En Blackboard, la seguridad es lo más importante.
Blackboard permanece alerta respecto de la seguridad de nuestros productos y de proporcionar actualizaciones probadas de los productos de manera rápida y cuidadosa.
Blackboard respeta las prácticas de seguridad aceptadas en la industria. Blackboard Learn está desarrollado de acuerdo con una serie de pautas de ingeniería de la seguridad. Estas pautas surgen del Proyecto de seguridad de las aplicaciones web abiertas (OWASP), entre las que se incluyen contramedidas específicas para las diez principales vulnerabilidades de OWASP. Blackboard incorpora estas prácticas de seguridad en todas las fases del ciclo de vida de desarrollo del software (SDLC).
Código de la aplicación
El código de la aplicación SaaS se ha diseñado teniendo en cuenta la seguridad. El equipo de seguridad participó en el SDLC completo para garantizar que la seguridad esté presente desde el comienzo, conforme a nuestro Programa de garantía de seguridad. Hemos adoptado nuevas tecnologías y hemos aprovechado las funciones de seguridad integradas y las prácticas recomendadas.
Seguridad garantizada
Blackboard utiliza varios métodos para proteger nuestras aplicaciones, como las evaluaciones de seguridad de arriba a abajo mediante modelos de amenazas y análisis. Además, utiliza la detección de amenazas a nivel de código de abajo a arriba a través del análisis estático, análisis dinámico y pruebas de penetración manual.
Blackboard sigue la guía de mejores prácticas de muchas organizaciones para ayudar a fortalecer la seguridad del producto y el programa de Blackboard Learn. Estas son algunas de las organizaciones:
- National Institute of Standards and Technology (NIST)
- European Network and Information Security Agency (ENISA)
- SANS Institute Open Web Application Security Project (OWASP)
- Cloud Security Alliance (CSA)
Las amenazas y contramedidas de seguridad relativas a los sistemas de administración de aprendizaje cambian de manera constante. Por lo tanto, Blackboard evalúa periódicamente su Guía de seguridad de productos.
Blackboard construyó la seguridad en Blackboard Learn desde el principio. Los siguientes elementos presentan las medidas y prácticas de seguridad de Blackboard establecidas para proteger la oferta SaaS.
Seguridad de la red
Comunicación protegida
La oferta SaaS de Learn protege todas las comunicaciones a través de Internet con la tecnología de seguridad de la capa de transporte (TLS). La TLS se asegura de que otra entidad no lea ni modifique una comunicación. Blackboard Learn utiliza la TLS para proteger las comunicaciones entre el servidor Web y el equipo del cliente; por ejemplo, un navegador.
La oferta SaaS requiere de manera predeterminada la tecnología de TLS en todo el sistema. La tecnología de TLS finaliza en el balanceador de carga elástico (ELB) de Amazon. Los certificados de TLS requieren un cifrado de 2048 bits.
Superficie de ataque mínimo
Las instancias de cliente de la oferta SaaS de Learn finalizan la TLS en el balanceador de carga elástico (ELB) de Amazon. Por lo tanto, los únicos activos con acceso de entrada son los ELB. Los puertos disponibles son 80 (http) y 443 (https). El acceso al puerto 80 causa un redireccionamiento al puerto 443, lo cual significa que se protege la comunicación a través de la TLS. Todos los otros puertos son inaccesibles externamente, ya que Blackboard aplica una política de contrafuegos con denegación predeterminada para la oferta SaaS de Learn y aprovecha de esta manera toda la potencia de los grupos de seguridad de los AWS. Además, la oferta SaaS de Learn coloca toda la infraestructura no perteneciente al ELB en una subred privada, completamente eliminada de Internet.
Administración del acceso
Acceso administrativo de los clientes
Los clientes pueden acceder a sus instancias de la oferta de Learn SaaS mediante la interfaz web, a través del protocolo TLS. Por razones de seguridad, los clientes no pueden acceder a sus instancias mediante el uso del acceso de la línea de comandos o back-end.
