Indførelsen
HP Workforce Experience Platform (WXP) er en cloud-baseret virksomhedsløsning, der hjælper it-teams med at reducere digital friktion, forbedre sikkerheden og proaktivt løse enhedsproblemer. Det giver centraliseret synlighed og administration af en organisations pc-flåde, såsom stationære computere, bærbare computere og andre tilsluttede aktiver, gennem en sikker, skalerbar platform.
WXP analyserer telemetridata i næsten realtid fra enheder og applikationer for at identificere problemer, overvåge tilstand og anbefale afhjælpning. It-administratorer kan se enhedsstatus, definere politikker, generere rapporter og iværksætte fjernhandlinger for at understøtte drifts- og sikkerhedsbehov.
Dette dokument skitserer WXP's sikkerheds- og privatlivsarkitektur med fokus på administrerede pc-enheder. Den forklarer, hvordan data indsamles, overføres, opbevares og beskyttes, og beskriver platformens overholdelse af databeskyttelsesstandarder. Den tilsigtede målgruppe omfatter it-administratorer, tjenesteudbydere og sikkerhedskontrollanter, der vurderer platformens datahåndteringspraksis.
WXP-oplevelsesarkitektur
Som en one-stop, cloud-baseret analyseplatform til enheder, data og brugere inkorporerer WXP brancheafprøvet sikkerhed på serviceniveau på tværs af sin arkitektur og udviklingsprocesser. De vigtigste tjenester omfatter:
Indsamling og analyse af enhedstelemetri på tværs af flere operativsystemer
Gør det muligt for HP-kunder og administrerede tjenesteudbydere at generere rapporter og administrere hændelser
Integration af forskellige tredjepartstjenester gennem en software-as-a-service (SaaS)-model
Brugere og roller
Dashboardet i WXP tilbyder flere typer brugere og roller, som vist i følgende diagram.
Roller | Omfanget |
|---|---|
Regional administrator | Denne konto bruges af en forretningsdriftsadministrator hos HP til at oprette nye lejere for både direkte kunder og partnere. Regionale rodadministratorkonti styres og har adgang til at administrere og navigere direkte i kunde- og partnerlejere. Der findes typisk separate rodadministratorkonti for hvert område. I øjeblikket opererer WXP i to regionale AWS-datacentre:
|
Partnere | Partnerlejere kan omfatte partneradministrator-, servicespecialist- og salgsspecialistroller. Disse lejere kan få adgang til flere kundekonti og administrere enheder, brugere og daglige handlinger på deres vegne. Derudover:
|
HP-support | En HP Support-konto kan få adgang til flere virksomheder samtidigt og administrere enheder, brugere og den daglige drift på vegne af kunder til fejlfindingsformål. Disse handlinger administreres af HP's Business Operations-team. Der er to typer brugere under en HP Support-konto: supportadministratorer og supportspecialister. Supportadministratorer kan oprette yderligere supportadministrator- eller supportspecialistkonti. |
Virksomhedsejer | Når en virksomhed oprettes, tildeles en standard virksomhedsejer af rodadministratorer. Som standard får denne bruger også rollen It-administrator til at administrere brugere og enheder i virksomheden. Virksomhedsejere kan administrere brugere, håndtere enhedsrelaterede opgaver og få adgang til rapporter og andre administrative funktioner baseret på deres tilladelser. Mens Managed Service Providers (MSP'er) administrerer brugere på tværs af flere virksomheder, administrerer virksomhedsejere uafhængigt brugere i deres egen virksomhed. |
Virksomhedsbruger | I WXP er en bruger en person i en virksomhedslejer, der er tildelt en rolle, der giver dem mulighed for at udføre handlinger. Brugere kan oprettes på følgende måder:
|
IT-administrator | Rollen It-administrator tildeles brugere i kunde- eller selvadministrerede virksomheder. Det giver brugerne mulighed for at udføre vigtige administrative opgaver såsom administration af brugere og enheder. Selvom funktionen ligner roller, der er tilgængelige for MSP'er, er it-administratoradgang begrænset til deres egen virksomhed. |
Anmeld admin | Virksomhedsejere har som standard adgang til rapporter. Alle virksomhedsbrugere kan også få adgang til rapporter. Rollen Rapportadministrator er skrivebeskyttet og giver brugerne mulighed for at få vist oplysninger fra WXP-rapporter. |
Connector Admin | Denne rolle muliggør sikker, rollebaseret administration af integrationer i WXP. Denne rolle styrer adgangen til integrationshandlinger på tværs af alle understøttede connectorer. Det sikrer, at kun autoriserede brugere kan konfigurere og administrere integrationswidgets og forbindelsesindstillinger. |
Nøglefunktioner
Connectoradministratorer kan udføre følgende handlinger i WXP:
Konfigurer og administrer integrationswidgets.
Opret forbindelse til og afbryd tredjepartsintegrationer, herunder ServiceNow, Teams, Graph API og mere.
Se og få adgang til tilknyttet integrationsdokumentation.
Følgende diagram giver en oversigt over Insights-funktionaliteten og -funktionerne på højt niveau:
HP Workforce Experience-enheder
WXP-arkitektur er designet til at hjælpe med at forhindre angribere i at få kontrol over enheder. Afhængigt af hardware og operativsystemer skal enhedssoftware installeres under klargøringsprocessen.
