Shotgun 安全性白皮书

更新日期:2017 年 6 月 8 日

Shotgun 团队深知,数据安全性对工作室的正常运转至关重要。随着行业服务平台逐步转向产品创新平台,Shotgun 团队认识到安全性和服务模式变得前所未有的重要。

内容的机密性、完整性和可用性是我们优先考虑的因素。我们不仅有专门负责平台安全和性能的 Shotgun 工程师团队,还有 Autodesk 安全团队的支持,该团队也为其所服务的众多行业和客户在安全性方面倾注了大量心血。我们知道安全性形势并不是一成不变的,因此我们不断重新评估、开发和改进我们的风险管理计划。

在本文档中,我们概述了为在您工作室中安全可靠地运行 Shotgun 而采用的实践措施。如果您有关于 Shotgun 安全性的其他问题,请联系我们:me.shotgun.security@autodesk.com。

基础设施

物理数据中心

所有 Shotgun 服务器都托管在位于美国的 TierPoint 数据中心。TierPoint 站点上的认证页面 http://www.tierpoint.com/company/certification/ 提供了所有详细信息。

TierPoint 已获得 SOC 2 Type II 认证。截至此次撰稿时,最新版本的日期为 2016 年 5 月。

我们的物理服务器由我们的托管合作伙伴 RimuHosting 设置,该公司在 Autodesk 与我们的 TierPoint 数据中心之间承担着增值中介的作用。

相关存储服务

默认情况下,所有 Shotgun 站点都将媒体文件和附件存储在美国的 Amazon 简单结构存储 (S3) 中,但客户可选择使用欧洲或亚洲的位置(由站点管理员自行配置)。我们的数据库备份也存储在美国的 Amazon S3 位置。

Amazon S3 (AWS) 上的所有数据库备份都使用 256 位 AES 加密(有关详细信息,请参见 http://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)进行静态加密。

传输

所有 Shotgun 服务器都支持 TLS 1.x,不可能降级到 SSLv3。加密级别取决于客户端与服务器之间的协商,因此,尽管我们支持 256 位加密,但仍允许在某些情况下进行 128 位加密。

由于我们已将证书更新到最新的加密级别,并将密码列表更新到最强级别,因此得到了 SSL Labs 的 A 评级。

网络加速提供商

CDNnetworks 是网络加速提供商,为远离达拉斯数据服务器的客户提高访问速度。它在全球各地提供端点并连接到我们在达拉斯的数据中心。从安全的角度来看,CDNetwork 支持 HTTPS 的安全级别与 Shotgun 支持的安全级别相同(TLS 1.x,不会降级到 SSLv3)。虽然使用 CDNetwork 是可选的,但在默认情况下,对于新帐户会激活它;可以根据需要对其进行更改。

多租户

Shotgun Web 应用程序是单租户应用程序。每个租户(站点)都按照自己的流程运行,并有自己的逻辑 PostgreSQL 数据库。

API 访问

Shotgun 功能通过打包我们的 HTTPS 请求的 Python API 提供。对 Shotgun 服务器的所有 HTTPS 请求都会进行身份认证,身份认证可以使用客户端 Shotgun 站点中管理的脚本密钥完成,也可以使用用户名和密码完成。

操作

访问生产服务器

只有我们的支持和操作团队可以访问我们的生产服务器。

日志轮换和保留

生产日志每天轮换,且最长保留四周。

监控和通知

Shotgun 使用自动化监控工具监视系统是否正常运行。我们使用一个事件管理流程来快速响应对 Shotgun 产生不利影响的事件。我们数据中心的事件和维护发布在 Shotgun 状态页面上,我们的客户可以注册访问该页面。我们设置了各种触发器以便提前检测到问题,而且有专门的工程师积极监控这些触发器并随时准备采取应对措施。这些问题包括:

  • 网络连接性
  • 系统响应
  • 我们服务器上的负载异常
  • 转码问题
  • 登录失败

计划的维护

我们会尽量至少提前 24 小时在 Shotgun 状态页面上公告维护时段。

要了解我们的维护计划,请参见 Shotgun 维护策略

操作支持

除了面向客户的支持团队外,我们还有随时待命的技术支持团队来处理任务关键型操作问题。任何问题都会报告到我们的 Shotgun 状态页面,我们使用该页面与用户进行交流。您还可以查看以前的事件列表。

可靠性

如 Pingdom (https://www.pingdom.com/company/why-pingdom) 在 2015 年 11 月的报告中所述,我们系统的正常运行时间达到 99.98%。此处提供了实时指标:http://status.shotgunsoftware.com

