Segurança é prioridade para a Blackboard.
A Blackboard zela pela integração da segurança a nossos produtos e pela disponibilização imediata de atualizações de produtos minuciosamente testados.
A Blackboard segue as práticas de segurança aceitas pelo setor. O Blackboard Learn é desenvolvido de acordo com um conjunto de diretrizes de engenharia de segurança. Essas diretrizes são derivadas de muitas organizações, como o Projeto Aberto para Segurança em Aplicações web (OWASP, Open web Application Security Project), que inclui contramedidas específicas para as dez principais vulnerabilidades do OWASP. A Blackboard incorpora essas práticas de segurança em todas as etapas do ciclo de vida do desenvolvimento de software (SDLC, na sigla em inglês).
Código do aplicativo
O código do aplicativo SaaS foi desenvolvido pensando na segurança. A Equipe de segurança está envolvida em todo SDLC para garantir o desenvolvimento da segurança desde o início, seguindo nosso Programa de garantia de segurança. Adotamos novas tecnologias e aproveitamos os recursos de segurança incorporados e as melhores práticas.
Assegurar a segurança
A Blackboard utiliza vários métodos de proteção para os aplicativos, incluindo avaliações de segurança "de cima para baixo" através de modelagem e análise de ameaças. Também usamos a detecção de ameaça no nível de código "de baixo para cima" por meio de análise estática, análise dinâmica e testes manuais de penetração.
A Blackboard segue as diretrizes de práticas recomendadas de muitas organizações para ajudar a fortalecer a segurança do produto e do programa Blackboard Learn. Isso inclui:
- Instituto Nacional de Padrões e Tecnologia (NIST, National Institute of Standards and Technology)
- Agência Europeia para a Segurança das Redes e da Informação (ENISA, European Network and Information Security Agency)
- SANS Projeto Aberto para Segurança em Aplicações web (SANS OWASP, SANS Institute Open web Application Security Project)
- Aliança para Segurança na Nuvem (CSA, Cloud Security Alliance)
As ameaças e as contramedidas de segurança relacionadas aos Sistemas de gerenciamento de aprendizado estão em constante mudança. Por isso, a Blackboard avalia regularmente seu roteiro de segurança do produto.
A Blackboard integrou a segurança à Blackboard Learn desde o início. Os itens a seguir apresentam as medidas e práticas de segurança estabelecidas pela Blackboard para proteger a oferta de software como serviço.
Segurança de rede
Comunicação segura
A oferta de software como serviço do Learn protege toda a comunicação na internet com a tecnologia Transport Layer Security (TLS). A TLS garante que uma comunicação não seja lida ou alterada por outra entidade. A Blackboard Learn usa a TLS para proteger as comunicações entre o servidor da web e a máquina do cliente (por exemplo, um navegador).
A oferta de software como serviço exige TLS em todo o sistema por padrão. O TLS tem como terminação o Amazon Elastic Load Balancer (ELB). Os certificados TLS exigem criptografia de 2.048 bits.
Área de superfície mínima de ataque
As instâncias do cliente da oferta de software como serviço da Learn têm como terminação de TLS o Amazon Elastic Load Balancer (ELB). Portanto, os únicos ativos com acesso de entrada são os ELBs. As portas disponíveis são a 80 (http) e a 443 (https). O acesso à porta 80 causa um redirecionamento para a porta 443, proporcionando comunicação segura via TLS. Todas as outras portas são inacessíveis externamente, pois a Blackboard aplica uma política de firewall de recusa padrão para a oferta de software como serviço da Learn, utilizando toda a força dos grupos de segurança AWS. Além disso, a oferta de software como serviço da Learn coloca toda a infraestrutura não ELB em uma sub-rede privada, removida completamente da internet.
Gerenciamento de acesso
Acesso administrativo do cliente
Os clientes podem acessar suas instâncias correspondentes da oferta de SaaS do Learn somente por meio da interface da web via TLS. Por motivos de segurança, os clientes não podem acessar suas instâncias usando o acesso de linha de comando ou back-end.