For at tilføje enheder skal din virksomheds it-administrator eller en Managed Service Provider (MSP) tilmelde dem sikkert i WXP ved hjælp af en tildelt firma-pinkode. Under tilmeldingen sker der en asymmetrisk nøgleudveksling mellem serveren og enheden. Hver enhed genererer et unikt nøglepar, når enheder identificeres, og derefter modtager enheder et adgangstoken, der er gyldigt i 24 timer. Efter denne periode skal enheder sende signaturer til serveren, der beviser deres identitet for nye adgangstokens.
Med virksomhedens samtykke uploader tilmeldte enheder telemetridata dagligt til WXP-analysepipelinen. I løbet af dagen modtager de også kommandoer og styresignaler fra WXP. Al kommunikation er beskyttet af ovennævnte adgangstoken.
WXP til Microsoft Windows® bruger HTTPS/TLS 1.2-protokollen over port 443 til al kommunikation. Det installerer ikke certifikater eller ændrer Windows-operativsystemets certifikatlager.
HP's platform til arbejdsstyrkeoplevelse
WXP hostes i Amazon Web Services (AWS) i to forskellige regioner: USA (AWS-OR) og EU (AWS-DE).
Afhængigt af registreringslandet oprettes din virksomhedslejer i det tilsvarende regionale datacenter. It-administratorer får adgang til WXP via en webbrowser, som indeholder grænseflader til enhedstilmelding, godkendelse og kommunikation.
De næste afsnit dækker designbeslutninger om sikkerhed.
Identitetsstyring
I øjeblikket er de understøttede identitetsudbydere (IdP'er) HP Common Identity System (HPID) og Microsoft Entra ID. For identiteter, der administreres af HP Common Identity System, kan adgangskodekvaliteten ikke konfigureres, og adgangskodepolitikken angives af HP ID-tilmeldingssiden. Adgangskoder skal indeholde mindst otte tegn og indeholde tre eller flere af følgende kriterier:
Et stort bogstav
Et lille bogstav
Spillernumre
Symboler eller specialtegn
Identitet, der administreres af Microsoft Entra ID, følger de politikker, der er angivet af administratoren af Entra ID-kontoen. Dette omfatter, men er ikke begrænset til: multifaktorgodkendelse, adgangskodekompleksitet osv.
Administration af sessioner
Der er ingen grænse for antallet af samtidige sessioner, en bruger kan have. Hver session slutter dog automatisk efter 30 minutters inaktivitet. For enheder udløber sessioner hver 24. time og fornys automatisk. Godkendelse og godkendelse implementeres ved hjælp af OAuth 2.0-protokollen og administreres via sessionsbaserede mekanismer. Denne funktion bruger JSON Web Tokens (JWT). Hver WXP-mikrotjeneste gennemtvinger JWT-verifikation for signaturgyldighed og tokenudløb.
Autorisation
Ud over JWT-tokenbekræftelse foretages der lejekontrol for alle API'er. Dette sikrer, at relevante lejerdata overføres til den, der ringer op. Derudover foretages rolletjek for alle kritiske operationer.
For yderligere information henvises til afsnittet Users and Roles .
Flere lejemål
WXP er en cloud-baseret løsning med flere lejere. Lejerdata adskilles logisk ved hjælp af relationsdatabaser og gennemtvinges via kontrol af lejerrettigheder. Hver lejer er knyttet til et universelt entydigt id (UUID), som sikrer dataisolering og sporbarhed.
Inaktive data
Virksomhedsoplysninger som enheder, brugere og relaterede data gemmes i en AWS Relational Database Service (RDS) MySQL-database og et MongoDB-datalager. Både AWS RDS MySQL-databasen og MongoDB-datalagrene er krypteret. Følsomme felter som nøgler og tokens krypteres også ved hjælp af AWS Key Management Service (KMS). Hovednøglen drejes i henhold til HP's retningslinjer for cybersikkerhed.
Data i transit
Al ekstern kommunikation til og fra WXP bruger HTTPS/TLS1.2-protokollen. Tjenester inden for AWS Virtual Private Cloud (VPC) kommunikerer ved hjælp af klartekst.
For yderligere information henvises til afsnittet Operational Security .
Integration af tredjepart
WXP integreres med forskellige tredjepartstjenester såsom ServiceNow, PowerBI, Tableau, EntraID. Server-til-server-kommunikation sker via HTTPS ved hjælp af godkendelsesmetoder, der leveres af vores partneres systemer.
Kontakt en HP-serviceekspert for at få flere oplysninger om tredjepartsintegration.
Validering af brugergrænseflade (UI)
Validering af brugergrænsefladefelter beskytter inputfelter i WXP-agenten. Validering gennemtvinges baseret på datatyper (f.eks. streng, dato/klokkeslæt, valuta) og forretningsregler (f.eks. påkrævede eller anbefalede felter). Felter kan også sikres baseret på brugerroller og tilladte handlinger (læse/skrive). Yderligere validering kan anvendes via scriptfunktioner.
HP's analyseplatform til arbejdsstyrkeoplevelser
WXP-analyseplatformen hostes på AWS og fungerer som databehandlingsrygraden for WXP. De fleste komponenter i analyseplatformen er interne og ikke eksponeret for ekstern adgang.
Dataindsamling
Analyseplatformen giver grænseflader til sikker upload af data fra enheder. Den bruger en godkendt API-gateway til at modtage data. I denne transporttilstand sendes forbindelser, kommandoer og politikker hverken til eller indsamles fra enheder, hvilket sikrer envejskommunikation fra enhed til cloud.