请注意,虽然我们尽力保持在或超过所述的正常运行时间统计水平,但此部分不应解释为正常运行时间承诺。

密钥管理

所有密钥都保留在仅操作团队可以访问的加密数据存储库中。

灾难恢复

目前,我们的灾难恢复需要我们使用数据库备份重建数据中心。我们估计此过程会持续 24 到 48 小时,具体取决于灾难的性质。

我们的故障转移系统将位于 AWS 中。

应用程序使用

事件日志记录

Shotgun 将大多数活动作为事件记录在事件日志中。修改、创建或删除数据等操作都会进行记录。播放媒体(版本)也作为事件进行记录。尽管查看任何给定页面不是事件,但用户必须进行身份认证并获得授权才能访问任何页面。

用户身份认证

我们支持基于密码的方法和双重身份认证 (2FA) 方法。我们的 2FA 使用 Google 认证器。

凭据

创建新用户时,他们会收到从您工作室的 Shotgun 应用程序站点发出的电子邮件,其中包含一个链接。单击该链接将引导用户完成密码创建,以便能够进入该站点。有关详细信息,请参见文章您的人员

用户授权

权限由客户控制。客户可以根据需要通过复制现有角色来创建新角色。针对不同的角色(美工人员、管理员、经理、客户、供应商)设置了一些规则,不过可以对其进行更改。这些规则应用于整个站点,而不只是某个项目。有关详细信息,请参见文章“权限”和“您的人员”。

数据处理

数据存储

工作(或应用程序)文件(例如,Maya、Nuke 和 Photoshop 文件等)通常存储在本地文件共享位置,Shotgun 将有关这些文件的元数据存储在相关存储服务中(修订号、在磁盘上的位置和相关性等)。Shotgun 用户上传的缩略图和文件附件首先发送到我们的生产服务器,然后异步传输到 Amazon S3 存储。每个站点都有自己的数据库,该数据库在我们的三个 PostgreSQL 数据库服务器群集之一上运行。每个数据库服务器群集都包含一台主服务器和一台从属服务器,这些服务器会持续进行复制。

应用程序数据的数据保留期限

应用程序数据。应用程序数据是应用程序生成的数据,无用户干预。例如,在用户操作后,事件日志中创建的条目是应用程序数据。更具体地说,如果用户创建一个新版本,该版本本身是客户数据,而生成的事件是应用程序数据。应用程序数据的保留期限由 Shotgun 决定,随时可能更改。

事件。事件是应用程序数据的一部分,但鉴于它们对我们许多客户的重要性,我们要强调事件特定的数据保留策略。事件的默认保留期限为 6 个月。在该期限之后,将从数据库中提取出事件,并将其归档在外部永久存储中。已归档的事件不能再通过 Shotgun Web 应用程序或 Shotgun API 访问。但是,可以通过帐户中心以 CSV 格式下载这些已归档的事件。事件的归档期限为 5 年。

数据加密

Amazon S3 上的所有数据都使用 256 位 AES 加密(有关详细信息,请参见 http://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)进行静态加密。出于性能方面的原因,存储在我们的 PostgreSQL 数据库中的数据(例如任务和镜头等实体)存储时未加密。密码通过结合使用安全的加密算法与高迭代次数和随机生成的盐值进行哈希和盐值加密处理。只有盐值和生成的密钥实际永久存储在我们的数据库中。

访问客户数据

Shotgun 受我们的服务条款中的保密条款约束,并根据我们的隐私声明处理所有客户数据。Shotgun 的产品和支持团队可能会为了处理支持请求或改进产品而访问客户数据。

数据库备份

我们的数据库服务器会持续备份到 Amazon S3。我们还在 Amazon S3 上存储每日站点备份。Amazon S3 上的数据库备份会进行静态加密。Amazon S3 上存储的媒体备份由 AWS 直接管理。

数据检索

任何时候,我们都可以为客户提供其站点中存储的数据的副本。其中包括数据和元数据。

数据删除

在与客户终止关系时,我们首先冻结客户端站点(即,站点继续存在并可以恢复,但客户无法访问)。30 天后,创建数据库和已上传数据的备份。再过 90 天后,将从我们的系统中删除所有文件(数据库备份、媒体和附件)。

客户信息

用户在注册时输入的信用卡和其他付款信息在外部存储在名为 Authorize.net (http://www.authorize.net/) 的安全服务中。客户联系信息存储在我们的内部数据库中。其中包括但不限于客户姓名、电子邮件、登录帐户、国家/地区、行业和发票等。我们遵循我们的隐私声明与外部服务共享有限的客户信息。

