Beveiliging heeft de hoogste prioriteit voor Blackboard.

Blackboard hecht zeer veel waarde aan het inbouwen van beveiliging in onze producten en het snel aanbieden van zorgvuldig geteste productupdates.

Blackboard volgt door de industrie geaccepteerde beveiligingsprocedures. Blackboard Learn is ontwikkeld op basis van een set beveiligingsrichtlijnen. Deze richtlijnen zijn afgeleid van verschillende organisaties, zoals OWASP (Open Web Application Security Project), inclusief specifieke maatregelen voor de tien kwetsbaarste punten die door OWASP zijn opgesteld. Blackboard past deze praktijken toe in alle fasen van de software-ontwikkeling.


Toepassingscode

De SaaS-toepassingscode is gebouwd met beveiliging in het achterhoofd. Het Security Team is betrokken geweest bij de volledige ontwikkelcyclus van de software (SDLC) om er zeker van te zijn dat beveiliging vanaf het begin is ingebouwd, in overeenkomst met ons programma voor gegarandeerde beveiliging. We hebben nieuwe technologieën geïntroduceerd en kunnen zo ons voordeel doen met de bijbehorende ingebouwde beveiligingsfuncties en best practices.


Beveiliging garanderen

In Blackboard worden verschillende methoden gebruikt voor de bescherming van onze toepassingen, met inbegrip van top-down beoordeling van beveiligingsrisico's via het modelleren en analyseren van bedreigingen. Daarnaast gebruiken we bottom-up detectie van bedreigingen op codeniveau door middel van statische analyse, dynamische analyse en handmatige penetratietests.

Blackboard volgt de richtlijnen voor best practices van diverse organisaties om de beveiliging van de de producten en het programma van Blackboard Learn verder te verbeteren, waaronder:

  • National Institute of Standards and Technology (NIST)
  • Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA)
  • Open Web Application Security Project (OWASP) van het SANS Institute
  • Cloud Security Alliance (CSA)

Learning Management Systems hebben te maken met beveiligingsrisico's en oplossingen hiervoor die steeds veranderen. Om die reden wordt de Product Security Roadmap van Blackboard regelmatig geëvalueerd.

Vanaf het begin heeft Blackboard beveiliging ingebouwd in Blackboard Learn. Hieronder worden de maatregelen en processen beschreven die Blackboard heeft ontwikkeld om de SaaS-variant te beveiligen.


Netwerkbeveiliging

Veilige communicatie

Alle communicatie van de SaaS-variant van Learn via internet wordt beveiligd met TLS-technologie (Transport Layer Security). TLS zorgt ervoor dat overgebrachte gegevens niet kunnen worden gelezen of gewijzigd door een andere entiteit. Blackboard Learn gebruikt TLS om de communicatie tussen de webserver en de client te beveiligen, zoals een browser.

De SaaS-variant vereist dat TLS standaard voor het gehele systeem is ingeschakeld. TLS eindigt bij de ELB (Elastic Load Balancer) van Amazon. TLS-certificaten vereisen een 2048-bits codering.

Aanvalsoppervlak zo klein mogelijk houden

Op de clients met de SaaS-variant van Learn stopt TLS bij de ELB (Elastic Load Balancer) van Amazon. Dit betekent dat de ELB's de enige elementen met inkomende toegang zijn. De beschikbare poorten zijn 80 (http) en 443 (https). Toegang tot poort 80 betekent een omleiding of redirect naar poort 443, en dus veilige communicatie via TLS. Alle andere zijn extern niet toegankelijk aangezien Blackboard een firewallbeleid afdwingt voor de SaaS-variant van Learn waarmee iedere toegang standaard wordt geweigerd. Dit gebeurt door maximaal voordeel te halen uit de mogelijkheden van beveiligingsgroepen van AWS. Daarnaast wordt alle niet-ELB-infrastructuur door de SaaS-variant van Learn opgenomen in een privé-subnet, dat volledig is afgescheiden van internet.