Inaktive data
Ustrukturerede data i hvile opbevares i AWS S3; strukturerede data gemmes dog i AWS RedShift. Både strukturerede og ustrukturerede data er krypteret i analyseplatformen.
HP Workforce Experience Driftssikkerhed
Dette afsnit beskriver, hvordan WXP anvender sikkerhed på serviceniveau for at sikre sikkerheden på forskellige kommunikationslag.
Datacenter
WXP hostes af Amazon Web Services (AWS), mere specifikt Amazon Elastic Compute Cloud (Amazon EC2). Amazon EC2 giver skalerbar computerkapacitet i AWS-skyen. WXP vedligeholder datacentre i Oregon, USA (AWS-OR) og Frankfurt, Tyskland (AWS-DE). Data for kunder i europæiske lande kan hostes i det tyske datacenter. Data for kunder i alle andre lande kan hostes i det amerikanske datacenter.
Alle data i en enkelt kunde-"lejer" hostes i et enkelt datacenter, selvom kunder, der ønsker at have separate lejere i forskellige datacentre til at hoste data for forskellige forretningsenheder, kan anmode om denne mulighed. Ved at bruge AWS udnytter WXP Amazons mere end femten års erfaring med at levere storstilet, global infrastruktur på en pålidelig og sikker måde. For mere information henvises til AWS-informationsportalen: http://aws.amazon.com/ec2/ .
På det fysiske lag er det vigtigt at adressere de kontroller, der er på plads for at sikre faciliteter og netværket. Kunde- og enhedsdata gemmes i AWS-datacentre, der er geografisk fordelt for at give redundans. AWS er en anerkendt leder inden for cloud-hosting. Ved at samarbejde med AWS arver WXP en cloud-infrastruktur, der er blevet designet til at være et af de mest fleksible og sikre cloud computing-miljøer, der findes i dag. Nogle af dens vigtigste sikkerhedsegenskaber omfatter:
Designet til sikkerhed
AWS's cloud-infrastruktur er placeret i AWS-datacentre, som er designet til at opfylde kravene fra de mest sikkerhedsfølsomme kunder.
AWS-infrastrukturen er designet til at give høj tilgængelighed og samtidig indføre stærke sikkerhedsforanstaltninger for kundernes privatliv og dataadskillelse.
Enheds-, applikations- og placeringsdata, der overføres til U.S. Analytics Management Datacenter, omfatter ikke brugernavne eller e-mailadresser. I stedet er dataene knyttet til enhedens serienumre og systemgenererede identifikatorer og krypteres i hvile i overensstemmelse med HP's databeskyttelsesstandarder.
Alle strukturerede og ustrukturerede data i WXP krypteres i hvile ved hjælp af AWS-native krypteringsmekanismer såsom AWS KMS, i overensstemmelse med HP's retningslinjer for cybersikkerhed Highly Automated
AWS bygger målrettet de fleste af sine sikkerhedsværktøjer for at skræddersy dem til AWS' unikke miljø- og skaleringskrav.
Disse sikkerhedsværktøjer er bygget til at give maksimal beskyttelse af data og applikationer. Det betyder, at AWS-sikkerhedseksperter bruger mindre tid på rutineopgaver, hvilket gør det muligt at fokusere mere på proaktive foranstaltninger, der kan øge sikkerheden i AWS Cloud-miljøet.
Høj tilgængelighed
AWS bygger sine datacentre i flere geografiske regioner samt på tværs af flere tilgængelighedszoner inden for hver region for at tilbyde maksimal modstandsdygtighed over for systemafbrydelser.
AWS designer sine datacentre med betydelige overskydende båndbreddeforbindelser, så der er tilstrækkelig kapacitet til at gøre det muligt at belastningsbalancere trafikken til de resterende steder, hvis der opstår en større afbrydelse.
Højt akkrediteret
Certificeringer betyder, at revisorer har verificeret, at specifikke sikkerhedskontroller er på plads og fungerer efter hensigten.
Du kan se de relevante overholdelsesrapporter ved at kontakte en AWS-kontorepræsentant for at hjælpe dig med at opfylde specifikke sikkerhedsstandarder og -regler for regeringer, brancher og virksomheder.
AWS leverer certificeringsrapporter, der beskriver, hvordan AWS Cloud-infrastrukturen opfylder kravene i en omfattende liste over globale sikkerhedsstandarder, herunder: ISO 27001, SOC, Payment Card Industry (PCI) Data Security Standard, FedRAMP, Australian Signals Directorate (ASD) Information Security Manual og Singapore Multi-Tier Cloud Security Standard (MTCS SS 584).
For mere information om de sikkerhedsbestemmelser og standarder, som AWS overholder, se AWS Compliance-websiden.
For detaljerede oplysninger om fysisk og miljømæssig sikkerhed, AWS-adgang og netværkssikkerhed, se: AWS Best Practices for Security, Identity & Compliance.
Netværk
Netværksenheder, herunder firewall og andre grænseenheder, er på plads for at overvåge og kontrollere kommunikation ved netværkets ydre grænse og ved vigtige interne grænser inden for netværket. Disse grænseenheder anvender regelsæt, adgangskontrollister (ACL'er) og konfigurationer til at håndhæve informationsstrømmen til specifikke informationssystemtjenester.