第三方访问数据

一直以来,我们不授予第三方访问客户数据的权限。如果法律要求,我们将在法律上允许的情况下授予此类访问权限之前先通知客户。

安全流程

监管

我们与 Autodesk 信息安全、风险和控制 (ISRC) 小组(由 Autodesk 首席信息安全官 (CISO) 领导)有着密切的合作关系。

核查

我们与 Independent Security Evaluators (ISE) (https://securityevaluators.com/) 合作,按季度对 Shotgun 执行 SAN/CWE 控制和 OWASP 安全测试。核查当前涵盖 Shotgun Web 应用程序、Shotgun iOS 审看应用和基础设施。同时执行渗透测试和源代码审核。Shotgun Pipeline Toolkit 正在使用 Autodesk ISRC 进行内部核查,在不久的将来将会迁移到第三方核查机构。所有严重和高风险漏洞一经发现便会尽快修复。中等风险项列在短期修复积压工作中。所有其他漏洞都会添加到积压工作中,并会及时处理。

漏洞扫描

自 2015 年以来,一直定期执行漏洞扫描,针对每台服务器按需执行。我们正在努力将此类漏洞扫描系统地集成在我们的开发流程中,并会将此包含在我们的外部季度安全核查中。我们预计在年底完成。

风险管理

自 2015 年 9 月起,Autodesk 一直在实施由 Autodesk 的 CISO 领导的 Autodesk ISRC 小组制定的风险管理计划。

信息安全策略

我们目前正在致力于采用 Autodesk 信息安全策略。我们仍在实施这些安全策略的过程中。

资产管理

Shotgun 遵循 Autodesk 的资产管理策略。所有员工的台式机和笔记本电脑都由 Autodesk 企业信息服务集中管理,从而确保跟踪和正确保护所有资产。其中包括正确使用防病毒软件、自动锁定工作站和密码管理等。我们有一个流程用于及时更新数据中心中由 Shotgun 使用的所有服务器的清单。

事件管理

公开披露漏洞时,我们会快速修复问题。对于标识为属于我们的常规季度安全核查一部分的漏洞,我们确保确定优先级,并快速及时地解决紧迫和高优先级问题,同时对中等和低严重性问题进行记录和确定优先级,并将其添加到我们的安全积压工作中。我们有一个事件管理流程,我们可以通过此流程快速响应安全事件。

帐户管理

要访问客户数据,Shotgun 团队的成员必须首先通过 Autodesk VPN 进行身份认证;然后他们必须对内部数据库进行身份认证。进入到该数据库中后,团队成员还会受到由其角色确定的权限规则集的进一步限制。在任何 Shotgun 团队成员离开时,这两个级别的访问权限将会被立即删除。

安全软件开发

我们与 Autodesk 安全团队合作完成安全软件开发生命周期过程的实施。

人力资源

背景调查

在法律允许的情况下,对于可对 Autodesk 团队使用的计算资源和支持系统进行物理和/或逻辑访问的员工,必须进行背景调查。

安全意识

所有 Autodesk 员工都必须在新员工入职培训时确认信息安全的重要性。员工需要阅读、理解和接受有关公司行为准则的培训课程。该准则要求每位员工开展业务时依法、遵守道德规范、诚信、尊重彼此以及公司的用户、合作伙伴和竞争对手。Autodesk 员工需要遵循公司有关保密、商业道德、适当使用和专业标准的指导原则。

保密

新员工必须签署保密协议。新员工培训强调客户数据的保密和隐私。所有员工均受与 Autodesk 之间保密协议的约束。如果任何人被发现违反此策略,可能会受到纪律处分,最严重的会终止雇佣、合同或与 Autodesk 的关系。

 

本文档中包含的信息仅代表 Autodesk, Inc. 截至发布之日的观点,Autodesk 不负责更新此信息。Autodesk 会不定期改进和更改其产品或服务,因此,本文档内的信息仅适用于截至发布之日提供的 Shotgun® 版本。本白皮书仅供参考。Autodesk 未在本文档中做出任何明示或暗示的保证,本白皮书中的信息不会给 Autodesk 带来任何具有法律约束力的义务或承诺。

在不限制或修改上述内容的前提下,根据适用的服务条款提供 Shotgun 服务。要了解服务条款的详细信息,请访问 https://www.shotgunsoftware.com/terms/。Autodesk、Autodesk 标识和 Shotgun 是 Autodesk, Inc. 和/或其子公司和/或其关联公司在美国和/或其他国家或地区的注册商标或商标。所有其他品牌名称、产品名称或者商标均属于其各自的所有者。

Autodesk 保留随时调整产品和服务、产品规格以及定价的权利,恕不另行通知,同时 Autodesk 对于此文档中可能出现的文字印刷或图形错误不承担任何责任。© 2016 Autodesk, Inc. 保留所有权利 (All rights reserved)。

关注

0 评论

登录写评论。