跳到主要内容

云安全

站内搜索

联系销售
免费试用
打印

云安全

有哪些类型的安全控制措施 Mendix 云?

安全控制 Mendix 云包括各种级别的加密、传输层安全性 (TLS)、访问限制、对恶意和不必要的互联网流量的保护以及节点设置和权限。以下部分详细介绍了这些安全控制。

如何确保传输中的数据的安全性?

- Mendix 在容器中运行的运行时通过集群 Nginx Web 服务器的负载平衡路由层进行访问,该路由层将流量路由到相关的应用环境,Web 服务器负责 TLS 连接。此外,IaaS 提供商的所有常见访问和安全服务都用于流向其基础设施的流量。从浏览器开始的 TLS 连接终止于负载平衡路由层上的 Web 服务器服务。这可确保数据端到端加密,因此其他应用环境无法拦截来自目标应用环境的任何数据。

- Mendix Cloud 支持多种可配置的 HTTP 响应标头,以保护您的 Mendix 应用。 有关更多信息,请参阅 环境详情 ,在 Mendix 门户指南.

如何限制传入请求的访问?

内 Mendix 云,可以使用多个控件来限制传入请求的访问,通过配置访问限制,您可以对应用程序的外部访问进行细粒度的控制。

限制访问 Mendix 云由访问限制配置文件配置。访问限制配置文件可以包含任意数量的 IPv4 和 IPv6 地址范围,或客户端证书颁发机构,或两者兼有。

这是上传客户端证书的示例:

如何限制传出连接的访问​​?

所有到应用程序的入站连接 Mendix 云通过 TLS 进行保护。由于您的应用还可以连接到互联网上的其他服务, Mendix 建议通过 TLS 或带有客户端证书验证的 TLS 来保护传出连接的安全。

TLS 是最常见的场景,其中客户端验证服务器证书并建立加密连接。通过验证客户端信任存储中证书颁发机构的信任链来验证信任。使用加密,通过连接发送和接收的数据不会被其他方拦截,因此要对客户端进行身份验证,例如,可以将用户名/密码或令牌与 HTTP 标头一起使用。这可用于原生支持 TLS 的服务。

要从 Mendix 云,服务可以暴露在外部 IP 地址和端口上。这可以通过防火墙来仅允许 Mendix 云来连接它。

带有客户端证书验证的 TLS 增加了对正在使用的服务进行身份验证的要求 Mendix 应用程序,包括使用 TLS 进行传输加密。

儿童在 Mendix 支持自定义域名吗?

对于从互联网到您的 Mendix 云应用程序,我们提供 .mendixcloud.com or .mxapps.io 域名与证书管理 Mendix。对于需要固定的情况,您可以设置自定义域,并在其中完全控制证书的更新。

如何处理我的访问管理 Mendix 云环境?

细粒度的访问管理,为您的 Mendix 云环境针对您的每个应用程序进行处理 Mendix 门户。每个团队成员都可以订阅或取消订阅警报,并且 技术联系方式 应用程序可以管理每个环境中每个团队成员的各种权限。

以下部分描述了节点设置中使用的各种开发团队角色。

团队角色管理什么 Mendix 云环境访问?

具有技术联系人角色的用户可以管理云节点中的所有设置,并可以编辑具有查看、部署和监控权限的常规开发团队成员的权限。其他团队成员的管理权限受到限制。

一个云节点始终只有一个技术联系人(而任何数量的团队成员都可以拥有查看、部署和监控权限)。只有技术联系人可以将其用户角色授予其他团队成员(此后,新用户拥有技术联系人角色,而旧用户则没有)。

技术联系人从云节点收到以下警报:

  • 维护通知 在 Mendix 支持
  • 通知 出现问题时从节点
    • 例如CPU负载高,磁盘空间不足
    • 技术联系人无法关闭这些警报

应用程序事件和变更的第一联系人是谁?

技术联系人是 Mendix 关于应用程序的支持。技术联系人可以提交以下类型的云节点请求:

  • 事故 – 例如,当应用程序关闭时
  • 标准变更 – 请求添加云资源、更改 Mendix 应用程序 URL、创建新应用程序、获取或续订许可证、重置 Google 身份验证器

我的 Mendix 云环境?

节点权限为您的应用程序管理提供细粒度的访问控制。可配置的节点权限如下所述。

运输权

凭借传输权限,您可以将应用程序的新版本部署到节点。您可以创建新的部署包、停止和启动环境以及更改配置设置(例如常量和计划事件)。

访问备份

此权限授予对环境备份的访问权限。您可以查看、创建、下载和恢复备份。

接收警报

当在 Mendix 门户,当触发警报时,用户将收到一封电子邮件。当应用程序意外离线、应用程序记录关键级别消息、健康检查失败或发生各种基础设施问题时,都会触发警报。

公司管理员如何管理我的 Mendix 云环境?