ACL'er eller politikker for trafikflow oprettes på hver administreret grænseflade, som gennemtvinger trafikstrømmen. ACL-politikker er godkendt af Amazon Information Security. Disse politikker skubbes automatisk ved hjælp af AWS's ACL-administrationsværktøj for at sikre, at disse administrerede grænseflader håndhæver de mest opdaterede ACL'er.
Forbedrede sikkerhedsadgangspunkter
AWS har strategisk placeret et begrænset antal adgangspunkter til skyen for at muliggøre en mere omfattende overvågning af indgående og udgående kommunikation og netværkstrafik. Disse kundeadgangspunkter kaldes API-slutpunkter, og de tillader HTTP-adgang (HTTPS), som sikrer kommunikationssessioner med lager- eller beregningsinstanser i AWS. Derudover har AWS implementeret netværksenheder, der er dedikeret til at administrere grænsefladekommunikation med internetudbydere (ISP'er). AWS anvender en redundant forbindelse til mere end én kommunikationstjeneste på hver internetvendt kant af AWS-netværket. Alle forbindelser har hver især dedikerede netværksenheder.
Program-, værts- og administratorsikkerhed
På det logiske lag bruges forskellige kontroller til at sikre værtssystemerne, de applikationer, der kører på disse systemer, og for administratorer, der administrerer værtssystemerne og tilknyttede applikationer.
IT-administratorers adgang til WXP og kundedata er begrænset og strengt administreret. Kun de personer, der er nødvendige for at udføre en opgave, har adgang, forudsat at de opfylder de relevante krav til baggrundstjek og kontoadministration.
Datasikkerhed
Data, der udveksles med WXP, bruger AWS-implementeringen af Transport Layer Security (TLS) v1.2, den nyeste form for industristandarden Secure Sockets Layer (SSL) protokol. TLS hjælper med at sikre data på flere niveauer og giver servergodkendelse, datakryptering og dataintegritet. Da TLS er implementeret under applikationslaget, er det en passiv sikkerhedsmekanisme, der ikke er afhængig af yderligere trin eller procedurer fra brugeren. Applikationer er bedre beskyttet mod angribere, selvom brugerne har ringe eller ingen viden om sikker kommunikation.
Disse funktioner hjælper med at sikre data mod tilfældig beskadigelse og mod ondsindede angreb og er beregnet til at undgå almindelige webbaserede trusler. Ud over SSL-kryptering til netværkskommunikation mellem klienter og servere krypterer HP logfiler og inaktive data, som gemmes i vores serverdatabaser).
WXP-enheder skal have de operativsystemer og enhedssoftware, der er beskrevet i systemkravene. Selvom HP's serviceeksperter kan hjælpe med at håndhæve sikkerhedspolitikker på enheder baseret på administrative indstillinger, er der ingen yderligere sikkerhedskrav for implementering af WXP-softwaren på enheder. Loginoplysninger, såsom medarbejderens e-mailadresse og adgangskode, er kun påkrævet, når du får adgang til WXP.
Uafhængig verifikation
To forskellige teknikker til modellering af trusselsintelligens udføres på WXP:
WXP gennemgår trusselsintelligensmodellering for alle nye funktioner, der frigives, og med jævne mellemrum for alle mindre forbedringer af eksisterende funktionalitet. Før softwareudviklingen af nye funktioner påbegyndes, gennemgår WXP også en gennemgang af sikkerhedsarkitekturen af HP Cyber Security.
Eksempel på udførte sikkerhedstest:
På WXP:
Scripting på tværs af websteder
Phishing-angreb
Tyveri af godkendelsestoken
Fuzzing af input
Spoofing af e-mails
SQL-indsprøjtning
Forfalskning af anmodninger på tværs af websteder (CSRF)
Andre almindelige websårbarheder
På WXP-cloudtjenesten og analyseinfrastrukturen (herunder mikrotjenester):
Grænsefladetest til godkendelse og autorisation
Ændring af lejer-id'erne for at sikre, at de relevante data kun sendes til autoriserede brugere
SQL-indsprøjtning
Fjernindsprøjtning af kode
DOS-angreb
Fuzzing af input
På WXP på tværs af operativsystemer, f.eks. Windows, Android og MAC:
installationskilde og applikationsintegritet
Eskalering af privilegier
MITM-angreb
Indgangsfuzzing
Kommandobekræftelse med dataintegritetskontrol
Forgiftning af certifikatbutik
Brudt godkendelse
sikkerhedskonfiguration osv.
WXP-udviklingsteamet følger en sikker softwareudviklingsproces. Det omfatter sikkerhedsgennemgange ud over almindelige arkitektur- og kodegennemgange, der fokuserer på sikkerhed, trusselsmodellering og analyse. Derudover udfører WXP-teamet også regelmæssig infrastrukturscanning og afbødning gennem værktøjer som Nessus-agenten. Alle disse revideres uafhængigt af Coalfire, samtidig med at WXP tildeles ISO 27001-certificeringen.
HP's overholdelses- og sikkerhedsrammer
WXP demonstrerer HP's engagement over for kunderne ved at implementere et robust og akkrediteret informationssikkerheds- og risikostyringsprogram. Kernen i alle rammer for overholdelse af sikkerhedskrav er beskyttelsen af kundedata, som kunderne overlader til HP. Som en del af sin strategiske retning sikrer WXP implementeringen af passende procedurer og sikkerhedsværktøjer til at beskytte disse data.
Gennem globalt anerkendte brancheakkrediteringer gennemgås alle kundedata, herunder proprietære, operationelle, generelle og personlige oplysninger, grundigt for at bekræfte, at WXP's sikkerhedskontroller er i overensstemmelse med etablerede compliance-rammer.
