Drosibas modelis

Šī lapa apraksta, kā Aether365 aizsargā jūsu datus, kāda piekļuve tai ir jūsu Microsoft 365 videi un kādi arhitektūras lēmumi ir pieņemti, lai nodrošinātu jūsu nomnieka datu drosību.

Autentifikācija un piekļuve

Kā Aether365 piekļūst jūsu nomniekam

Aether365 piekļūst jūsu Microsoft 365 nomniekam kā vairāku nomnieku lietojumprogramma, kas reģistrēta Microsoft Entra ID. Kad jūs piešķirat administratora piekrišanu, jūsu nomniekā tiek izveidots pakalpojumu principāls. Aether365 autentificējas, izmantojot savus lietojumprogrammas akreditācijas datus (klienta ID un klienta noslēpumu) - nevis lietotāja konta akreditācijas datus.

Tas nozīmē:

Netiek glabātas lietotāju paroles
Netiek piešķirtas deleģētās atļaujas
Piekļuve ir tikai lietojumprogrammas līmenī, nav saistīta ar konkrētu lietotāju
Jūs varat atsaukt piekļuvi jebkurā laikā, noņemot pakalpojumu principālu no sava nomnieka

Tikai lasīsanas atļaujas

Visas Microsoft Graph atļaujas, kas piešķirtas Aether365, ir lietojumprogrammas līmeņa tikai lasīsanai. Pilns saraksts ir pieejams vietnē aether365.io/security#permissions.

Aether365 nekad nepieprasa rakstīsanas atļaujas. Microsoft piekrišanas ekrānā tiks rādītas tikai lasīsanas tipa atļaujas.

Piekļuves atsauksana

Lai atsauktu Aether365 piekļuvi jūsu nomniekam:

Atveriet Iestatījumi > Savienojumi Aether365 informācijas panelī
Noklikšķiniet Atvienot blakus nomniekam
Vai arī Microsoft Entra administrēsanas centrā pārejiet uz Uzņēmuma lietojumprogrammas un dzēsiet Aether365 pakalpojumu principālu

Atvienosana noņem savienojumu no Aether365 un aptur turpmākās skenēsanas. Iepriekš ievāktie skenēsanas dati tiek saglabāti saskaņā ar standarta saglabāsanas politiku.

Datu aizsardzība

Sifrēsana

Slānis	Metode
Dati tranzītā	TLS 1.2+ (HTTPS visur)
Dati miera stāvoklī	AES-256 sifrēsana
Skenēsanas rezultātu faili	AES-256 server-side encryption
Noslēpumi (API akreditācijas dati)	Sifrēta noslēpumu glabātuve (aploksnes sifrēsana)

Kādi dati tiek glabāti

Aether365 glabā:

Konfigurācijas momentuzņēmumus - Vērtības, kas nolasītas no Microsoft Graph katras skenēsanas laikā. Tās ir neapstrādātās konfigurācijas vērtības, kas tiek izmantotas katras pārbaudes novērtēsanai.
Skenēsanas rezultātus - Izturēts, neizturēts, izlaists statuss katrai pārbaudei, kā arī faktiskās un gaidītās vērtības neizturētām pārbaudēm.
Nomnieka metadatus - Jūsu nomnieka Microsoft nomnieka ID, jūsu konta e-pasts, plāna līmenis un savienojuma laika zīmogi.
Paziņojumu iestatījumus - E-pasta adreses un Teams webhook URL, ko esat konfigurējis.

Aether365 neglabā:

E-pasta saturu, kalendāra datus vai jebkādu lietotāju radītu saturu
Lietotāju paroles vai akreditācijas datus
Microsoft Graph tokenus (piekļuves tokeni ir īslaicīgi un tiek izmantoti tikai skenēsanas laikā)

Datu rezidence

Visi dati tiek glabāti tikai mūsu ES datu centrā (Stokholma, Zviedrija). Dati netiek replicēti ārpus šī reģiona. Tas attiecas uz:

Datubāzi (skenēsanas rezultāti, nomnieka metadati)
Failu glabātuvi (skenēsanas rezultātu faili)
Noslēpumu glabātuvi (lietojumprogrammas akreditācijas dati)

Skatiet Datu rezidence un privātums sīkākai informācijai, ieskaitot mūsu datu apstrādes līgumu.

