Beveiliging heeft de hoogste prioriteit voor Blackboard.
Blackboard hecht zeer veel waarde aan het inbouwen van beveiliging in onze producten en het snel aanbieden van zorgvuldig geteste productupdates.
Blackboard volgt door de industrie geaccepteerde beveiligingsprocedures. Blackboard Learn is ontwikkeld op basis van een set beveiligingsrichtlijnen. Deze richtlijnen zijn afgeleid van verschillende organisaties, zoals OWASP (Open Web Application Security Project), inclusief specifieke maatregelen voor de tien kwetsbaarste punten die door OWASP zijn opgesteld. Blackboard past deze praktijken toe in alle fasen van de software-ontwikkeling.
Toepassingscode
De SaaS-toepassingscode is gebouwd met beveiliging in het achterhoofd. Het Security Team is betrokken geweest bij de volledige ontwikkelcyclus van de software (SDLC) om er zeker van te zijn dat beveiliging vanaf het begin is ingebouwd, in overeenkomst met ons programma voor gegarandeerde beveiliging. We hebben nieuwe technologieën geïntroduceerd en kunnen zo ons voordeel doen met de bijbehorende ingebouwde beveiligingsfuncties en best practices.
Beveiliging garanderen
In Blackboard worden verschillende methoden gebruikt voor de bescherming van onze toepassingen, met inbegrip van top-down beoordeling van beveiligingsrisico's via het modelleren en analyseren van bedreigingen. Daarnaast gebruiken we bottom-up detectie van bedreigingen op codeniveau door middel van statische analyse, dynamische analyse en handmatige penetratietests.
Blackboard volgt de richtlijnen voor best practices van diverse organisaties om de beveiliging van de de producten en het programma van Blackboard Learn verder te verbeteren, waaronder:
- National Institute of Standards and Technology (NIST)
- Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA)
- Open Web Application Security Project (OWASP) van het SANS Institute
- Cloud Security Alliance (CSA)
Learning Management Systems hebben te maken met beveiligingsrisico's en oplossingen hiervoor die steeds veranderen. Om die reden wordt de Product Security Roadmap van Blackboard regelmatig geëvalueerd.
Vanaf het begin heeft Blackboard beveiliging ingebouwd in Blackboard Learn. Hieronder worden de maatregelen en processen beschreven die Blackboard heeft ontwikkeld om de SaaS-variant te beveiligen.
Netwerkbeveiliging
Veilige communicatie
Alle communicatie van de SaaS-variant van Learn via internet wordt beveiligd met TLS-technologie (Transport Layer Security). TLS zorgt ervoor dat overgebrachte gegevens niet kunnen worden gelezen of gewijzigd door een andere entiteit. Blackboard Learn gebruikt TLS om de communicatie tussen de webserver en de client te beveiligen, zoals een browser.
De SaaS-variant vereist dat TLS standaard voor het gehele systeem is ingeschakeld. TLS eindigt bij de ELB (Elastic Load Balancer) van Amazon. TLS-certificaten vereisen een 2048-bits codering.
Aanvalsoppervlak zo klein mogelijk houden
Op de clients met de SaaS-variant van Learn stopt TLS bij de ELB (Elastic Load Balancer) van Amazon. Dit betekent dat de ELB's de enige elementen met inkomende toegang zijn. De beschikbare poorten zijn 80 (http) en 443 (https). Toegang tot poort 80 betekent een omleiding of redirect naar poort 443, en dus veilige communicatie via TLS. Alle andere zijn extern niet toegankelijk aangezien Blackboard een firewallbeleid afdwingt voor de SaaS-variant van Learn waarmee iedere toegang standaard wordt geweigerd. Dit gebeurt door maximaal voordeel te halen uit de mogelijkheden van beveiligingsgroepen van AWS. Daarnaast wordt alle niet-ELB-infrastructuur door de SaaS-variant van Learn opgenomen in een privé-subnet, dat volledig is afgescheiden van internet.
Toegangsbeheer
Administratieve toegang door klanten
Klanten kunnen alleen via de webinterface over TLS toegang krijgen tot hun Learn SaaS-instanties. Uit beveiligingsoogpunt is geen toegang mogelijk via een opdrachtregelprogramma of vanuit de back-end.
