Sécurité du Cloud | Mendix

Passer au contenu principal

Recherche du site

Contactez-nous
Essayer gratuitement
Imprimé

Cloud Security

Quels types de contrôles de sécurité sont disponibles dans le Mendix Nuage?

Notre architecture de sécurité cloud garantit les plus hauts niveaux de protection des données, de sécurité des applications et de transparence opérationnelle. Ce document décrit comment notre infrastructure cloud est conçue pour assurer la sécurité à chaque niveau, du développement et du déploiement à l'exécution et à la surveillance, grâce à un ensemble complet de bonnes pratiques et d'outils du secteur.
Un diagramme montrant les contrôles de sécurité disponibles
Contrôles de sécurité pour le Mendix Le cloud inclut différents niveaux de chiffrement, la sécurité de la couche transport (TLS), les restrictions d'accès et la protection contre le trafic internet malveillant et indésirable. Les sections ci-dessous décrivent en détail ces contrôles de sécurité.

Comment les données en transit sont-elles sécurisées ?

Mendix L'environnement d'exécution exécuté dans un conteneur est accessible via une couche de routage à charge équilibrée composée de serveurs web frontaux en cluster qui acheminent le trafic vers l'environnement applicatif concerné. Le serveur web est responsable des connexions TLS. De plus, tous les services d'accès et de sécurité courants du fournisseur IaaS sont utilisés pour le trafic acheminé vers son infrastructure. La connexion TLS, établie depuis le navigateur, aboutit au service du serveur web, sur la couche de routage à charge équilibrée. Cela garantit le chiffrement des données de bout en bout, empêchant ainsi les autres environnements applicatifs d'intercepter les données de l'environnement applicatif cible.

Pour plus d'informations sur la sécurité des données, veuillez consulter Sécurité des données.

Comment l’accès est-il restreint pour les demandes entrantes ?

au sein de la Mendix Cloud, il est possible de restreindre l'accès aux requêtes entrantes à l'aide de plusieurs contrôles, en configurant des restrictions d'accès, vous avez un contrôle précis sur l'accès externe à votre application.

Restreindre l'accès au sein de Mendix Le cloud est configuré par des profils de restriction d'accès. Un profil de restriction d'accès peut contenir n'importe quel nombre de plages d'adresses IPv4 et IPv6, ou une autorité de certification client, ou les deux.

Quel type de cryptage est fourni dans le Mendix Nuage?

Mendix Offre un chiffrement prêt à l'emploi pour les données au repos et en transit dans les environnements applicatifs. Pour un contrôle accru du chiffrement, les clients peuvent ajouter une couche de chiffrement supplémentaire aux jeux de données de la base de données à l'aide de modules compatibles avec la plateforme.

Pour plus de détails sur le routage et le cryptage du réseau, reportez-vous à la section Comment les données en transit sont-elles sécurisées ? ci-dessus. Pour plus de détails sur le chiffrement des données de l'application, reportez-vous à la section ci-dessus. Sécurité des données Documentation.

Comment La Mendix Assurer la sécurité grâce à des tests de pénétration et une divulgation responsable ?

La plateforme gère un programme de divulgation responsable en collaboration avec un fournisseur externe de primes aux bugs. Cela permet aux hackers éthiques de signaler les vulnérabilités en toute sécurité, contribuant ainsi à renforcer la sécurité de la plateforme.

En plus des efforts continus de sécurité menés par la communauté, Mendix La plateforme est soumise à des tests d'intrusion réguliers, réalisés par des sociétés de sécurité indépendantes et certifiées. Ces évaluations, réalisées plusieurs fois par an, combinent tests en boîte noire, analyses en boîte blanche et exercices de red teaming afin d'évaluer en profondeur la résilience de la plateforme face à des scénarios d'attaque réels.

Les tests de pénétration sont un élément clé de la Mendix Le programme d'assurance sécurité de la plateforme est régulièrement mené par des sociétés de sécurité indépendantes certifiées. Leur efficacité est validée par des audits annuels et documentée dans Mendix certifications et attestations de sécurité, y compris le rapport SOC 2 Type II, l'attestation de conformité du fournisseur de services PCI DSS niveau 1, les certifications ISO/IEC 27001:2013, ISO/IEC 27017:2015 et NEN 7510-1:2017.

