Turvamudel

Sellel lehel kirjeldatakse, kuidas Aether365 kaitseb teie andmeid, milline juurdepääs tal on teie Microsoft 365 keskkonnale ja milliseid arhitektuurilisi otsuseid on tehtud teie halduskeskkonna andmete turvalisuse tagamiseks.

Autentimine ja juurdepääs

Kuidas Aether365 pääseb teie halduskeskkonnale ligi

Aether365 pääseb teie Microsoft 365 halduskeskkonnale ligi mitme halduskeskkonna rakendusena, mis on registreeritud Microsoft Entra ID-s. Administraatori nõusoleku andmisel luuakse teie halduskeskkonnas teenuseprintsipal. Aether365 autendib seejärel oma rakenduse mandaatide (kliendi ID ja kliendi saladus) abil - mitte ühegi kasutajakonto mandaatidega.

See tähendab:

Kasutajate paroole ei salvestata
Delegeeritud õigusi ei anta
Juurdepääs on ainult rakendustasemel, mitte seotud ühegi konkreetse kasutajaga
Juurdepääsu saate igal ajal tühistada, eemaldades teenuseprintsipali oma halduskeskkonnast

Ainult lugemisõigused

Kõik Aether365-le antud Microsoft Graph õigused on rakendustaseme ainult lugemisõigused. Täieliku loetelu leiate aadressilt aether365.io/security#permissions.

Aether365 ei taotle kunagi kirjutamisõigusi. Microsofti nõusoleku ekraanil kuvatakse ainult lugemistüüpi õigused.

Juurdepääsu tühistamine

Aether365 juurdepääsu tühistamiseks teie halduskeskkonnale:

Avage Aether365 töölaual Sätted > Ühendused
Klõpsake halduskeskkonna kõrval Katkesta ühendus
Alternatiivina navigeerige Microsoft Entra halduskeskuses jaotisesse Enterprise Applications ja kustutage Aether365 teenuseprintsipal

Lahtiühendamine eemaldab ühenduse Aether365-st ja peatab edaspidised skaneerimised. Varem kogutud skaneerimisandmed säilitatakse vastavalt standardsele säilitamispoliitikale.

Andmekaitse

Krüpteerimine

Kiht	Meetod
Andmed liikumisel	TLS 1.2+ (HTTPS kõikjal)
Andmed puhkeolekus	AES-256 krüpteerimine puhkeolekus
Skaneerimise tulemuste failid	AES-256 server-side encryption
Saladused (API mandaadid)	Krüpteeritud saladuste hoidla (ümbrikukrüpteerimine)

Milliseid andmeid hoitakse

Aether365 hoiab:

Seadistuse hetkeseise - Microsoft Graphist iga skaneerimise ajal loetud väärtused. Need on toored seadistusväärtused, mida kasutatakse iga kontrolli hindamisel.
Skaneerimise tulemusi - Läbitud, ebaõnnestunud, vahele jäetud olek iga kontrolli kohta pluss ebaõnnestunud kontrollide tegelikud ja oodatavad väärtused.
Halduskeskkonna metaandmeid - Teie halduskeskkonna Microsofti ID, konto e-posti aadress, plaani tase ja ühenduse ajatemplid.
Teavitussätteid - E-posti aadressid ja Teams webhook URL-id, mille olete seadistanud.

Aether365 ei hoia:

E-posti sisu, kalendriandmeid ega kasutajate loodud sisu
Kasutajate paroole ega mandaate
Microsoft Graph tokeneid (juurdepääsutokenid on ajutised ja neid kasutatakse ainult skaneerimise ajal)

Andmete asukoht

Kõik andmed hoitakse ainult meie EL-i andmekeskuses (Ireland, Ireland). Andmeid ei kopeerita sellest regioonist välja. See kehtib:

Andmebaasile (skaneerimistulemused, halduskeskkonna metaandmed)
Failihoidlale (skaneerimise tulemuste failid)
Saladuste hoidlale (rakenduse mandaadid)

Vaadake Andmete asukoht ja privaatsus üksikasjade ja andmetöötluslepingu teabe jaoks.