Mendix 提供对公司云环境的可视性 Mendix 管理员 ,在 控制中心.这包括有关环境的 资源包, 是否 后备 选项已到位,以及云位置。对于管理云环境,您可以发起请求 Mendix 支持对云环境进行修改。

API 权利

凭借 API 权限,您可以使用 部署API 以编程方式访问环境。当然,API 不需要双因素身份验证,因此默认情况下,生产环境的 API 访问被禁用。技术联系人可以为每个用户分配 API 访问权限。请注意,除了其他权限外,还需要 API 权限,因此为了通过 API 访问备份,您既需要备份访问权限,也需要 API 权限。

提供哪些备份功能 Mendix?

每天为您的所有环境备份所有数据(模型、数据库和文件存储)。备份存储在地理上分散的安全位置。

可以按如下方式恢复备份:

  • 每晚备份 – 最多 2 周的历史记录(从请求前一天开始计算)
  • 周日备份 – 最多 3 个月的历史记录(从请求前一天开始计算)
  • 每月备份 (每月第一个星期日)——最多 1 年的历史记录(从请求前一天开始计算)

生产数据和备份数据均使用云存储,并受与 Mendix 购买平台订阅。建议公司建立内部协议以使用和测试备份。管理员可以从 Mendix 门户或开发使用 Mendix 平台 REST API。 Mendix 还提供使用实时数据复制的选项,以便实现回退环境。

监控权限

凭借此权限,您可以查看应用程序指标、日志和警报 Mendix 门户。这可以让你成功地运营你的 Mendix 云环境。

如何 Mendix 减轻灾害?

- Mendix 云有多种应对灾难的措施,包括部署到多个可用区域的高可用性、扩展和自动恢复。

每季度进行一次灾难恢复测试 Mendix 平台。这些测试在我们的 ISAE 3000 类型 II 报告、ISAE 3402 类型 II 报告、SOC 1 类型 II 报告、SOC 2 类型 II 报告、SOC 3 类型 II 报告、ISO/IEC 27001:2013、ISO/IEC 27017:2015、ISO/IEC 27018:2019、NEN 7510-1:2017 认证和 HIPAA 保证函中进行了报告。

是否 Mendix 云提供高可用性和自动恢复吗?

- Mendix Cloud 为拥有企业许可证的客户提供高可用性选项。这可确保在发生以下情况时零停机: Mendix 运行时中断。用户可以扩展 Mendix 使用应用程序环境 Mendix 门户。此外, Mendix 云可在同一可用区域内实现自动恢复和故障转移。

有关详细信息,请参阅 如何 Mendix 云提供高可用性吗?如何 Mendix 提供灾难恢复吗?及 如何 Mendix 云提供自动恢复和自动修复吗? in 云架构.

提供哪种加密 Mendix 云?

Mendix 为应用环境提供静态和传输数据加密。如需更多加密控制, Mendix 支持应用数据库内特定列的加密,并可以加密上传的文件。

有关路由和网络加密的详细信息,请参阅 如何确保传输中的数据的安全性? 以上。

提供哪些类型的日志记录和审计跟踪? Mendix 云?

Mendix 对整个应用程序生命周期进行广泛的日志记录。日志记录不仅针对由 Mendix 运行时,以及应用程序设计、开发和部署期间的活动。因此,可以对应用程序中的所有相关活动以及执行这些活动的人员和执行时间进行完整的审计跟踪。

以下部分将详细介绍各种级别的日志记录。

  • 我能否识别谁定义了哪些要求?

    - Mendix 平台支持以用户故事的形式定义需求(通过应用程序项目的项目模块)。 Mendix 记录与用户故事相关的操作,以便追踪谁定义了哪些需求。

  • 如何监控我的应用程序开发的完整性?

    正在开发的应用程序的完整性由团队服务器监控,它允许您将所有更改提交链接到一个 Mendix 应用程序与特定用户故事和用户相关联。这样您就可以追踪谁开发了应用程序的哪个部分以及出于什么原因。

  • 记录了哪些部署活动?

    - Mendix 门户是 Mendix 平台除了其他功能外,还负责处理应用程序包的部署(在 Mendix)。与部署有关的活动 Mendix 门户包括跨环境部署和暂存应用程序。此外,还会记录备份和恢复操作,因此可以完全跟踪执行的管理任务。

记录了哪些运行时活动?