Quels contrôles DDoS sont en place pour le Mendix Nuage?

Tous Mendix applications hébergées dans Mendix Cloud v4 est protégé par AWS Shield Advanced et est protégé contre les attaques DDoS les plus courantes et les plus fréquentes au niveau du réseau et de la couche de transport. En plus de cette protection, Mendix Cloud offre une détection et une atténuation supplémentaires des attaques DDoS importantes et sophistiquées, une visibilité en temps quasi réel des attaques DDoS et un accès 24h/24 et 7j/7 à l'équipe de réponse DDoS AWS.

Comment la détection des menaces et la réponse aux incidents sont-elles gérées sur la plateforme ?

Les opérations de sécurité de la plateforme sont prises en charge par le Siemens Centre de cyberdéfense, qui fournit des capacités de surveillance continue de la sécurité, de détection des menaces et de réponse aux incidents.
Ce centre fonctionne 24h/24 et 7j/7 et est chargé d'analyser les événements de sécurité, de coordonner la gestion des incidents et de garantir une atténuation rapide des menaces dans l'ensemble de l'environnement cloud et applicatif.

Pour soutenir ces efforts, une plateforme de détection et de réponse aux points de terminaison (EDR) fournit une analyse basée sur les données de l'infrastructure cloud, permettant la détection de comportements anormaux, de violations de politiques et de menaces émergentes.

En parallèle, une plateforme de protection des applications cloud native (CNAPP) évalue en permanence l'infrastructure pour détecter les erreurs de configuration, les services exposés et les vulnérabilités au moment de l'exécution, permettant ainsi une détection précoce et une correction rapide des risques.

De plus, une plateforme de gestion des vulnérabilités analyse en permanence l’environnement à la recherche de vulnérabilités connues, de faiblesses de configuration et d’actifs exposés, permettant ainsi une identification et une hiérarchisation proactives des risques.

Cette approche intégrée garantit que toutes les couches de la plateforme, de l’infrastructure à l’exécution, sont protégées de manière proactive contre l’évolution des cybermenaces.

Comment les vulnérabilités de la plateforme sont-elles suivies, évaluées et divulguées ?

Mendix publie avis de sécurité en tirant parti Siemens ProduitCERT, qui est une équipe dédiée d'experts en sécurité chevronnés qui gère la réception, l'enquête, la coordination interne et le signalement public des problèmes de sécurité liés à Siemens produits, solutions et services.

Mendix ajoute le score Common Vulnerability Scoring System (CVSS) et le vecteur CVSS pour les vulnérabilités de sécurité décrites dans les notes de version de Studio Pro. Mendix ajoute également le Mendix-ID CVE spécifiques lorsqu'ils seront disponibles.

Comment le Mendix Cloud Protégez mon application du trafic Internet malveillant et indésirable ?

Tous Mendix applications hébergées dans Mendix Cloud v4 est protégé par un pare-feu d'application Web AWS (WAF).

WAF est un service de sécurité qui protège vos applications contre le trafic Internet malveillant et indésirable sans modifier le code de votre application. WAF traite diverses catégories d'attaques, notamment de nombreuses vulnérabilités à haut risque et courantes décrites dans les publications de l'OWASP telles que OWASP Top 10. Ceux-ci incluent, sans toutefois s'y limiter :

  • Cross site scripting
  • Violations du protocole HTTP
  • Robots, robots d'exploration et scanners
  • Déni de service HTTP
  • Falsification de demande côté serveur
  • Inclusion de fichiers locaux
  • Exécution de code à distance Log4j

Mendix Cloud prend en charge une variété d'en-têtes de réponse HTTP configurables pour protéger votre Mendix application. Pour plus d'informations, voir Détails de l'environnement dans le Mendix Guide du portail.

Quels contrôles de sécurité physique sont en place pour le Mendix Nuage?

Mendix Le cloud est hébergé sur Amazon Web Services (AWS), exploitant les centres de données AWS, leaders du secteur, qui répondent aux normes les plus strictes en matière de sécurité physique et environnementale. Ces installations détiennent un large éventail de certifications et de rapports d'assurance tiers, notamment ISO/IEC 27001:2013, SOC 2 et PCI DSS. De plus, MendixLes responsables certifiés de la sécurité de l'information examinent l'environnement d'hébergement cloud deux fois par an pour garantir une conformité continue avec Mendix exigences de sécurité et meilleures pratiques du secteur.