ISO 27001:2022-certificering
Sikkerhed af informationssystemer og forretningskritiske oplysninger kræver konstant måling og styring. ISO 27001:2022-certificering, udstedt af den uafhængige revisor Coalfire, er en bekræftelse af HP's forpligtelse til at levere driftskontinuitet og databeskyttelse.
Den Internationale Standardiseringsorganisation (ISO) er ansvarlig for udviklingen af flere internationalt anerkendte standarder for produkter, tjenester og systemer. ISO 27001:2022-certificeringen tildeles efter afslutning af en ekstern revision af et akkrediteret certificeringsorgan og er aktivbaseret (information, processer, mennesker og teknologi). HP har opnået ISO-certificering på tværs af Remote Monitoring and Management Services-miljøet for både Managed Print og Personal Systems Services.
ISO 27001 specificerer kravene til etablering, implementering, vedligeholdelse og løbende forbedring af et informationssikkerhedsstyringssystem (ISMS) inden for rammerne af en organisation. Et ISMS er en systematisk tilgang til håndtering af følsomme virksomhedsoplysninger, så oplysningerne forbliver sikre i overensstemmelse med principperne om fortrolighed, integritet og tilgængelighed. Tilgangen omfatter mennesker, processer og it-systemer og består af flere understøttende dokumenter og retningslinjer, der definerer implementerings- og certificeringsvejen.
ISO 27001:2022-certificeringen dækker følgende:
Politikker for informationssikkerhed
Driftssikkerhed
Organisering af informationssikkerhed
Kommunikationssikkerhed
Sikkerhed for menneskelige ressourcer
Systemanskaffelse, udvikling og vedligeholdelse
Styring af aktiver
Leverandørforhold
Adgangskontrol
Håndtering af informationssikkerhedshændelser
Kryptografi
Informationssikkerhedsaspekter af forretningskontinuitetsstyring
Fysisk og miljømæssig sikkerhed
Overholdelse
HP har udvidet ISO-certificeringen til at omfatte:
ISO 27701:2019 (PIMS-systemer til styring af privatlivets fred)
ISO 27017:2015 (Kontrol af informationssikkerhed i forbindelse med cloud-tjenester)
ISO 27701:2019-certificering
Kunder og partnere, der bruger WXP til løbende overvågning, søger sikkerhed for, at deres data er beskyttet, når de bruger en cloud-tjenesteudbyder. ISO 27017:2015 definerer brancheanerkendte standarder for informationssikkerhedskontroller specifikt for cloud-tjenestekunder og -udbydere.
SOC 2 Type 2
En SOC2-attestering giver kunderne sikkerhed for at vide, at WXP følger globalt anerkendte standarder for sikkerhed, fortrolighed, beskyttelse af personlige oplysninger og tilgængelighed. SOC 2 giver kunder og partnere bekræftelse af, hvordan HP administrerer, gemmer og behandler kundens private data på en gentagelig og kontinuerlig indsats. Kunderne kræver yderligere rammer for at understøtte deres risikotolerance. HP begyndte at forfølge årlig SOC 2-attestering for at fortsætte med at forbedre sig til fremtiden og for at imødekomme kundernes efterspørgsel.
HP's sikre softwareudviklingslivscyklus (SSDL)
Industriens tilgange til applikationssikkerhed har typisk været reaktive, og industriens tilgange har undladt at anvende erfaringer fra kvalitetsområdet. De to fremherskende fremgangsmåder er:
Grav hovedet i sandet: Dette er kendetegnet ved reaktiv sikkerhedspatching. Denne tilgang er afhængig af almindelige sårbarheder og eksponeringer (CVE'er) med lidt arbejde for at undgå eller minimere introduktion af sårbarheder. Dette ses oftest i industrisegmenter med en minimal sikkerhedsrelevant regulatorisk byrde.
Test sikkerhed i: Dette er mærkbart ved manglen på robusthed, der er designet ind i applikationer. I stedet gøres der en indsats for at finde og rette sårbarheder under testen i kombination med sikkerhedsrettelser. Denne tilgang forekommer mere almindeligt i den offentlige sektor, sikkerhedsregulerede industrier og sundhedsvæsenet. Disse segmenter skal vise overholdelse af regler, herunder USA's Federal Information Security Management Act (FISMA), Payment Card Industry Data Security Standard (PCI-DSS), Health Information Portability and Accountability Act (HIPAA) og Health Information Technology for Economic and Clinical Health (HITECH). Sikkerhed som en kvalitetsegenskab skal dog anvendes på alle stadier af livscyklussen på samme måde, som kvalitetsområdet lærte for et halvt århundrede siden.
Nøglelejere omfatter følgende:
Kvalitet kan ikke testes i; Den skal designes og indbygges og derefter testes.
Sikkerhedsfejl og sårbarheder skal findes før snarere end senere i livscyklussen af hensyn til omkostningerne.
HP tager softwaresikkerhed meget alvorligt, og HP har indført en Secure Software Development Lifecycle (SSDL). Flere mål er knyttet til SSDL-processen, herunder følgende:
Reducer cyberangrebsoverfladen via sikker softwarearkitektur
Minimer sårbarheder i forbindelse med kode
Beskyt privatlivets fred og sikkerhed for kundedata og -identiteter
HP inkluderer specifikke sikkerhedsrelaterede procedurer i sine SSDL-processer, udfører milepælsgennemgange for at sikre, at sikkerhedsprocesser gennemføres med succes, og leverer løbende sikkerhedstræning til sine softwarearkitekter, udviklere, testingeniører, programledere og deres ledelsesteams.
