En Blackboard, la seguridad es lo más importante.

Blackboard permanece alerta respecto de la seguridad de nuestros productos y de proporcionar actualizaciones probadas de los productos de manera rápida y cuidadosa.

Blackboard respeta las prácticas de seguridad aceptadas en la industria. Blackboard Learn está desarrollado de acuerdo con una serie de pautas de ingeniería de la seguridad. Estas pautas surgen del Proyecto de seguridad de las aplicaciones web abiertas (OWASP), entre las que se incluyen contramedidas específicas para las diez principales vulnerabilidades de OWASP. Blackboard incorpora estas prácticas de seguridad en todas las fases del ciclo de vida del desarrollo del software (SDLC).


Código de la aplicación

El código de la aplicación SaaS se ha diseñado teniendo en cuenta la seguridad. El equipo de seguridad participó en el SDLC completo para garantizar que la seguridad esté presente desde el comienzo, conforme a nuestro Programa de garantía de seguridad. Hemos adoptado nuevas tecnologías y hemos aprovechado las funciones de seguridad integradas y las prácticas recomendadas.


Seguridad garantizada

Blackboard utiliza varios métodos para proteger nuestras aplicaciones, como las evaluaciones de seguridad de arriba a abajo mediante modelos de amenazas y análisis. Además, utiliza la detección de amenazas a nivel de código de abajo a arriba a través del análisis estático, análisis dinámico y pruebas de penetración manual.

Blackboard sigue la guía de mejores prácticas de muchas organizaciones para ayudar a fortalecer la seguridad del producto y el programa de Blackboard Learn. Estas son algunas de las organizaciones:

  • National Institute of Standards and Technology (NIST)
  • European Network and Information Security Agency (ENISA)
  • SANS Institute Open Web Application Security Project (OWASP)
  • Cloud Security Alliance (CSA)

Las amenazas y contramedidas de seguridad relativas a los sistemas de administración de aprendizaje cambian de manera constante. Por lo tanto, Blackboard evalúa periódicamente su Guía de seguridad de productos.

Blackboard construyó la seguridad en Blackboard Learn desde el principio. Los siguientes elementos presentan las medidas y prácticas de seguridad de Blackboard establecidas para proteger la oferta SaaS.


Seguridad de la red

Comunicación protegida

La oferta SaaS de Learn protege todas las comunicaciones a través de Internet con la tecnología de seguridad de la capa de transporte (TLS). La TLS asegura que una comunicación no sea leída o modificada por otra entidad. Blackboard Learn utiliza la TLS para proteger las comunicaciones entre el servidor Web y el equipo del cliente; por ejemplo, un navegador.

La oferta SaaS requiere de manera predeterminada la tecnología de TLS en todo el sistema. La tecnología de TLS finaliza en el balanceador de carga elástico (ELB) de Amazon. Los certificados de TLS requieren un cifrado de 2048 bits.

Superficie de ataque mínimo

Las instancias de cliente de la oferta SaaS de Learn finalizan la TLS en el balanceador de carga elástico (ELB) de Amazon. Por lo tanto, los únicos activos con acceso de entrada son los ELB. Los puertos disponibles son 80 (http) y 443 (https). El acceso al puerto 80 causa un redireccionamiento al puerto 443, lo cual significa que se protege la comunicación a través de la TLS. Todos los otros puertos son inaccesibles externamente, ya que Blackboard aplica una política de contrafuegos con denegación predeterminada para la oferta SaaS de Learn y aprovecha de esta manera toda la potencia de los grupos de seguridad de los AWS. Además, la oferta SaaS de Learn coloca toda la infraestructura no perteneciente al ELB en una subred privada, completamente eliminada de Internet.


Administración del acceso

Acceso administrativo de los clientes

Los clientes pueden acceder a sus instancias de la oferta de Learn SaaS mediante la interfaz web, a través del protocolo TLS. Por razones de seguridad, los clientes no pueden acceder a sus instancias mediante el uso del acceso de la línea de comandos o back-end.

Acceso administrativo de Blackboard

Acceso de las aplicaciones

Solo el personal autorizado de Blackboard puede acceder a las instancias de la oferta SaaS de Learn mediante la interfaz web, a través de la TLS.

Acceso a back-end

Una parte limitada del personal tendría acceso a la línea de comandos y back-end mediante el uso de claves SSH. El acceso solo es posible mediante claves SSH, un método de acceso más seguro en comparación con el ingreso de nombre de usuario y contraseñas. Las claves son administradas por un grupo pequeño y pueden ser revocadas en cualquier momento.

Acceso a la consola

El acceso de Blackboard a la consola web de Amazon Web Services requiere autenticación de factores múltiples (MFA).

Recuperación ante desastres

Capacidad de recuperación de la base de datos y las copias de seguridad

La oferta SaaS de Learn utiliza PostgreSQL como base de datos. El servicio de base de datos PostgreSQL de Blackboard ofrece mayor disponibilidad y durabilidad, de tal manera que, ante un error en la base de datos, el servicio se trasladaría a una zona de disponibilidad alternativa. Nuestro servicio de base de datos PostgreSQL también realiza copias de seguridad durante la noche.

Las copias de seguridad se almacenan en un medio que proporciona una durabilidad extremadamente alta. La oferta SaaS de Learn no utiliza cifrado de base de datos en reposo, en este momento.

La oferta SaaS de Learn utiliza el control de acceso para proteger la base de datos. El acceso a la base de datos no está disponible externamente y está limitado al personal autorizado de Blackboard.

Capacidad de recuperación del sistema de archivos y las copias de seguridad

La oferta de Learn SaaS utiliza Amazon Simple Storage Service (S3) para realizar copias de seguridad de los datos esenciales del sistema de archivos. Se realizan copias de seguridad de estos datos cada 5 minutos. S3 ofrece 11 nueves de durabilidad de datos.

Las copias de seguridad no están cifradas en este momento, aunque Blackboard está evaluando esto como parte de la Guía de la oferta SaaS de Blackboard Learn. Las copias de seguridad no son accesibles externamente y el acceso está limitado al personal autorizado de Blackboard.

Auditoría de la seguridad

Los clientes tienen acceso a los registros a nivel de la aplicación de Blackboard Learn a través de la interfaz de Kibana integrada del panel del administrador del sistema. Los clientes podrán revisar los registros de seguridad como se describe aquí: Auditoría y contabilidad.

La oferta de Learn SaaS aprovecha las potentes herramientas de auditoría de AWS, incluidas S3, CloudWatch, CloudTrail y TrustedAdvisor.

Desarrollado pensando en la seguridad y verificado por un tercero

Blackboard colaboró con Amazon para asegurar el desarrollo de la oferta de Learn SaaS sobre una base sólida de las mejores prácticas de AWS desde un comienzo. Posteriormente, Blackboard contrató a un auditor externo para centrarse de modo específico en la implementación de AWS de Learn SaaS. Estos dos enfoques en conjunto garantizan la mayor confianza en seguridad de nuestra oferta de SaaS.

Contramedidas de DDoS

La colaboración con AWS para Learn SaaS ofrece muchas ventajas en términos de escala, eficacia y seguridad. Una clara ventaja se presenta al aprovechar la infraestructura de alta disponibilidad en la que se basa AWS. Por ejemplo, la oferta SaaS de Learn se beneficia a partir de las contramedidas de DDoS que los AWS proporcionaron en forma nativa.