Segurança é prioridade para a Blackboard.

A Blackboard zela pela integração da segurança a nossos produtos e pela disponibilização imediata de atualizações de produtos minuciosamente testados.

A Blackboard segue as práticas de segurança aceitas pelo setor. O Blackboard Learn é desenvolvido de acordo com um conjunto de diretrizes de engenharia de segurança. Essas diretrizes são derivadas de muitas organizações, como o Projeto Aberto para Segurança em Aplicações Web (OWASP, Open Web Application Security Project), que inclui contramedidas específicas para as dez principais vulnerabilidades do OWASP. A Blackboard incorpora essas práticas de segurança em todas as etapas do ciclo de vida do desenvolvimento de software (SDLC, na sigla em inglês).


Código do aplicativo

O código do aplicativo SaaS foi desenvolvido pensando na segurança. A Equipe de segurança está envolvida em todo SDLC para garantir o desenvolvimento da segurança desde o início, seguindo nosso Programa de garantia de segurança. Adotamos novas tecnologias e aproveitamos os recursos de segurança incorporados e as melhores práticas.


Assegurar a segurança

A Blackboard utiliza vários métodos de proteção para os aplicativos, incluindo avaliações de segurança "de cima para baixo" através de modelagem e análise de ameaças. Também usamos a detecção de ameaça no nível de código "de baixo para cima" por meio de análise estática, análise dinâmica e testes manuais de penetração.

A Blackboard segue as diretrizes de práticas recomendadas de muitas organizações para ajudar a fortalecer a segurança do produto e do programa Blackboard Learn. Isso inclui:

  • Instituto Nacional de Padrões e Tecnologia (NIST, National Institute of Standards and Technology)
  • Agência Europeia para a Segurança das Redes e da Informação (ENISA, European Network and Information Security Agency)
  • SANS Projeto Aberto para Segurança em Aplicações Web (SANS OWASP, SANS Institute Open Web Application Security Project)
  • Aliança para Segurança na Nuvem (CSA, Cloud Security Alliance)

As ameaças e as contramedidas de segurança relacionadas aos Sistemas de gerenciamento de aprendizado estão em constante mudança. Por isso, a Blackboard avalia regularmente seu roteiro de segurança do produto.

A Blackboard integrou a segurança à Blackboard Learn desde o início. Os itens a seguir apresentam as medidas e práticas de segurança estabelecidas pela Blackboard para proteger a oferta de Software como Serviço.


Segurança de rede

Comunicação segura

A oferta de Software como Serviço do Learn protege toda a comunicação na internet com a tecnologia Transport Layer Security (TLS). A TLS garante que uma comunicação não seja lida ou alterada por outra entidade. A Blackboard Learn usa a TLS para proteger as comunicações entre o servidor da Web e a máquina do cliente (por exemplo, um navegador).

A oferta de Software como Serviço exige TLS em todo o sistema por padrão. O TLS tem como terminação o Amazon Elastic Load Balancer (ELB). Os certificados TLS exigem criptografia de 2.048 bits.

Área de superfície mínima de ataque

As instâncias do cliente da oferta de Software como Serviço da Learn têm como terminação de TLS o Amazon Elastic Load Balancer (ELB). Portanto, os únicos ativos com acesso de entrada são os ELBs. As portas disponíveis são a 80 (http) e a 443 (https). O acesso à porta 80 causa um redirecionamento para a porta 443, proporcionando comunicação segura via TLS. Todas as outras portas são inacessíveis externamente, pois a Blackboard aplica uma política de firewall de recusa padrão para a oferta de Software como Serviço da Learn, utilizando toda a força dos Grupos de segurança AWS. Além disso, a oferta de Software como Serviço da Learn coloca toda a infraestrutura não ELB em uma sub-rede privada, removida completamente da internet.


Gerenciamento de acesso

Acesso administrativo do cliente

Os clientes podem acessar suas instâncias correspondentes da oferta de SaaS do Learn somente por meio da interface da web via TLS. Por motivos de segurança, os clientes não podem acessar suas instâncias usando o acesso de linha de comando ou back-end.

Acesso administrativo da Blackboard

Acesso a aplicativos

Somente a equipe autorizada da Blackboard pode acessar as instâncias da oferta de Software como Serviço da Learn por meio da interface da Web via TLS.

Acesso de back-end

Um número limitado de integrantes da equipe pode ter acesso de linha de comando e de back-end por meio do uso de chaves SSH. O acesso só é possível por meio de chaves SSH, um método mais seguro de acesso em comparação com nomes de usuário/senhas. As chaves são gerenciadas por um grupo pequeno e podem ser revogadas a qualquer momento.

Acesso do console

O acesso da Blackboard ao console da Web da Amazon Web Services exige autenticação de vários fatores (MFA, na sigla em inglês).

Recuperação de desastres

Resiliência e backups de base de dados

A oferta de software como serviço do Learn usa o PostgreSQL como banco de dados. O serviço de banco de dados PostgreSQL da Blackboard oferece disponibilidade e durabilidade aprimoradas de modo que, em caso de falha no banco de dados, o serviço seria transferido para uma zona de disponibilidade alternativa. Nosso serviço de banco de dados PostgreSQL também realizar backups todas as noites.

Os backups são armazenados em uma mídia que fornece durabilidade muito alta. A oferta de Software como Serviço da Learn não usa criptografia de banco de dados em repouso no momento.

A oferta de Software como Serviço do Learn usa controle de acesso para proteger o banco de dados. O acesso ao banco de dados não está disponível externamente e é restrito à equipe autorizada da Blackboard.

Resiliência e backups de sistema de arquivos

A oferta de SaaS do Learn usa o Amazon Simple Storage Service (S3) para backups de dados críticos de sistema de arquivos. O backup desses dados é realizado a cada 5 minutos. O S3 oferece 99,99999999999% de durabilidade de dados.

Por enquanto, os backups não são criptografados, embora a Blackboard esteja avaliando essa questão como parte de seu roteiro da oferta de Software como Serviço da Learn. Os backups não são acessíveis externamente e o acesso é restrito à equipe autorizada da Blackboard.

Auditoria de segurança

Os clientes têm acesso aos logs por meio do Painel do administrador do Blackboard Learn no nível de aplicativo. Os clientes poderão examinar os logs de segurança conforme descrito aqui: Auditoria e responsabilidade.

A oferta de SaaS do Learn utiliza ferramentas avançadas de auditoria AWS, como S3, CloudWatch, CloudTrail e TrustedAdvisor.

Desenvolvido com foco em segurança, verificado por um terceiro

A Blackboard firmou parceria com a Amazon para garantir que, desde o início, a oferta de SaaS do Learn fosse construída sobre uma base sólida de práticas recomendadas da AWS. Subsequentemente, a Blackboard contratou um auditor terceirizado para se concentrar especificamente na implantação da AWS de SaaS do Learn. Esses dois métodos unidos garantem nossa mais alta confiança na segurança de nossa oferta de SaaS.

Contramedidas a ataques DDoS

A parceria com a AWS para o SaaS do Learn oferece muitas vantagens em termos de escala, eficiência e segurança. Uma dessas vantagens claras é percebida na utilização da infraestrutura de alta disponibilidade na qual a AWS se baseia. Por exemplo, a oferta de Software como Serviço do Learn se beneficia das contramedidas a ataques DDoS (ataques distribuídos de negação de serviço) oferecidas de modo nativo pela AWS.