Acesso administrativo da Blackboard
Acesso a aplicativos
Somente a equipe autorizada da Blackboard pode acessar as instâncias da oferta de software como serviço da Learn por meio da interface da web via TLS.
Acesso de back-end
Um número limitado de integrantes da equipe pode ter acesso de linha de comando e de back-end por meio do uso de chaves SSH. O acesso só é possível por meio de chaves SSH, um método mais seguro de acesso em comparação com nomes de usuário/senhas. As chaves são gerenciadas por um grupo pequeno e podem ser revogadas a qualquer momento.
Acesso do console
O acesso da Blackboard ao console da web da Amazon web Services exige autenticação de vários fatores (MFA, na sigla em inglês).
Recuperação de desastres
Resiliência e backups de base de dados
A oferta de software como serviço do Learn usa o PostgreSQL como banco de dados. O serviço de banco de dados PostgreSQL da Blackboard oferece disponibilidade e durabilidade aprimoradas de modo que, em caso de falha no banco de dados, o serviço seria transferido para uma zona de disponibilidade alternativa. Nosso serviço de banco de dados PostgreSQL também realiza backups todas as noites.
A criptografia em repouso está disponível e habilitada por padrão para todos os novos ambientes do Blackboard Learn SaaS. Os ambientes criados antes da versão de lançamento 3200.10.0 não terão a criptografia em repouso totalmente habilitada por padrão. Para esses ambientes, habilitar a criptografia em repouso envolve tempo de inatividade para transferir dados para o armazenamento criptografado. A criptografia em repouso será totalmente habilitada para ambientes existentes do Blackboard Learn SaaS com base nas solicitações dos clientes com a aceitação do tempo de inatividade. O suporte da Blackboard também pode realizar a migração quando houver uma oportunidade de habilitar a criptografia em repouso sem tempo de inatividade adicional, como durante uma migração obrigatória não relacionada à criptografia em repouso. Entre em contato com o suporte da Blackboard para falar sobre o processo de migração e o período para habilitar a criptografia em repouso para seu ambiente do Blackboard Learn SaaS.
A oferta do Learn SaaS usa controle de acesso para proteger o banco de dados. O acesso ao banco de dados não está disponível externamente e é restrito à equipe autorizada da Blackboard.
Resiliência e backups de sistema de arquivos
A oferta de SaaS do Learn usa o Amazon Simple Storage Service (S3) para backups de dados críticos de sistema de arquivos. O backup desses dados é realizado a cada 5 minutos. O S3 oferece 99,99999999999% de durabilidade de dados.
Auditoria de segurança
Os clientes têm acesso aos logs por meio do Painel do administrador do Blackboard Learn no nível de aplicativo. Os clientes poderão examinar os logs de segurança conforme descrito aqui: Auditoria e responsabilidade.
A oferta de SaaS do Learn utiliza ferramentas avançadas de auditoria AWS, como S3, CloudWatch, CloudTrail e TrustedAdvisor.
Desenvolvido com foco em segurança, verificado por um terceiro
A Blackboard firmou parceria com a Amazon para garantir que, desde o início, a oferta de SaaS do Learn fosse construída sobre uma base sólida de práticas recomendadas da AWS. Subsequentemente, a Blackboard contratou um auditor terceirizado para se concentrar especificamente na implantação da AWS de SaaS do Learn. Esses dois métodos unidos garantem nossa mais alta confiança na segurança de nossa oferta de SaaS.
Contramedidas a ataques DDoS
A parceria com a AWS para o SaaS do Learn oferece muitas vantagens em termos de escala, eficiência e segurança. Uma dessas vantagens claras é percebida na utilização da infraestrutura de alta disponibilidade na qual a AWS se baseia. Por exemplo, a oferta de software como serviço do Learn se beneficia das contramedidas a ataques DDoS (ataques distribuídos de negação de serviço) oferecidas de modo nativo pela AWS.