Infrastruktūras drosiba

Nulles uzticamības arhitektūra

Katrs API pieprasījums prasa derīgu JWT, ko izsniegusi Aether365 autentifikācijas sistēma pēc Microsoft Entra autentifikācijas. JWT tiek validēts katrā pieprasījumā:

RS256 paraksta verificēsana pret Aether365 JWKS galapunktu
Tokena derīguma termiņa pārbaude
Izdevēja un auditorijas verificēsana

Nav neautentificētu API galapunktu, izņemot /public/config (kas atgriez tikai platformas līmeņa iestatījumus, piemēram, uzturesanas režīmu).

Nomnieku izolācija

Katrs datubāzes vaicājums ietver nomnieka ID filtru, kas iegūts no autentificētā JWT - nevis no pieprasījuma parametriem. Arhitektūras ziņā nav iespējams vaicāt cita nomnieka datus caur API.

Skenēsanas darba slodzes darbojas izolētās, īslaicīgās skaitļosanas vidēs. Katram skenēsanas uzdevumam ir:

Nav pastāvīgas glabātuves
Nav starpnomnieku tīkla piekļuves
Dedikēta service role ar minimālajām nepieciesamajām atļaujām
Automātiska pārtrauksana pēc pabeigšanas

Noslēpumu pārvaldība

Lietojumprogrammas akreditācijas dati (Microsoft Entra klienta ID un noslēpums) tiek glabāti sifrētā noslēpumu glabātuvē. Tie:

Nekad netiek glabāti vides mainīgajos
Nekad netiek rakstīti žurnālos
Tiek iegūti izpildes laikā un tiek turēti atmiņā tikai skenēsanas ilgumā
Tiek rotēti pēc grafika

Konta drosiba

Autentifikācija

Aether365 izmanto Microsoft kā identitātes nodrošinātāju. Jūs pierakstāties ar savu Microsoft kontu caur OpenID Connect. Atsevišķa Aether365 parole nepastāv.

Daudzfaktoru autentifikācija

MFA tiek nodrošināta caur jūsu Microsoft konta nosacītās piekļuves politikām. Aether365 pārņem visas MFA prasības, ko jūsu Microsoft nomnieks uzspiez.

Sesiju pārvaldība

Piekļuves tokeni ir īslaicīgi JWT. Atsvaidzināsanas tokeni tiek glabāti jūsu pārlūka lokālajā glabātuvē un tiek rotēti lietojumā. Izrakstīsanās nekavējoties anulē jūsu sesiju.

Audita izsekosana

Katra darbība, kas veikta Aether365 informācijas panelī vai API, tiek reģistrēta audita izsekosanā: kas veica darbību, kad un no kuras IP adreses. Skatiet Audita izsekosana.

Atbildīga atklāsana

Ja atklājat drosibas problēmu Aether365, lūdzu, ziņojiet uz security@aether365.io. Mēs apstiprināsim saņemsanu 24 stundu laikā un centīsimies atrisināt kritiskas problēmas 72 stundu laikā. Paslaik mums nav publiskas kļūdu atlīdzību programmas, bet mēs ar ziņotāju atļauju atzīsim viņus laidiena piezīmēs.

Drosibas modelis ​

Autentifikācija un piekļuve ​

Kā Aether365 piekļūst jūsu nomniekam ​

Tikai lasīsanas atļaujas ​

Piekļuves atsauksana ​

Datu aizsardzība ​

Sifrēsana ​

Kādi dati tiek glabāti ​

Datu rezidence ​

Infrastruktūras drosiba ​

Nulles uzticamības arhitektūra ​

Nomnieku izolācija ​

Noslēpumu pārvaldība ​

Konta drosiba ​

Autentifikācija ​

Daudzfaktoru autentifikācija ​

Sesiju pārvaldība ​

Audita izsekosana ​

Atbildīga atklāsana ​