretende Schwachstellen, die in OWASP-Veröffentlichungen beschrieben werden, wie z. B. OWASP Top 10. Dazu gehören unter anderem:

  • Cross Site Scripting
  • HTTP-Protokollverletzungen
  • Bots, Crawler und Scanner
  • HTTP-Denial-of-Service
  • Fälschung von serverseitigen Anforderungen
  • Einbeziehung lokaler Dateien
  • Log4j-Remotecodeausführung

Der Mendix Cloud unterstützt eine Vielzahl konfigurierbarer HTTP-Antwortheader zum Schutz Ihrer Mendix Anwendung. Weitere Informationen finden Sie unter Umgebungsdetails in England, Mendix Portal-Leitfaden.

Welche physischen Sicherheitskontrollen gibt es für die Mendix Wolke?

Mendix Die Cloud wird auf Amazon Web Services (AWS) gehostet und nutzt die branchenführenden Rechenzentren von AWS, die höchste Standards für physische und umgebungsbezogene Sicherheit erfüllen. Diese Einrichtungen verfügen über zahlreiche Zertifizierungen und Prüfberichte von Drittanbietern, darunter ISO/IEC 27001:2013, SOC 2 und PCI DSS. Darüber hinaus MendixDie zertifizierten Informationssicherheitsbeauftragten von überprüfen die Cloud-Hosting-Umgebung halbjährlich, um die kontinuierliche Einhaltung der Mendix Sicherheitsanforderungen und bewährte Verfahren der Branche.

Wie schneidet Mendix Geschäftskontinuität und Notfallwiederherstellung unterstützen?

Geschäftskontinuität und Notfallwiederherstellung sind integrale Bestandteile der Mendix Sicherheitsrahmen und sind an ISO 22301, dem internationalen Standard für Business Continuity Management, ausgerichtet. Um sicherzustellen, dass die Kundenservices im Falle einer Störung schnell wiederhergestellt werden können, Mendix hat ein formelles Disaster-Recovery-Verfahren implementiert, das vierteljährlich auf seine Wirksamkeit getestet wird. Darüber hinaus Mendix bietet robuste Disaster-Recovery-Funktionen, einschließlich Hochverfügbarkeit über mehrere Verfügbarkeitszonen hinweg, horizontaler Skalierung von Anwendungsumgebungen und automatisierten Wiederherstellungsmechanismen zur Minimierung von Ausfallzeiten bei unerwarteten Ausfällen. Dieser Ansatz gewährleistet die Ausfallsicherheit und Kontinuität kritischer Dienste in einer Vielzahl von Bereitstellungsszenarien.

Für weitere Informationen über die Mendix Cloud-Architektur, siehe Cloud-Architektur.

Welche Backup-Funktionalität bietet Mendix?

Für alle Ihre Umgebungen wird täglich eine Sicherung aller Daten (Modell, Datenbank und Dateispeicher) erstellt. Die Sicherungen werden an sicheren, geografisch verteilten Standorten gespeichert.

Sicherungen stehen zur Wiederherstellung wie folgt zur Verfügung:

  • Nächtliche Backups – maximal 2 Wochen Historie (gerechnet ab dem Tag vor der Anfrage)
  • Sonntags-Backups – maximal 3 Monate Historie (gerechnet ab dem Tag vor der Anfrage)
  • Monatliche Backups (erster Sonntag im Monat) – maximal 1 Jahr Historie (gerechnet ab dem Tag vor der Anfrage)

Sowohl Produktionsdaten als auch Backup-Daten nutzen Cloud-Speicher und unterliegen dem Speicherlimit des Mendix Plattformabonnement erworben. Unternehmen wird empfohlen, ein internes Protokoll für die Verwendung und Prüfung von Backups einzurichten. Administratoren können Backups von der Mendix Portal oder entwickeln Sie automatisierte Downloads von Backups mit dem Mendix Plattform-REST-API. Mendix bietet außerdem die Möglichkeit, die Live-Datenreplikation zu nutzen, um eine Fallback-Umgebung zu ermöglichen.

Beeinflusst die Mendix Basiskonfigurationen für die Härtung erstellen und verwalten?

Der Mendix Das Sicherheitsteam pflegt eine robuste Härtungsbasislinie, die sich an international anerkannten Standards wie SANS und CIS Benchmarks orientiert. Cloud-Umgebungen werden kontinuierlich überwacht und gescannt, um die Einhaltung dieser Basiskonfigurationen sicherzustellen.

Die Härtungskontrollen unterliegen einer regelmäßigen Evaluierung durch unabhängige externe Prüfer. Ihre Wirksamkeit wird durch jährliche Audits bestätigt und dokumentiert in Mendix Sicherheitszertifizierungen und -bescheinigungen, einschließlich des SOC 2 Typ II-Berichts, der PCI DSS Level 1 Service Provider Attestation of Compliance, der ISO/IEC 27001:2013-, ISO/IEC 27017:2015- und NEN 7510-1:2017-Zertifizierung.

Für weitere Informationen, siehe Welche Sicherheitszertifizierungen und -prüfberichte von Drittanbietern Mendix Haben?.

Wie funktioniert das? Mendix Cloud-Support für DTAP-Umgebungen?