Administratieve toegang door Blackboard
Toegang via toepassingen
Alleen bevoegde medewerkers van Blackboard hebben via de webinterface en TLS toegang tot de SaaS-variant van Learn.
Toegang via de back-end
Een beperkt aantal medewerkers heeft toegang via een opdrachtregel en de back-end met behulp van SSH-sleutels. Toegang is alleen mogelijk via SSH-sleutels, een veiligere toegangsmethode dan de combinatie van een gebruikersnaam en een wachtwoord. Sleutels worden beheerd door een kleine groep mensen en kunnen op ieder moment worden ingetrokken.
Toegang via console
Toegang van Blackboard-medewerkers tot de webconsole van Amazon Web Services is alleen mogelijk via MFA (Multi-Factor Authentication).
Herstel na noodgeval
Tolerantie en back-ups van de database
De SaaS-variant van Learn maakt gebruik van PostgreSQL als de database. De PostgreSQL-databaseservice van Blackboard biedt verbeterde beschikbaarheid en duurzaamheid, zodat in het geval van een databasestoring de service wordt doorgezet naar een alternatieve beschikbaarheidszone. Onze PostgreSQL-databaseservice maakt ook iedere nacht back-ups.
Voor alle nieuwe SaaS-omgevingen van Blackboard Learn geldt dat gegevens ook 'in rust' worden gecodeerd. Deze codering is standaard ingeschakeld. Voor omgevingen die zijn gemaakt vóór release 3200.10.0 geldt dat codering van gegevens 'in rust' standaard niet volledig is ingeschakeld. Voor deze omgevingen kan codering van gegevens 'in rust' worden ingeschakeld, maar dit brengt downtime met zich mee omdat de gegevens moeten worden overgebracht naar gecodeerde opslag. Codering van gegevens 'in rust' kan volledig worden ingeschakeld voor bestaande Blackboard Learn SaaS-omgevingen als klanten daarom vragen, maar alleen als ze akkoord gaan met enige downtime. Blackboard Support kan codering van gegevens 'in rust' ook inschakelen als er zich een geschikt moment voordoet, bijvoorbeeld tijdens een verplichte migratie vanwege andere oorzaken. Neem contact op met Blackboard Support om het migratieproces te bespreken en te kijken wanneer codering van gegevens 'in rust' kan worden ingeschakeld voor de Blackboard Learn SaaS-omgeving.
De SaaS-variant van Learn maakt gebruik van toegangscontrole om de database te beveiligen. De database is extern niet toegankelijk en toegang is alleen mogelijk door bevoegde medewerkers van Blackboard.
Tolerantie en back-ups van bestandssysteem
De SaaS-variant van Learn maakt gebruik van Amazon S3 (Simple Storage Service) voor back-ups van essentiële gegevens uit het bestandssysteem. Er wordt om de vijf 5 minuten een back-up gemaakt van deze gegevens. S3 biedt een duurzaamheid van 99,999999999% voor gegevens.
Beveiliging controleren
Klanten hebben via het configuratiescherm voor systeembeheer toegang tot logboeken op het niveau van de Blackboard Learn-toepassing. Klanten kunnen beveiligingslogboeken bekijken op de manier die hier is beschreven: Audit en verantwoordingsplicht.
Learn SaaS maakt gebruik van krachtige AWS-controletools, waaronder , S3, CloudWatch, CloudTrail en TrustedAdvisor.
Veiligheid als basis, controle door externe partij
Blackboard is een partnerschap aangegaan met Amazon om er zeker van te zijn dat onze SaaS-variant van Learn vanaf het begin is gebaseerd op een degelijke fundering van best practices van AWS. Blackboard heeft vervolgens een externe auditor opdracht gegeven om met name te kijken naar de AWS-implementatie van de SaaS-variant van Learn. De combinatie van deze twee benaderingen betekent dat wij het volste vertrouwen hebben in de veiligheid van onze SaaS-implementatie.
Maatregelen tegen DDoS
De samenwerking met AWS voor Learn SaaS biedt heel veel voordelen op het gebied van schaal, efficiency en veiligheid. Een duidelijk voordeel is toegang tot de infrastructuur voor hoge beschikbaarheid waarop AWS is gebouwd. Hierdoor kan de SaaS-variant van Learn bijvoorbeeld gebruikmaken van de maatregelen tegen DDoS die standaard aanwezig zijn in AWS.