Acceso administrativo de Blackboard
Acceso de las aplicaciones
Solo el personal autorizado de Blackboard puede acceder a las instancias de la oferta SaaS de Learn mediante la interfaz web, a través de la TLS.
Acceso a back-end
Una parte limitada del personal tendría acceso a la línea de comandos y back-end mediante el uso de claves SSH. El acceso solo es posible mediante claves SSH, un método de acceso más seguro en comparación con el ingreso de nombre de usuario y contraseñas. Las claves son administradas por un grupo pequeño y pueden ser revocadas en cualquier momento.
Acceso a la consola
El acceso de Blackboard a la consola web de Amazon Web Services requiere autenticación de factores múltiples (MFA).
Recuperación ante desastres
Capacidad de recuperación de la base de datos y las copias de seguridad
La oferta SaaS de Learn utiliza PostgreSQL como base de datos. El servicio de base de datos PostgreSQL de Blackboard ofrece mayor disponibilidad y durabilidad, de tal manera que, ante un error en la base de datos, el servicio se trasladaría a una zona de disponibilidad alternativa. Nuestro servicio de base de datos PostgreSQL también realiza copias de seguridad cada noche.
El cifrado en reposo está disponible y habilitado de forma predeterminada para todos los entornos nuevos de Blackboard Learn SaaS. Los entornos creados antes del lanzamiento de la versión 3200.10.0 no tendrán el cifrado en reposo completamente habilitado de forma predeterminada. Para estos entornos, habilitar el cifrado en reposo implica tiempo de inactividad para mover los datos a un almacenamiento cifrado. El cifrado en reposo se habilitará completamente para los entornos existentes de Blackboard Learn SaaS basados en las solicitudes de los clientes que cuentan con la aceptación del tiempo de inactividad. El servicio de asistencia de Blackboard también puede realizar la migración cuando se presenta una oportunidad para habilitar el cifrado en reposo sin tiempo de inactividad adicional, por ejemplo, durante una migración obligatoria no relacionada con el cifrado en reposo. Comuníquese con el servicio de asistencia de Blackboard para analizar el proceso de migración y el momento en que se habilitará el cifrado en reposo para su entorno de Blackboard Learn SaaS.
La oferta Learn SaaS utiliza el control de acceso para proteger la base de datos. El acceso a la base de datos no está disponible externamente y está limitado al personal autorizado de Blackboard.
Capacidad de recuperación del sistema de archivos y las copias de seguridad
La oferta de Learn SaaS utiliza Amazon Simple Storage Service (S3) para realizar copias de seguridad de los datos esenciales del sistema de archivos. Se realizan copias de seguridad de estos datos cada 5 minutos. S3 ofrece "11 nueves" de durabilidad de los datos.
Auditoría de seguridad
Los clientes tienen acceso a los registros a nivel de la aplicación de Blackboard Learn a través del Panel del administrador. Los clientes podrán revisar los registros de seguridad tal como se describe a continuación: Auditoría y contabilidad.
La oferta de Learn SaaS aprovecha las potentes herramientas de auditoría de AWS, incluidas S3, CloudWatch, CloudTrail y TrustedAdvisor.
Desarrollado pensando en la seguridad y verificado por un tercero
Blackboard colaboró con Amazon para asegurar el desarrollo de la oferta de Learn SaaS sobre una base sólida de las mejores prácticas de AWS desde un comienzo. Posteriormente, Blackboard contrató a un auditor externo para centrarse de modo específico en la implementación de AWS de Learn SaaS. Estos dos enfoques en conjunto garantizan la mayor confianza en seguridad de nuestra oferta de SaaS.
Contramedidas de DDoS
La colaboración con AWS para Learn SaaS ofrece muchas ventajas en términos de escala, eficacia y seguridad. Una clara ventaja se presenta al aprovechar la infraestructura de alta disponibilidad en la que se basa AWS. Por ejemplo, la oferta SaaS de Learn se beneficia a partir de las contramedidas de DDoS que los AWS proporcionaron en forma nativa.
