云安全 | Mendix

跳到主要内容

站内搜索

联系我们
免费试用
打印

云安全

有哪些类型的安全控制措施 Mendix 云?

我们的云安全架构确保最高级别的数据保护、应用安全和运营透明度。本文档概述了我们的云基础架构如何利用全面的行业最佳实践和工具,在从开发部署到运行时监控的各个层面维护安全。
显示可用安全控制的图表
安全控制 Mendix 云安全措施包括各种级别的加密、传输层安全性 (TLS)、访问限制以及对恶意和不必要的互联网流量的防护。以下部分详细介绍了这些安全控制措施。

如何确保传输中的数据的安全性?

这个 Mendix 容器中运行的运行时通过集群化的前端 Web 服务器的负载均衡路由层进行访问,该路由层将流量路由到相关的应用环境,而 Web 服务器负责 TLS 连接。此外,IaaS 提供商提供的所有常见访问和安全服务都用于处理流向其基础架构的流量。从浏览器发起的 TLS 连接终止于负载均衡路由层上的 Web 服务器服务。这确保了数据端到端加密,因此其他应用环境无法拦截来自目标应用环境的任何数据。

有关数据安全的更多信息,请参阅 数据保障及安全 部分。

如何限制传入请求的访问?

内 Mendix 云,可以使用多个控件来限制传入请求的访问,通过配置访问限制,您可以对应用程序的外部访问进行细粒度的控制。

限制访问 Mendix 云由访问限制配置文件配置。访问限制配置文件可以包含任意数量的 IPv4 和 IPv6 地址范围,或客户端证书颁发机构,或两者兼有。

提供哪种加密 Mendix 云?

Mendix 为应用环境提供开箱即用的静态和传输数据加密。为了更好地控制加密,客户可以使用平台支持的模块为数据库中的数据集添加额外的加密层。

有关路由和网络加密的详细信息,请参阅 如何确保传输中的数据的安全性? 以上。有关应用程序数据加密的详细信息,请参阅 数据保障及安全 部分。

如何 Mendix 通过渗透测试和负责任的披露确保安全?

该平台与外部漏洞赏金提供商合作,运行负责任的漏洞披露计划。这使得道德黑客能够安全地报告漏洞,从而有助于增强平台的安全态势。

除了正在进行的社区驱动的安全努力之外, Mendix 平台定期接受由认证的独立安全公司执行的渗透测试。这些评估每年进行多次,包括黑盒测试、白盒分析和红队演练,以全面评估平台抵御真实攻击场景的韧性。

渗透测试是 Mendix 平台的安全保障计划,并由经过认证的独立安全公司定期进行。其有效性通过年度审计进行验证,并记录在 Mendix 安全认证和证明,包括 SOC 2 Type II 报告、PCI DSS Level 1 服务提供商合规证明、ISO/IEC 27001:2013、ISO/IEC 27017:2015 和 NEN 7510-1:2017 认证。

哪些 DDoS 控制措施适用于 Mendix 云?

全部 Mendix 托管于 Mendix Cloud v4 位于 AWS Shield Advanced 后面,可防御最常见和最常发生的网络和传输层 DDoS 攻击。除了这种保护之外, Mendix 云具有对​​大型和复杂 DDoS 攻击的额外检测和缓解功能、近乎实时的 DDoS 攻击可见性以及对 AWS DDoS 响应团队的 24⁄7 访问。

如何在整个平台上管理威胁检测和事件响应?

平台的安全操作由 Siemens 网络防御中心,提供持续的安全监控、威胁检测和事件响应功能。
该中心全天候运行,负责分析安全事件、协调事件处理并确保快速缓解整个云和应用环境中的威胁。

为支持这些努力,端点检测和响应 (EDR) 平台提供数据驱动的云基础设施分析,从而能够检测异常行为、违反政策和新出现的威胁。

同时,云原生应用保护平台 (CNAPP) 会持续评估基础设施在运行时是否存在错误配置、暴露的服务和漏洞,从而能够以及早发现并及时补救风险。

此外,漏洞管理平台会持续扫描环境中的已知漏洞、配置弱点和暴露资产,从而实现主动风险识别和优先级排序。

这种集成方法可确保平台的所有层(从基础设施到运行时)都受到主动保护,以抵御不断演变的网络威胁。

平台如何跟踪、评估和披露漏洞?