- Mendix Runtime 提供了记录用户行为和对象操作的选项,从而能够将审计跟踪做到最低级别。除了标准日志详细信息(例如活跃用户)之外, Mendix Studio Pro 允许您添加自定义日志记录。您甚至可以根据定制的完整性触发器添加主动警报。

日志持久存储在日志文件中,并且 Mendix 提供订阅日志事件的API。 Mendix 还可以与 RSA 等第三方工具集成,以便在需要安全日志记录和审计的环境中加密存储日志文件。

怎么样? Mendix 云支持 DTAP 环境吗?

- Mendix 平台部署架构基于 Cloud Foundry,这是 SAP、IBM 和 GE 等公司使用的行业标准云应用平台。Cloud Foundry 在逻辑上将 Mendix 使用容器的应用程序。您可以根据需要拥有任意数量的环境,但这通常包括验收环境、生产环境,有时还包括测试环境,每个环境都在自己的应用程序环境中运行。

如何 Mendix 提供遏制 Mendix 云?

A Mendix 云节点是一组虚拟且自主的 Mendix 专为您的公司打造的运行时。 Mendix 云节点至少包含两个环境(验收和生产),每个环境都在自己的应用环境中运行。您可以根据需要扩展它以拥有任意数量的环境。每个应用环境还包括防火墙、Web 服务器和数据库服务。 Mendix 云节点使用 Cloud Foundry 容器。应用容器的目的是包含环境的行为和消耗,同时屏蔽其他环境(和应用)。

Cloud Foundry 使用 花园容器 这些容器旨在基于构建包运行应用程序和依赖项。Garden 容器由两层组成:带有操作系统根文件系统的只读层,以及用于 Mendix 应用程序和依赖项。

数据库和文件在逻辑上也包含在 Mendix Cloud 和 Cloud Foundry。 Mendix 应用程序托管在单独的 PostgreSQL 实例上,并且此特定实例仅允许来自此特定实例的流量 Mendix 应用程序。

由于每个应用环境都有自己专用的 Web 服务器和防火墙服务, Mendix 通过以下方式支持应用环境级别的定制 Mendix Portal 不会影响其他应用环境。例如,特定应用环境的请求处理程序的定制不会受到其他应用环境的需求和期望的影响 Mendix 客户。

应用环境设置允许同一应用程序的所有实例以相同但独立的方式运行。由于应用环境是完全标准化的, Mendix 优化操作系统、集成软件和虚拟化软件的组合,同时实现最高程度的安全性和性能。此外, Mendix 为应用环境提供开箱即用的静态数据加密。

儿童在 Mendix 建立并维护强化的基线配置?

- Mendix 安全团队已根据 SANS 和 CIS 等国际标准建立了强化安全基线。我们的独立第三方审计师会对此进行审计,并每年发布 ISAE 3402 类型 II 报告、SOC 1 类型 II 报告、SOC 2 类型 II 报告、SOC 3 类型 II 报告、PCI DSS 1 级服务提供商合规证明、ISO/IEC 27001:2013、ISO/IEC 27017:2015、ISO/IEC 27018:2019、NEN 7510-1:2017 认证和 HIPAA 保证函。

欲了解更多信息,请参阅 哪些第三方安全认证和保证报告 Mendix 有?.

哪些物理安全控制措施适用于 Mendix 云?

Mendix 云托管在行业领先的数据中心,由经过认证的信息安全官每两年审查一次合规性。 Mendix。所有数据中心均拥有第三方认证和/或第三方保证报告,如 ISO/IEC 27001:2013、SOC 2 和 PCI-DSS。

哪些 DDoS 控制措施适用于 Mendix 云?

全部 Mendix 托管于 Mendix Cloud v4 位于 AWS Shield Advanced 后面,可防御最常见和最常发生的网络和传输层 DDoS 攻击。除了这种保护之外, Mendix 云具有对​​大型和复杂 DDoS 攻击的额外检测和缓解功能,近乎实时地查看 DDoS 攻击,并且 24/7 访问 AWS DDoS 响应团队。

怎么样? Mendix 云保护我的应用免受恶意和不必要的互联网流量的侵害?

全部 Mendix 托管于 Mendix Cloud v4 受到 AWS Web 应用程序防火墙 (WAF) 的保护。

WAF 是一种安全服务,无需修改应用程序代码即可保护您的应用程序免受恶意和不必要的互联网流量的侵害。WAF 可解决各种攻击类别,包括 OWASP 出版物中描述的许多高风险和常见漏洞,例如 OWASP顶级10。 其中包括:

  • 跨站点脚本
  • HTTP 协议违规
  • 机器人、爬虫和扫描仪
  • HTTP 拒绝服务
  • 服务器端请求伪造
  • 本地文件包含
  • Log4j 远程代码执行

选择你的语言