De syv faser i SSDL-processen er defineret nedenfor:
Træning (fase 1) – Formelle kurser, der dækker SSDL-processen, forbedret sikkerhedsdesign, trusselsmodellering og sikker kodning.
Krav (fase 2) – Planlægning af sikkerhed helt i starten af softwareprojekter, herunder sikkerhedsrisikovurderinger for hver enkelt funktion.
Design (fase 3) – Definition og dokumentation af sikkerhedsarkitekturen; identifikation af kritiske sikkerhedskomponenter.
Implementering (fase 4) – Udførelse af den designede beskyttelsesordning og afbødningstilgangen sammen med peer-kodegennemgange og valideringer.
Verifikation (trin 5) – Udførelse af dynamisk kodeanalyse, fuzz-test (fuzzing) og gennemgang af angrebsfladen.
Udgivelse (trin 6) – Bekræftelse af SSDL-krav er opfyldt, og at der ikke findes kendte sårbarheder.
Svar (fase 7) – Udførelse af de svaropgaver, der er beskrevet i udgivelsesfasen.
Dataindsamling
De typer data, der indsamles af WXP, leveres enten direkte af kunderne eller indsamles automatisk fra den cloud-baserede WXP. Data fra enheder indsamles ved hjælp af WXP Agents, der er installeret på enhederne. WXP indsamler følgende data for at udføre kontrakttjenester:
Formål med dataindsamling | Indsamlede data | Beskrivelse af indsamlede data |
Administration af konti | Kontooplysninger | Oplysninger relateret til kundekøb eller tilmelding til WXP-tjenester, supporthistorik med hensyn til hændelser genereret af WXP og alt andet relateret til WXP-kontoen til at udføre transaktionstjenester som kontoadministration. |
Sørg for, at WXP og tjenester fungerer korrekt | Ansøgningsdata | Inkluderer versionsnummer, installationsstatus og opdateringshistorik for WXP-agenten på hver administreret enhed. |
Kontoopsætning, identitetsstyring og Validering af rettigheder | Kontaktoplysninger | Personlige og/eller forretningsmæssige kontaktoplysninger, herunder fornavn, efternavn, postadresse, telefonnummer, faxnummer, e-mailadresse og andre lignende kontaktoplysninger, der bruges til opsætning og validering af WXP-kundekonti, serviceberettigelse og e-mailmeddelelser relateret til hændelser og tjenester. |
Levér proaktiv vedligeholdelse og administration af it-tjenester og kundecentrerede rapporter/dashboards | Enhedsdata | Grundlæggende enhedsoplysninger, f.eks. enhedsnavn, operativsystem, mængde hukommelse, enhedstype, diskstørrelse, områdeindstilling, sprogindstilling, tidszoneindstilling, modelnummer, startdato, enhedens alder, enhedens fremstillingsdato, browserversion, enhedsproducent, garantistatus, entydige enhedsidentifikatorer og yderligere tekniske oplysninger, der varierer efter model. Hardwareoplysninger, f.eks. BIOS, skærm, GPU, lager, systempladser, hukommelse, realtidsur, systemets hardwareudnyttelsesdata (CPU, GPU, hukommelse og disk-I/O), drivere, termisk, blæser, PnP-enheder, RPOS-enheder, HP Sure Recover-indstillinger, HP-diagnosticeringstest, dockingstation (kun HP), eksterne enheder tilsluttet dockingstation, batteritilstand, strømkonfiguration og -tilstand, systemdvalediagnosticering, Primær/ekstern disktilskrivning, diskudnyttelse, Intel-platformstjenesteregistrering (kræver Intel vPro), systemets strømforbrug, systemets strømforbrug via PCM (kræver HP Business PC G11 eller nyere), Intel SoC-margen på hukommelsen (kun HP Business PC G12 eller nyere) og bærbar computers tastaturtilstand (kun HP Business PC G12 eller nyere) Softwareapplikationer installeret på enheden, såsom listen over installerede applikationer, driftstid for applikationer, applikationsfejl, hardwareudnyttelsesdata efter applikation (CPU og hukommelse).
Webapplikationer i browsere, f.eks. antallet af sidebesøg, sideindlæsningstid og sideindlæsningsfejl for kun de URL'er, der er forudkonfigureret på siden Indstillinger i WXP. Som standard er dataindsamling for webapplikationer deaktiveret, men den kan aktiveres på siden WXP > Indstillinger . WXP scanner eller indsamler ikke indhold fra webapplikationer i browsere. Operativsystemgenererede oplysninger om enheden, f.eks. OS-hændelser, manglende Windows-opdateringer, proces- og tjenesteovervågning, opstarts-/dvale-/dvale-/nedlukningstid, brugstid for enheden, enhedens logontid, fuld opstart og hurtig opstartstid, dato for seneste genstart og systemnedbrud – nedbrud på blå skærm på Windows OS. Bemærk: Som standard er indsamling af nedbrudsdump for systemnedbrud deaktiveret, men det kan aktiveres på siden med WXP-indstillinger. Netværksoplysninger såsom netværksgrænseflade, MAC-adresse, IP-adresse, SSID, signalstyrke, forbindelseshastighed, netværksgodkendelsesindstillinger, netværksfejl, netværksforbrug, netværksudnyttelse, pakketab, jitter og latenstid efter proces samt netværksforbindelser og afbrydelser.