Comment La Mendix Soutenir la continuité des activités et la reprise après sinistre ?

La continuité des activités et la reprise après sinistre sont des éléments essentiels de la Mendix cadre de sécurité et sont conformes à la norme ISO 22301, la norme internationale de gestion de la continuité des activités. Afin de garantir un rétablissement rapide des services clients en cas de perturbation, Mendix a mis en place une procédure formelle de reprise après sinistre, dont l'efficacité est vérifiée trimestriellement. De plus, Mendix Offre de solides capacités de reprise après sinistre, notamment une haute disponibilité sur plusieurs zones, une évolutivité horizontale des environnements applicatifs et des mécanismes de reprise automatisés pour minimiser les temps d'arrêt en cas de panne imprévue. Cette approche garantit la résilience et la continuité des services critiques dans un large éventail de scénarios de déploiement.

Pour plus d'informations sur le Mendix Architecture cloud, voir Architecture cloud.

Quelle fonctionnalité de sauvegarde est fournie par Mendix?

Une sauvegarde de toutes les données (modèle, base de données et stockage de fichiers) est effectuée quotidiennement pour tous vos environnements. Les sauvegardes sont stockées dans des emplacements sécurisés et géographiquement dispersés.

Les sauvegardes sont disponibles pour la restauration comme suit :

  • Sauvegardes nocturnes – historique maximum de 2 semaines (compté à partir de la veille de la demande)
  • Sauvegardes du dimanche – historique maximum de 3 mois (compté à partir de la veille de la demande)
  • Sauvegardes mensuelles (premier dimanche de chaque mois) – historique maximum d’un an (compté à partir de la veille de la demande)

Les données de production et les données de sauvegarde utilisent le stockage cloud et sont soumises à la limite de stockage associée à l' Mendix Abonnement à la plateforme souscrit. Il est conseillé aux entreprises de mettre en place un protocole interne pour l'utilisation et le test des sauvegardes. Les administrateurs peuvent télécharger les sauvegardes à partir de Mendix Portail ou développer des téléchargements automatisés de sauvegardes à l'aide du Mendix API REST de la plateforme. Mendix offre également la possibilité d'utiliser la réplication de données en direct afin de permettre un environnement de secours.

Le Mendix Établir et maintenir des configurations de base pour le renforcement ?

Mendix L'équipe de sécurité maintient un référentiel de renforcement robuste, conforme aux normes internationales reconnues telles que les référentiels SANS et CIS. Les environnements cloud sont surveillés et analysés en permanence pour garantir leur conformité avec ces configurations de base.

Les contrôles renforcés font l'objet d'une évaluation régulière par des auditeurs tiers indépendants. Leur efficacité est validée par des audits annuels et documentée dans Mendix certifications et attestations de sécurité, y compris le rapport SOC 2 Type II, l'attestation de conformité du fournisseur de services PCI DSS niveau 1, les certifications ISO/IEC 27001:2013, ISO/IEC 27017:2015 et NEN 7510-1:2017.

Pour plus d'informations, voir Quelles certifications de sécurité et rapports d'assurance tiers font Mendix Avoir?.

Comment le Mendix Le cloud prend-il en charge les environnements DTAP ?

Mendix Le Cloud prend en charge et encourage intrinsèquement la méthodologie DTAP via les fonctionnalités de gestion de l'environnement suivantes :

