La sécurité est au premier plan chez Blackboard.
Blackboard porte une attention particulière à l'intégration de la sécurité à ses produits et à la fourniture de mises à jour rapides et soigneusement testées.
Blackboard suit des pratiques de sécurité approuvées par le secteur. Blackboard Learn est développé conformément à des instructions techniques de sécurité. Celles-ci proviennent de nombreux organismes, tels que la communauté OWASP (Open Web Application Security Project), notamment des mesures de protection spécifiques contre les 10 principales vulnérabilités OWASP. Blackboard incorpore ces pratiques de sécurité dans toutes les phases du cycle de développement de ses logiciels.
Code d'application
Le code d'application SaaS a été conçu dans un souci de sécurité. L'équipe de sécurité a été impliquée dans toutes les phases du SDLC afin d'assurer une sécurité de bout en bout, conformément à notre programme de garantie de la sécurité. Nous avons adopté de nouvelles technologies, et tiré parti de leurs caractéristiques de sécurité intégrées et de leurs pratiques exemplaires.
Assurer la sécurité
Blackboard utilise plusieurs méthodes pour protéger ses applications, notamment les évaluations de sécurité « descendantes » à travers la modélisation et l'analyse des menaces. Nous réalisons également une détection « ascendante » des menaces au niveau du code via des analyses statiques, des analyses dynamiques et des tests de pénétration manuels.
Blackboard suit les pratiques d'excellence de nombreux organismes pour renforcer la sécurité du produit et du programme Blackboard Learn, notamment les suivants :
- National Institute of Standards and Technology (NIST)
- Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA)
- SANS Institute Open Web Application Security Project (OWASP)
- Cloud Security Alliance (CSA)
Les menaces de sécurité et les mesures de protection des systèmes de gestion de l'apprentissage sont en constante évolution. C'est pourquoi Blackboard évalue régulièrement sa feuille de route de sécurité des produits.
Blackboard intègre la sécurité à Blackboard Learn depuis le début. Les éléments suivants présentent les mesures et les pratiques de sécurité que Blackboard a mises en place pour sécuriser l'offre SaaS.
Sécurité réseau
Communications sécurisées
L'offre SaaS Learn sécurise toutes les communications Internet grâce à la technologie TLS (Transport Layer Security). Le protocole TLS garantit que les communications ne sont pas lues ou modifiées par une autre entité. Blackboard Learn utilise le protocole TLS pour sécuriser les communications entre le serveur Web et le terminal client, comme un navigateur.
L'offre SaaS nécessite l'activation du protocole TLS à l'échelle du système par défaut. La terminaison TLS se fait sur l'Amazon Elastic Load Balancer (ELB). Les certificats TLS nécessitent un chiffrement 2 048 bits.
Exposition minimale aux attaques
Les instances client de l'offre SaaS Learn prennent en charge la terminaison TLS sur l'ELB. Les seules ressources disposant d'un accès entrant sont donc les ELB. Les ports disponibles sont le port 80 (http) et le port 443 (https). L'accès au port 80 génère une redirection vers le port 443, ce qui garantit une communication sécurisée via TLS. Dans le cadre de l'offre Saas Learn, Blackboard applique une politique de pare-feu de blocage par défaut par le biais des groupes de sécurité AWS. Tous les autres ports sont donc inaccessibles de l'extérieur. En outre, l'offre SaaS Learn place toute l'infrastructure non ELB sur un sous-réseau privé totalement isolé d'Internet.
Gestion des accès
Accès administrateur client
Les clients peuvent accéder à leurs instances Learn SaaS correspondantes via l'interface Web sur TLS. Pour des raisons de sécurité, l'accès au back-end ou à la ligne de commande est impossible.
Accès administrateur Blackboard
Accès aux applications
Seul le personnel Blackboard autorisé peut accéder aux instances de l'offre SaaS Learn via l'interface Web sur TLS.
Accès au back-end
Un nombre limité d'employés disposent d'un accès au back-end et à la ligne de commande via des clés SSH. L'accès est uniquement possible via ces clés SSH, une méthode d'accès plus sécurisée que l'utilisation d'identifiants/mots de passe. Les clés sont gérées par un petit groupe et peuvent être révoquées à tout moment.
Accès à la console
L'accès de Blackboard à la console Web Amazon Web Services exige une authentification MFA (Multi-Factor Authentication).
Reprise après sinistre
Sauvegardes et résilience de la base de données
L'offre Learn SaaS utilise la base de données PostgreSQL. Le service de base de données PostgreSQL offre une disponibilité et une durabilité optimisées pour passer rapidement à une autre zone de disponibilité en cas de panne de la base de données. Notre service de base de données PostgreSQL prend également en charge les sauvegardes nocturnes.
Le chiffrement au repos est disponible et activé par défaut pour tous les nouveaux environnements Blackboard Learn SaaS. Dans les environnements antérieurs à la version 3200.10.0, le chiffrement au repos n'est pas entièrement activé par défaut. Pour ces environnements, l'activation du chiffrement au repos implique un temps d'indisponibilité pour déplacer les données vers un stockage chiffré. Le chiffrement au repos sera entièrement activé pour les environnements Blackboard Learn SaaS existants en fonction des demandes des clients avec acceptation des temps d'arrêt. L'assistance Blackboard peut également effectuer la migration lorsqu'il est possible d'activer le chiffrement au repos sans temps d'arrêt supplémentaire, notamment en cas de migration obligatoire non liée au chiffrement au repos. Contactez l'assistance Blackboard pour discuter du processus de migration et du délai d'activation du chiffrement au repos pour votre environnement Blackboard Learn SaaS.
L'offre SaaS Learn utilise le contrôle d'accès pour protéger la base de données. L'accès à la base de données n'est pas possible depuis l'extérieur et est limité au personnel Blackboard autorisé.
Sauvegardes et résilience du système de fichiers
L'offre Learn SaaS utilise Amazon Simple Storage Service (S3) pour sauvegarder les données critiques du système de fichiers. Les données sont sauvegardées toutes les 5 minutes. S3 propose une durabilité des données de « 11 neufs ».
Audit de sécurité
Les clients ont accès aux journaux au niveau de l'application Blackboard Learn via le Panneau de configuration de l'administrateur. Customers will be able to review security logs as described here: Audit and Accountability.
L'offre Learn SaaS tire parti des puissants outils d'audit AWS, tels que S3, CloudWatch, CloudTrail et TrustedAdvisor.
Sécurité intégrée, vérification par un tiers
Dès le départ, Blackboard s'est associé à Amazon pour que son offre Learn SaaS repose sur une base solide de pratiques d'excellence AWS. Blackboard a ensuite engagé un auditeur tiers pour qu'il se concentre sur le déploiement AWS de l'offre Learn SaaS. Ces deux approches combinées garantissent le plus haut niveau de confiance dans la sécurité de notre offre SaaS.
Mesures de protection contre les attaques DDoS
Notre partenariat avec AWS pour Learn SaaS offre de nombreux avantages en termes d'échelle, d'efficacité et de sécurité. L'infrastructure haute disponibilité sur laquelle repose AWS présente un avantage clair. Par exemple, l'offre Learn SaaS bénéficie des mesures de protection contre les attaques DDoS natives d'AWS.