SabeeApp Platform and Security 

SabeeApp platform

A SabeeApp elhivatott a felhő alapú technológiák iránt ezért a szolgáltatásunk teljes mértékben felhőalapú, szerver nélküli, multi-tenant és Software as a Service. Ez lehetővé teszi számunkra, hogy a felhő alapú rendszerek előnyeit az ügyfeleink is élvezhessék. Az alábbiakban a rendszer felépítésről, rendszer- és üzembiztonságról, alkalmazott technikákról olvashatsz.

Mit jelent a felhőalapú rendszer és a szerver nélküliség?

A felhő alapú rendszereknek három nagy előnye. Nincs szükség semmilyen szerverre ahhoz hogy hálózati környezetben közös adatbázist használva tudja több felhasználó egyszerre használni, így adatmentésekre és drága beruházásokra sincs szükség. Csak egy böngészőre van szükség a szoftver használatához, így bármilyen eszközről, bárhonnan elérhető. Mivel a SabeeApp -t folyamatosan fejlesztjük, fontos az hogy az új fejlesztéseink hamar eljussanak az ügyfeleinkhez. Ez csak a felhőalapú technológia képes biztosítani.  Mivel a SabeeApp -t már a tervezés szakaszában felhő alapúként álmodtuk meg ezért nagyon sok folyamat egyszerűbb mint egy hagyományos telepített rendszerben, és ezért bizonyos folyamatokban ezektől eltérhet.

Mit jelent a szerver nélküliség? 

A SabeeAppnál a felhőalapú rendszerek közül is a lehet legmodernebb infrastruktúrára törekszünk, ezért választottuk az partnerként az Amazont mint a világ vezető felhő alapú szolgáltatóját, és folyamatosan arra törekszünk hogy az Amazon AWS szolgáltatását maximálisan kihasználjuk. Az AWS szolgáltatás világában már nem fizikai szervereket veszünk igénybe hanem számítási és tárolási kapacitásokat . Ez biztosítja számunkra a magas szolgáltatás elérési szintet és a dinamikus skálázhatóságoot. Az AWS szolgáltatásait kiegészítve a saját tudásunkkal, tapasztalatunkkal az iparágban elérhető lehető  legmagasabb szintű biztonságot, üzembiztonságot, katasztrófa menedzsmentet és és compliancet tudunk biztosítani. 

Mit jelent a Software as a Service (SaaS)?

A szoftver mint szolgáltatás azt jelenti, hogy az ügyfeleinknek egy internet csatlakozásra alkalmas készülékre, internetre és egy SabeeApp fiókra van szüksége. A többit mi biztosítjuk: gyors, biztonságos, mindig elérhető, adatmentések, folyamatosan fejlődik, bárhonnan elérhető és megfelel a törvényi kötelezettségnek. 

Infrastruktúra és Biztonság

A felhőalapú szolgáltatásunk nyújtásához az Amazon AWS rendszereit használjuk, a következők szerint: 

Route53

WAF (Web Application Firewall)

S3 (Simple Storage Service)

ALB (Application Load Balancer)

VPC (Virtual Private Network)

RDS (Relational Database Service)

ElastiCache

Elasticsearch Service

CloudWatch (monitoring, alarming)

KMS (Key Management Service)

Certificate Manager

OpsWorks

CodeCommit

Minden fenti szolgáltatás ami érinti az éles környezetet, az 2 vagy 3 zónára szét van osztva, s ha az egyik zóna ki is esik, a rendszer többi része át tudja venni az egész terhelést.

• AWS felhasználók szigorú jelszóhasználat és MFA mellett léphetnek be.
• Időnként külső cég fekete- és szürke dobozos penetrációs tesztet.
• Időnként SonarQube eszközzel kód biztonságot és minőséget elemzünk
• HAS/CHM belépések alkalmával a kollégák MFA használatával léphetnek be
• HAS (Siteadmin) - apache jelszóval védett mappából érhető el a rendszer

Third party services

A fent említett szolgáltatások mellett különböző úgynevezett harmadik fél szolgáltatásait vesszük igénybe különböző célok megvalósításához:

Benstalk

Github

Ukfast

Twillio

Mailchimp

Mandrillapp

Hubspot

Google Analytics

Hotjar

Statuspage

Wubook

Sentry

Productboard

Data Management and Data Security

AWS RDS, leírás

• Minden éjjel készül egy biztonsági másolat, ami percek alatt visszaállítható, ezekből az utolsó 9-et őrizzük meg.
• Az RDS és a EC2-es gépek között titkosított kapcsolaton zajlik a kommunikáció.
• Az adatbázist csak a belső hálózatról lehet elérni, vagy SSH kapcsolaton keresztül a bástya gépre kapcsolódva.
• Az adatbázisban az érzékeny adatok különböző titkosításokkal vannak tárolva, pl a kredit kártyák két kulcsú titkosítással, míg a jelszavak tárolásához sózott SHA-512-es titkosítást használunk.
• Az adatbázis is 3 zónára szét van osztva, s az egyik zóna kiesése esetén, egy másik zónából történik a működés  - automatikusan 

People Security Measures

• AWS hozzáférés - éles környezethez beleértve az adatbázist is: Kopasz Szabolcs, Herman Szabolcs, Nagy Gábor, Surányi Attila, TC2
• AWS Teszt környezethez az összes fejlesztő.
• Éles adatbázishoz csak olvasható módon az összes fejlesztő.
• A legtöbb kolléga 1Passwordben tárolja az adatait. A 1Password felhasználó és vault kezeléséhez Herman Szabolcs és Surányi Attila fér hozzá.
• Tarhely.eu  - domain és levelezés  - Herman Szabolcs, Surányi Attila, Nyers Adrienn
• Channel corporate accountok, Mandrill, stb - szinte az összes kolléga hozzáfér a  megosztott jelszavak miatt.
• Sok külső rendszer elérhetősége közös Vaultokban van tárolva.
  
  

Technical Stack and Deployment

• Dev  - forráskód a test repóból elérhető, az adatbázis a zentai iroda belső hálózatáról, vagy kívülről VPN-el (L2TP/IPsec)
• Test - test repóban a forráskód, a teszt adatbázis az AWS-es RDS-ből elérhető
• Prod - éles repóban a forráskód RDS-ben az éles adatbázis

Incitent management

• Probléma azonosítása
• Probléma megszüntetése
• Probléma újbóli létrejöttének megakadályozása (rendszer vizsgálata és átalakítása, ha kell)
• Adatok, forráskód visszaállítása ha szükséges
• Szkriptek készítése és futtatása, ha az adatokon kell pótlást/korrigálást végezni
• Manuális adatmódosítása, ha szükséges
• (Technikai) partnerek értesítése, ha szükséges
• Ügyfelek értesítése, ha szükséges

Certificates

• PCI - DSS Level1 AOC
• NTAK certification