Mendix 出版 安全公告 通过利用 Siemens 产品CERT,这是一支由经验丰富的安全专家组成的专门团队,负责管理与 Siemens 产品、解决方案和服务。

Mendix 为 Studio Pro 发行说明中描述的安全漏洞添加了通用漏洞评分系统 (CVSS) 分数和 CVSS 向量。 Mendix 还添加了 Mendix-特定的 CVE ID(当它们可用时)。

怎么样? Mendix 云保护我的应用免受恶意和不必要的互联网流量的侵害?

全部 Mendix 托管于 Mendix Cloud v4 受到 AWS Web 应用程序防火墙 (WAF) 的保护。

WAF 是一种安全服务,无需修改应用程序代码即可保护您的应用程序免受恶意和不必要的互联网流量的侵害。WAF 可解决各种攻击类别,包括 OWASP 出版物中描述的许多高风险和常见漏洞,例如 OWASP顶级10。这些包括但不限于:

  • 跨站点脚本
  • HTTP 协议违规
  • 机器人、爬虫和扫描仪
  • HTTP 拒绝服务
  • 服务器端请求伪造
  • 本地文件包含
  • Log4j 远程代码执行

这个 Mendix Cloud 支持多种可配置的 HTTP 响应标头,以保护您的 Mendix 应用。 有关更多信息,请参阅 环境详情 ,在 Mendix 门户指南.

哪些物理安全控制措施适用于 Mendix 云?

Mendix 云托管在 Amazon Web Services (AWS) 上,利用 AWS 业界领先的数据中心,这些数据中心符合最高的物理和环境安全标准。这些设施拥有广泛的第三方认证和保证报告,包括但不限于 ISO/IEC 27001:2013、SOC 2 和 PCI DSS。此外, Mendix的认证信息安全官员每两年审查一次云托管环境,以确保持续遵守 Mendix 安全要求和行业最佳实践。

如何 Mendix 支持业务连续性和灾难恢复?

业务连续性和灾难恢复是 Mendix 安全框架,并符合业务连续性管理国际标准 ISO 22301。为了确保在发生中断时能够快速恢复客户服务, Mendix 已实施正式的灾难恢复程序,并每季度进行测试以验证其有效性。此外, Mendix 提供强大的灾难恢复功能,包括跨多个可用区的高可用性、应用程序环境的水平扩展以及自动化恢复机制,以最大程度地减少意外中断期间的停机时间。这种方法可确保在各种部署场景中关键服务的弹性和连续性。

欲了解更多信息 Mendix 云架构,请参阅 云架构.

提供哪些备份功能 Mendix?

每天为您的所有环境备份所有数据(模型、数据库和文件存储)。备份存储在地理上分散的安全位置。

可以按如下方式恢复备份:

  • 每晚备份 – 最多 2 周的历史记录(从请求前一天开始计算)
  • 周日备份 – 最多 3 个月的历史记录(从请求前一天开始计算)
  • 每月备份(每月第一个星期日) – 最多 1 年历史记录(从请求前一天开始计算)

生产数据和备份数据均使用云存储,并受与 Mendix 购买平台订阅。建议公司建立内部协议以使用和测试备份。管理员可以从 Mendix 门户或开发使用 Mendix 平台 REST API。 Mendix 还提供使用实时数据复制的选项,以便实现回退环境。

儿童在 Mendix 建立并维护强化的基线配置?