Sikkerhedsoplysninger, f.eks. TPM (Trusted Platform Module), antivirusstatus, firewallstatus, BitLocker-krypteringsstatus og Secure Boot-status. Brugeroplysninger om kundens brugere, der tilmelder deres enheder i WXP, f.eks. sidst tilmeldte brugeroplysninger og Active Directory-tilmeldte brugeres oplysninger.
Oplysninger om enhedens placering, f.eks. enhedens geografiske placering i realtid og aktivets placering (indstillet af brugerne for at angive, hvor enheden hører hjemme). Bemærk: Som standard er dataindsamling for enhedsplacering deaktiveret, men den kan aktiveres på siden med WXP-indstillinger. |
Godkendelse og godkendelse af brugeradgang til konti og tjenester, der bruger HP | Legitimationsoplysninger til sikkerhed | Brugeradgangskoder, adgangskodetip og lignende sikkerhedsoplysninger, der kræves til godkendelse for at give brugere adgang til WXP-cloudbaserede portalkonti og -tjenester. (kun hvis du bruger HP ID) |
Datagrupperinger
Enhedsdata, der indsamles af WXP 1 , kan omfatte følgende grupperinger:
Datagruppe | Beskrivelse |
Hardware | Herunder batteri, BIOS, disk, skærm/skærm, grafik, inventar, hukommelse, netværksgrænseflade, Plug and Play (PnP), processor, systemur, systempladser, termiske og systemydelsesdata. |
Softwareapplikationer | Herunder data om overholdelse, fejl, lager, ydeevne, udnyttelse og webapplikationsudnyttelse. |
Sikkerhed | Herunder ikke-rapporterende enheder, registrering/administration af programrettelser, enhedsplacering, enhedsalarm, lås og sletning, indstilling af sikkerhedspolitik, håndhævelse af sikkerhedspolitik, sikkerhedstrusler, lagerkryptering, brugersikkerhedsindstillinger, Wi-Fi-klargøring og data om overtrædelser af Windows Information Protection |
Windows-hændelseslogfiler | Windows-hændelseslogfiler giver detaljerede oversigter over system-, sikkerheds- og programmeddelelser, der er gemt af Windows-operativsystemet , og som bruges af administratorer til at diagnosticere systemproblemer og forudsige fremtidige problemer. |
HP's garanti- og plejepakker | HP Care Packs er udvidede garantier for din HP-computer eller -printer, der dækker produkter, efter at standardgarantien er udløbet. |
Brugerdata indsamlet af WXP omfatter:
Brugerens e-mail-adresse
Sidst logget på brugerkonto
WXP indsamler ikke følgende typer data:
Demografiske oplysninger (med undtagelse af lande- eller sprogpræferencer)
Finansielle kontooplysninger, kredit- eller betalingskortnumre, kreditoplysninger eller betalingsdata
Sociale medier
Offentligt udstedt identifikator, f.eks. socialsikringsnummer, CPR-nummer eller officielt id
Sundhedsoplysninger
Følsomme data såsom etnisk oprindelse, politisk overbevisning, fagforeningsmedlemskab, sundhedsdata, seksuel orientering og genetiske data
Beskyttelse af personlige oplysninger
HP har en lang historie med branchelederskab inden for beskyttelse af personlige oplysninger og databeskyttelse. Sammen med vores robuste portefølje af produkter og tjenester støtter vi vores kunders og partneres indsats for at beskytte personoplysninger. Med hensyn til WXP-analyse fungerer HP som databehandler. Se afsnittet Databehandler på HP Privacy Central. Som en global virksomhed er det muligt, at alle oplysninger, du giver, kan overføres til eller tilgås af HP-enheder over hele verden i overensstemmelse med HP's erklæring om beskyttelse af personlige oplysninger og baseret på de internationale programmer til beskyttelse af personlige oplysninger, der er angivet i afsnittet Internationale dataoverførsler.
Databeskyttelse er underlagt HP's politik om beskyttelse af personlige oplysninger for lande over hele verden. Denne politik opdateres regelmæssigt og dækker følgende emner:
Vores principper for beskyttelse af personlige oplysninger
Internationale dataoverførsler (herunder oplysninger om EU's og USA's værn om privatlivets fred.)
Sådan bruger vi data
Hvilke data indsamler vi
Børns privatliv
Sådan opbevarer og holder vi dine data sikre
Sådan deler vi data
HP-kommunikation
Udøvelse af dine rettigheder og kontakt til os
Ændringer i vores fortrolighedserklæring
Datalagring
Dataopbevaring er en vigtig del af ethvert overholdelsesprogram og nødvendigt for at opfylde korrekt forvaltning af data. HP's politik for dataopbevaring indeholder følgende bedste praksis for dataopbevaring:
Opbevaring af data i kortere perioder end nødvendigt kan være i strid med kontraktlige eller juridiske krav eller påvirke sikkerheden.
Opbevaring af data i længere perioder end nødvendigt kan være i strid med reglerne om beskyttelse af personlige oplysninger og er en af de største kundebekymringer og salgsforespørgsler.
Når data er slettet, er der ingen forpligtelse til at give dem til kunden eller retshåndhævende myndigheder.
Alle data i amerikanske og tyske regionale datacentre slettes permanent inden for tredive dage efter kundens inaktivering fra WXP.