Toegangsbeheer

Administratieve toegang door klanten

Klanten kunnen alleen via de webinterface over TLS toegang krijgen tot hun Learn SaaS-instanties. Uit beveiligingsoogpunt is geen toegang mogelijk via een opdrachtregelprogramma of vanuit de back-end.

Administratieve toegang door Blackboard

Toegang via toepassingen

Alleen bevoegde medewerkers van Blackboard hebben via de webinterface en TLS toegang tot de SaaS-variant van Learn.

Toegang via de back-end

Een beperkt aantal medewerkers heeft toegang via een opdrachtregel en de back-end met behulp van SSH-sleutels. Toegang is alleen mogelijk via SSH-sleutels, een veiligere toegangsmethode dan de combinatie van een gebruikersnaam en een wachtwoord. Sleutels worden beheerd door een kleine groep mensen en kunnen op ieder moment worden ingetrokken.

Toegang via console

Toegang van Blackboard-medewerkers tot de webconsole van Amazon Web Services is alleen mogelijk via MFA (Multi-Factor Authentication).

Herstel na noodgeval

Tolerantie en back-ups van de database

De SaaS-variant van Learn maakt gebruik van PostgreSQL als de database. De PostgreSQL-databaseservice van Blackboard biedt verbeterde beschikbaarheid en duurzaamheid, zodat in het geval van een databasestoring de service wordt doorgezet naar een alternatieve beschikbaarheidszone. Onze PostgreSQL-databaseservice maakt ook iedere nacht back-ups.

Back-ups worden opgeslagen op een opslagplatform met een extreem hoge duurzaamheid. Op dit moment wordt er voor de SaaS-variant van Learn geen codering toegepast voor de database als deze 'at rest' is (inactief).

De SaaS-variant van Learn maakt gebruik van toegangscontrole om de database te beveiligen. De database is extern niet toegankelijk en toegang is alleen mogelijk door bevoegde medewerkers van Blackboard.

Tolerantie en back-ups van bestandssysteem

De SaaS-variant van Learn maakt gebruik van Amazon S3 (Simple Storage Service) voor back-ups van essentiële gegevens uit het bestandssysteem. Er wordt om de vijf 5 minuten een back-up gemaakt van deze gegevens. S3 biedt een duurzaamheid van 99,999999999% voor gegevens.

Back-ups worden op dit moment niet gecodeerd, maar deze mogelijkheid wordt wel overwogen door Blackboard in het kader van de evaluatie van de roadmap voor de SaaS-variant van Learn. Back-ups zijn extern niet toegankelijk en toegang is alleen mogelijk door bevoegde medewerkers van Blackboard.

Beveiliging controleren

Klanten hebben toegang tot logboeken op toepassingsniveau van Blackboard Learn via de Kibana-interface die is geïntegreerd in het configuratiescherm voor systeembeheer. Klanten kunnen beveiligingslogboeken bekijken op de manier die hier is beschreven: Audit en verantwoordingsplicht.

Learn SaaS maakt gebruik van krachtige AWS-controletools, waaronder , S3, CloudWatch, CloudTrail en TrustedAdvisor.

Veiligheid als basis, controle door externe partij

Blackboard is een partnerschap aangegaan met Amazon om er zeker van te zijn dat onze SaaS-variant van Learn vanaf het begin is gebaseerd op een degelijke fundering van best practices van AWS. Blackboard heeft vervolgens een externe auditor opdracht gegeven om met name te kijken naar de AWS-implementatie van de SaaS-variant van Learn. De combinatie van deze twee benaderingen betekent dat wij het volste vertrouwen hebben in de veiligheid van onze SaaS-implementatie.

Maatregelen tegen DDoS

De samenwerking met AWS voor Learn SaaS biedt heel veel voordelen op het gebied van schaal, efficiency en veiligheid. Een duidelijk voordeel is toegang tot de infrastructuur voor hoge beschikbaarheid waarop AWS is gebouwd. Hierdoor kan de SaaS-variant van Learn bijvoorbeeld gebruikmaken van de maatregelen tegen DDoS die standaard aanwezig zijn in AWS.