Taristu turvalisus

Null-usalduse arhitektuur

Iga API päring nõuab kehtivat JWT-d, mis on väljastatud Aether365 autentimissüsteemi poolt pärast Microsoft Entra autentimist. JWT valideeritakse iga päringu korral:

RS256 allkirja verifitseerimine Aether365 JWKS lõpp-punkti vastu
Tokeni aegumise kontroll
Väljastaja ja sihtrühma verifitseerimine

Autentimata API lõpp-punkte ei ole, välja arvatud /public/config (mis tagastab ainult platvormiüleseid sätteid nagu hooldusrežiim).

Halduskeskkondade eraldatus

Iga andmebaasipäring sisaldab halduskeskkonna ID filtrit, mis tuleneb autenditud JWT-st - mitte päringu parameetritest. Teise halduskeskkonna andmete pärimine API kaudu on arhitektuuriliselt võimatu.

Skaneerimise töökoormused käivituvad eraldatud, ajutistes arvutuskeskkondades. Igal skaneerimisülesandel on:

Püsivat salvestust ei ole
Halduskeskkondade vahelist võrgujuurdepääsu ei ole
Spetsiaalne service role, mis on piiratud minimaalse vajalike õigustega
Automaatne lõpetamine pärast valmimist

Saladuste haldamine

Rakenduse mandaadid (Microsoft Entra kliendi ID ja saladus) hoitakse krüpteeritud saladuste hoidlas. Need on:

Mitte kunagi salvestatud keskkonnamuutujatesse
Mitte kunagi logidesse kirjutatud
Käivitatakse käitusajal ja hoitakse mälus ainult skaneerimise kestuse jooksul
Roteeritud ajakava alusel

Konto turvalisus

Autentimine

Aether365 kasutab Microsofti identiteedipakkujana. Logite sisse oma Microsofti kontoga OpenID Connecti kaudu. Eraldi Aether365 parooli ei ole.

Mitmeastmeline autentimine

MFA jõustatakse teie Microsofti konto tingimusliku juurdepääsu poliitikate poolt. Aether365 pärib kõik MFA nõuded, mida teie Microsofti halduskeskkond jõustab.

Seansihaldus

Juurdepääsutokenid on lühikese elueaga JWT-d. Värskendamistokenid hoitakse teie brauseri kohalikus salvestuses ja roteeritakse kasutamisel. Väljalogimine tühistab teie seansi kohe.

Auditi jälg

Iga Aether365 töölaual või API-s tehtud toiming salvestatakse auditi jälge: kes tegi toimingu, millal ja milliselt IP-aadressilt. Vaadake Auditi jälg.

Vastutustundlik avalikustamine

Kui avastate Aether365-s turvaprobleemi, teatage sellest aadressil security@aether365.io. Kinnitame kättesaamist 24 tunni jooksul ja püüame lahendada kriitilised probleemid 72 tunni jooksul. Meil ei ole praegu avalikku veapreemia programmi, kuid nimetame teatajaid väljalaske märkmetes nende loal.

Turvamudel ​

Autentimine ja juurdepääs ​

Kuidas Aether365 pääseb teie halduskeskkonnale ligi ​

Ainult lugemisõigused ​

Juurdepääsu tühistamine ​

Andmekaitse ​

Krüpteerimine ​

Milliseid andmeid hoitakse ​

Andmete asukoht ​

Taristu turvalisus ​

Null-usalduse arhitektuur ​

Halduskeskkondade eraldatus ​

Saladuste haldamine ​

Konto turvalisus ​

Autentimine ​

Mitmeastmeline autentimine ​

Seansihaldus ​

Auditi jälg ​

Vastutustundlik avalikustamine ​