Data i U.S. Analytics-datacenter slettes permanent efter to år fra datoen for dataoprettelse eller inden for tredive dage efter kundens deaktivering fra WXP for både struktureret og ustruktureret lagring. Da WXP-programmets analysepakke er en enkelt delt pakke på tværs af mange HP-programmer, slettes dataene i det amerikanske analysedatacenter ikke permanent, hvis kunden deaktiveres fra WXP, fordi den samme kunde kan være tilmeldt andre HP-programmer. og først slettes efter tre år fra dataene for dataoprettelse.
Bemærk: Telemetridata, der overføres til U.S. Analytics-datacenteret, er knyttet til enhedens serienumre og systemgenererede id'er. Disse data krypteres i hvile og håndteres i overensstemmelse med HP's databeskyttelses- og sikkerhedsstandarder. .
Opbevaring af data
Datalagring til WXP er begrænset til bruger- og enhedsoplysninger for betalende abonnenter.
Alle databaser i de amerikanske og tyske regionale datacentre, der gemmer personlige data, er krypteret.
Alle databaser i de amerikanske identitetsstyringsdatacentre, der gemmer personlige data, er krypteret.
Alle databaser og ustruktureret lager i US Analytics-datacenteret er krypteret.
Følgende datatyper overføres og gemmes i de forskellige datacentre:
Data-kategori | Regionale USA Datacenter1 | Tysk Regional Datacenter2 | Amerikanske analyser Datacenter3 | Data fra identitetsstyring i USA Center3 |
Kontooplysninger | Ja | Ja | Nej | Nej |
Ansøgningsdata | Ja | Ja | Ja | Nej |
Kontaktoplysninger | Ja | Ja | Nej | Ja (hvis du bruger HP ID) |
Enhedsdata | Ja | Ja | Ja | Nej |
Placeringsdata | Ja | Ja | Ja | Nej |
Data om sikkerhedsoplysninger | Nej | Nej | Nej | Ja (hvis du bruger HP ID) |
For kunder uden for Europa
For kunder med base i Europa
For alle kunder
Serviceovervågning og rapportering
WXP leverer regelmæssigt serviceopdateringer for at levere de nyeste funktioner og opdateringer til kunderne. WXP giver også kunderne besked via forskellige metoder om planlagte eller ikke-planlagte opdateringer og ændringer af tjenesten. For planlagte serviceafbrydelseshændelser såsom servicevedligeholdelse underrettes kunderne otte timer i forvejen.
For at levere optimal service udfører HP løbende serviceovervågning og rapportering.
Overvågning af service
WXP og agent overvåges på 24x7x365 basis for pålidelighed og ydeevne. Derudover sker overvågning af netværkets ydeevne og tilgængelighed løbende. Alle overvågningsværktøjer dirigerer eventuelle problemer, advarsler og problemer direkte til serviceteknikere. Undtagelser hæves automatisk til et internt billetsystem som højt prioriterede arbejdsopgaver, der kræver anerkendelse.
Hvis en tærskel overskrides, sker følgende automatiske eskaleringsproces:
Der sendes en e-mail-advarsel til en tilsvarende supporttekniker
Der sendes en push-meddelelse til mobilenheden for den tilkaldende tekniker
Der sendes en mail til distributionslisten for operationsteamet
WXP bruger forskellige overvågningsværktøjer, herunder:
New Relic: Overvåger forskellige komponenter i systemet og endnu vigtigere, hjælper med at identificere og fejlfinde flaskehalse, når de opstår. De fleste af applikationerne/tjenesterne er blevet instrumenteret til Splunk og giver derved kontinuerlig dataindsamling og næsten realtids præstationsmålinger.
Amazon CloudWatch: Overvåger hændelser relateret til klargøring, tjenestefejl og tærskelopnåelse (såsom hukommelsesforbrug). Hændelser gennemgås og kategoriseres for at identificere de væsentligste problemområder. Baseret på prioriteten træffes der foranstaltninger med det samme eller planlægges til at blive taget op til senere udvikling. Der afholdes et møde om servicekvalitet (QoS) for at gennemgå resultater, identificere grundlæggende årsager og implementere ændringer til forbedring.
Konklusion
HP anerkender, at trusselslandskabet ændrer sig hurtigt. Udviklingen af cyberangreb begyndte med sletning af filer og ødelæggelse af websteder i slutningen af 1990'erne, og gik derefter ind i indtægtsgenereringsfasen med stjålne legitimationsoplysninger og ransomware. Senest er angreb blevet udført af nationalstater, der er ekstremt velfinansierede og har til hensigt at nedbryde elnet og gøre titusindvis af computere og mobile enheder ubrugelige.
At håndtere disse risici er en mission, som HP påbegyndte for mere end fyrre år siden. HP's arv af innovation inden for registrering og beskyttelse af sikkerhedstrusler sammen med løbende sikkerhedsfokuserede investeringer informerer designet af applikationer som WXP. Resultatet er en sikker, cloud-baseret it-administrationsløsning bygget på en integreret sikkerhedsplatform, der spænder over applikationen, det fysiske datacenter og slutbrugeradgang.
Med indbyggede sikkerhedsfunktioner tilbyder WXP, der er tilgængelig via HP Proactive Insights, HP Active Care og andre tjenester, der drives af WXP, organisationer et pålideligt værktøj til at forenkle den daglige administration af enheder, data og brugere gennem flere robuste sikkerhedslag.