这个 Mendix 安全团队维护着与 SANS 和 CIS 基准等国际公认标准保持一致的强大强化基线。云环境受到持续监控和扫描,以确保符合这些基线配置。

强化控制措施需定期接受独立第三方审计机构的评估。其有效性通过年度审计进行验证,并记录在 Mendix 安全认证和证明,包括 SOC 2 Type II 报告、PCI DSS Level 1 服务提供商合规证明、ISO/IEC 27001:2013、ISO/IEC 27017:2015 和 NEN 7510-1:2017 认证。

欲了解更多信息,请参阅 哪些第三方安全认证和保证报告 Mendix 有?.

怎么样? Mendix 云支持 DTAP 环境吗?

Mendix 云通过以下环境管理功能固有地支持和鼓励 DTAP 方法:

  • 每个应用程序的专用环境:
    • 对于每一个 Mendix 您部署到的应用程序 Mendix 通过云,您可以轻松配置多个不同的环境。通常,您需要为每个应用至少设置验收环境和生产环境。您可以通过控制中心自助配置新环境。
    • 这些环境中的每一个都是应用程序的单独实例,独立运行。
  • 隔离数据库:
    • 至关重要的是,每个环境通常都带有自己独立的数据库。这意味着您可以将特定的测试数据填充到测试和验收环境中,而不会影响您的实时应用程序。开发测试的数据不会干扰生产数据,反之亦然。
  • 无缝部署管道:
    • Mendix Studio Pro(IDE)直接与 Mendix 云门户。开发人员只需单击几下即可将其应用程序的新版本从本地计算机部署到测试或验收环境。
    • 一旦进入云端, Mendix 云门户提供用户友好的界面,方便您通过 DTAP 流程(例如,从测试到验收,再到生产)推广您的应用程序版本。这种跨环境的“一键部署”功能显著简化了发布流程。
    • 通过 Mendix 通过管道,您可以轻松实现部署过程的自动化。应用程序可以通过 DTAP 管道进行推广,同时使用质量和测试网关来控制代码质量。
  • 版本控制集成(Mendix 团队服务器):
    • Mendix 应用程序与 Mendix 团队服务器(基于 SVN 或 Git 的内置版本控制系统)。
    • 当您部署到某个环境时,实际上是从团队服务器部署应用程序的特定版本。这可确保您准确了解每个环境中正在运行的版本,从而有助于进行追溯并在必要时进行回滚。
  • 环境特定配置:
    • 应用程序设置——可以为每个环境设置不同的 API 密钥、外部服务端点或功能标志。
    • 计划事件——您可能对开发和生产中的批处理流程有不同的计划。
    • 用户角色和安全性——虽然核心安全模型是应用程序的一部分,但特定的用户帐户或集成可能会有所不同。
    • 资源——生产环境可以比开发环境拥有更多的内存、CPU 和网络资源,这反映了它们不同的性能要求。
  • 监控和记录:
    • 这个 Mendix 云门户为每个单独的环境提供监控工具和日志。这使您可以跟踪应用程序在每个阶段的性能、运行状况和用户活动,从而帮助您在问题进入生产环境之前识别并解决问题。
  • 安全和访问控制:
      • 可以通过用户角色来控制对不同环境的管理和部署访问 Mendix 云门户,确保只有授权人员才能对生产等关键环境进行更改。

的好处 Mendix 云的 DTAP 支持

  • 降低风险: 隔离环境可防止开发变化过早影响实时用户。
  • 更快的发布周期: 环境之间的简化部署流程加速了从开发到生产的进程。
  • 改进的质量: 专门的测试和验收阶段可以使应用程序得到更彻底的审查。
  • 更好的协作: 明确区分开发人员、测试人员和业务用户的职责。
  • 可扩展性和灵活性: 根据每个环境的特定需求轻松独立地扩展其资源。

本质上, Mendix 云提供了一个结构化、集成化且用户友好的平台,不仅使实施和管理强大的 DTAP 策略成为可能,而且使 Mendix 开发人员和运营团队。

儿童在 Mendix 支持自定义域名吗?

是的。对于需要固定证书的情况,您可以设置自定义域名,完全控制证书的更新。对于从互联网到您的 Mendix 云应用程序,我们提供 .mendixcloud.com or .mxapps.io 域名与证书管理 Mendix.

选择你的语言