Mendix Die Cloud unterstützt und fördert die DTAP-Methodik von Natur aus durch die folgenden Umgebungsmanagementfunktionen:

  • Dedizierte Umgebungen pro Anwendung:
    • Für jeden Mendix Anwendung, die Sie bereitstellen auf dem Mendix Cloud können Sie problemlos mehrere unterschiedliche Umgebungen bereitstellen. Normalerweise richten Sie für jede App mindestens eine Akzeptanz- und eine Produktionsumgebung ein. Neue Umgebungen können über das Control Center selbst bereitgestellt werden.
    • Jede dieser Umgebungen ist eine separate Instanz Ihrer Anwendung, die unabhängig ausgeführt wird.
  • Isolierte Datenbanken:
    • Entscheidend ist, dass jede Umgebung in der Regel über eine eigene isolierte Datenbank verfügt. Das bedeutet, dass Sie Ihre Test- und Abnahmeumgebungen mit spezifischen Testdaten füllen können, ohne Ihre Live-Anwendung zu beeinträchtigen. Daten aus Ihren Entwicklungstests beeinträchtigen Ihre Produktionsdaten nicht und umgekehrt.
  • Nahtlose Bereitstellungspipeline:
    • Mendix Studio Pro (die IDE) integriert sich direkt mit dem Mendix Cloud-Portal. Damit können Entwickler neue Versionen ihrer Anwendung mit nur wenigen Klicks von ihrem lokalen Computer in die Test- oder Abnahmeumgebung bereitstellen.
    • Einmal in der Cloud, Mendix Cloud Portal bietet eine benutzerfreundliche Oberfläche, um Ihre Anwendungsversionen durch die DTAP-Pipeline zu bringen (z. B. vom Test zur Abnahme und dann zur Produktion). Diese „One-Click-Bereitstellung“ zwischen Umgebungen vereinfacht den Release-Prozess erheblich.
    • Mit Mendix Mit Pipelines können Sie den Bereitstellungsprozess einfach automatisieren. Eine Anwendung kann über die DTAP-Pipeline beworben werden, während Sie mithilfe von Qualitäts- und Test-Gateways die Kontrolle über die Codequalität behalten.
  • Versionskontrollintegration (Mendix Team Server):
    • Mendix Anwendungen sind eng integriert mit der Mendix Team Server (ein integriertes Versionskontrollsystem basierend auf SVN oder Git).
    • Bei der Bereitstellung in einer Umgebung stellen Sie eine bestimmte Version Ihrer Anwendung vom Teamserver bereit. Dadurch wissen Sie genau, welche Version in der jeweiligen Umgebung ausgeführt wird. Dies erleichtert die Rückverfolgbarkeit und ermöglicht bei Bedarf ein Rollback.
  • Umgebungsspezifische Konfigurationen:
    • App-Einstellungen – Pro Umgebung können unterschiedliche API-Schlüssel, externe Service-Endpunkte oder Feature-Flags festgelegt werden.
    • Geplante Ereignisse – Möglicherweise haben Sie für Batchprozesse in der Entwicklung unterschiedliche Zeitpläne als in der Produktion.
    • Benutzerrollen und Sicherheit – Während das grundlegende Sicherheitsmodell Teil der App ist, können bestimmte Benutzerkonten oder Integrationen abweichen.
    • Ressourcen – Produktionsumgebungen können mit mehr Speicher-, CPU- und Netzwerkressourcen skaliert werden als Entwicklungsumgebungen, was ihren unterschiedlichen Leistungsanforderungen Rechnung trägt.
  • Überwachung und Protokollierung:
    • Der Mendix Cloud Portal bietet Überwachungstools und Protokolle für jede einzelne Umgebung. So können Sie Leistung, Integrität und Benutzeraktivität Ihrer Anwendung in jeder Phase verfolgen und Probleme erkennen und beheben, bevor sie die Produktion erreichen.
  • Sicherheit und Zugangskontrolle:
      • Der Zugriff auf die Verwaltung und Bereitstellung in verschiedenen Umgebungen kann über Benutzerrollen innerhalb der Mendix Cloud-Portal, das sicherstellt, dass nur autorisiertes Personal Änderungen an kritischen Umgebungen wie der Produktion vornehmen kann.

Vorteile der Mendix DTAP-Unterstützung der Cloud

  • Reduziertes Risiko: Durch die Isolierung von Umgebungen wird verhindert, dass sich Entwicklungsänderungen vorzeitig auf Live-Benutzer auswirken.
  • Schnellere Release-Zyklen: Der optimierte Bereitstellungsprozess zwischen Umgebungen beschleunigt den Weg von der Entwicklung zur Produktion.
  • Verbesserte Qualität: Spezielle Test- und Abnahmephasen führen zu gründlicher geprüften Anwendungen.
  • Bessere Zusammenarbeit: Klare Aufgabentrennung für Entwickler, Tester und Fachanwender.
  • Skalierbarkeit und Flexibilität: Skalieren Sie die Ressourcen für jede Umgebung ganz einfach unabhängig und entsprechend ihren spezifischen Anforderungen.

Im Wesentlichen ist die Mendix Cloud bietet eine strukturierte, integrierte und benutzerfreundliche Plattform, die die Implementierung und Verwaltung einer robusten DTAP-Strategie nicht nur möglich, sondern auch intuitiv macht für Mendix Entwickler und Betriebsteams.

Beeinflusst die Mendix Benutzerdefinierte Domänen unterstützen?

Ja. Für Situationen, in denen Pinning erforderlich ist, können Sie eine benutzerdefinierte Domäne einrichten, in der Sie die volle Kontrolle über die Aktualisierung des Zertifikats haben. Für Verbindungen vom Internet zu Ihrem Mendix Cloud-Anwendungen bieten wir eine .mendixcloud.com or .mxapps.io Domäne mit einem Zertifikat verwaltet von Mendix.

Wählen Sie Ihre Sprache