  • Environnements dédiés par application :
    • Pour chaque Mendix application que vous déployez sur le Mendix Dans le cloud, vous pouvez facilement provisionner plusieurs environnements distincts. En général, vous configurez au moins des environnements d'acceptation et de production pour chaque application. Les nouveaux environnements peuvent être provisionnés en libre-service via le Centre de contrôle.
    • Chacun de ces environnements est une instance distincte de votre application, exécutée indépendamment.
  • Bases de données isolées :
    • Il est crucial de noter que chaque environnement dispose généralement de sa propre base de données isolée. Cela signifie que vous pouvez alimenter vos environnements de test et d'acceptation avec des données de test spécifiques sans affecter votre application en production. Les données de vos tests de développement n'interféreront pas avec vos données de production, et inversement.
  • Pipeline de déploiement transparent :
    • Mendix Studio Pro (l'IDE) s'intègre directement avec le Mendix Portail Cloud. Il permet aux développeurs de déployer de nouvelles versions de leur application depuis leur machine locale vers l'environnement de test ou d'acceptation en quelques clics.
    • Une fois dans le nuage, le Mendix Cloud Portal offre une interface conviviale pour promouvoir les versions de vos applications via le pipeline DTAP (par exemple, du test à la recette, puis à la production). Ce déploiement en un clic entre les environnements simplifie considérablement le processus de publication.
    • et Mendix Grâce aux pipelines, vous pouvez automatiser facilement le processus de déploiement. Une application peut être promue via le pipeline DTAP, tout en gardant le contrôle de la qualité du code grâce à des passerelles de qualité et de test.
  • Intégration du contrôle de version (Mendix Serveur d'équipe) :
    • Mendix les applications sont étroitement intégrées à la Mendix Team Server (un système de contrôle de version intégré basé sur SVN ou Git).
    • Lors d'un déploiement dans un environnement, vous déployez une révision spécifique de votre application depuis Team Server. Cela vous permet de savoir précisément quelle version est exécutée dans chaque environnement, facilitant ainsi la traçabilité et la restauration si nécessaire.
  • Configurations spécifiques à l'environnement :
    • Paramètres de l’application – Différentes clés API, points de terminaison de service externes ou indicateurs de fonctionnalités peuvent être définis par environnement.
    • Événements planifiés – Vous pouvez avoir des planifications différentes pour les processus par lots en développement et en production.
    • Rôles des utilisateurs et sécurité – Bien que le modèle de sécurité de base fasse partie de l’application, les comptes d’utilisateurs ou les intégrations spécifiques peuvent différer.
    • Ressources – Les environnements de production peuvent être mis à l’échelle avec plus de ressources de mémoire, de CPU et de réseau que les environnements de développement, reflétant leurs différentes exigences de performances.
  • Surveillance et journalisation :
    • Mendix Cloud Portal fournit des outils de surveillance et des journaux pour chaque environnement. Cela vous permet de suivre les performances, l'état de santé et l'activité des utilisateurs de votre application à chaque étape, vous aidant ainsi à identifier et à résoudre les problèmes avant qu'ils n'atteignent la production.
  • Sécurité et contrôle d'accès :
      • L'accès à la gestion et au déploiement dans différents environnements peut être contrôlé via les rôles d'utilisateur au sein du Mendix Portail Cloud, garantissant que seul le personnel autorisé peut apporter des modifications aux environnements critiques tels que la production.

Bénéfices du Mendix Prise en charge DTAP du Cloud

  • Risque réduit : L'isolement des environnements empêche les modifications de développement d'avoir un impact prématuré sur les utilisateurs en direct.
  • Cycles de publication plus rapides : Le processus de déploiement rationalisé entre les environnements accélère le chemin du développement à la production.
  • Amélioration de la qualité: Des étapes de test et d’acceptation dédiées conduisent à des applications plus rigoureusement examinées.
  • Meilleure collaboration : Séparation claire des tâches entre les développeurs, les testeurs et les utilisateurs professionnels.
  • Évolutivité et flexibilité : Adaptez facilement les ressources à chaque environnement de manière indépendante en fonction de ses besoins spécifiques.

En substance, le Mendix Cloud fournit une plate-forme structurée, intégrée et conviviale qui rend la mise en œuvre et la gestion d'une stratégie DTAP robuste non seulement possibles, mais intuitives pour Mendix développeurs et équipes d'exploitation.

Le Mendix Prise en charge des domaines personnalisés ?

Oui. Si l'épinglage est nécessaire, vous pouvez configurer un domaine personnalisé où vous aurez le contrôle total de la mise à jour du certificat. Pour les connexions depuis Internet vers votre Mendix Applications cloud, nous fournissons une .mendixcloud.com or .mxapps.io domaine avec un certificat géré par Mendix.

Choisissez votre langue